U ovom članku
dropdown icon
Nove i izmenjene informacije
    Nove i izmenjene informacije
dropdown icon
Počnite sa Multi-Tenant hibridnom sigurnošću podataka
    dropdown icon
    Pregled hibridne bezbednosti podataka sa više stanara
      Kako Multi-Tenant Hibrid Data Securiti obezbeđuje suverenitet podataka i kontrolu podataka
      Ograničenja hibridne bezbednosti podataka sa više stanara
      Uloge u hibridnoj bezbednosti podataka sa više stanara
    dropdown icon
    Arhitektura bezbednosnog područja
      Oblasti razdvajanja (bez hibridne sigurnosti podataka)
    Saradnja sa drugim organizacijama
    Očekivanja za primenu hibridne bezbednosti podataka
    Proces podešavanja na visokom nivou
    dropdown icon
    Model hibridne bezbednosti podataka
      Model hibridne bezbednosti podataka
    dropdown icon
    Standbi data centar za oporavak od katastrofe
      Ručno prebacivanje u stanje pripravnosti za prenos podataka
      Podesite standbi data centar za oporavak od katastrofe
    Proksi podrška
dropdown icon
Priprema okruženja
    dropdown icon
    Zahtevi za hibridnu sigurnost podataka sa više stanara
      Zahtevi za licencu Cisco Vebek
      Docker Desktop Zahtevi
      Ks.KSNUMKS Zahtevi za sertifikat
      Zahtevi za virtuelni domaćin
      Zahtevi za server baze podataka
      Zahtevi za eksterno povezivanje
      Zahtevi proxy servera
    Popunite preduslove za hibridnu sigurnost podataka
dropdown icon
Podesite hibridni klaster za bezbednost podataka
    Protok zadataka hibridne bezbednosti podataka
    Izvršite početno podešavanje i preuzimanje instalacionih datoteka
    Kreirajte konfiguraciju ISO za HDS Hosts
    Instalirajte HDS Host OVA
    Podesite VM za hibridnu bezbednost podataka
    Otpremite i montirajte HDS konfiguraciju ISO
    Konfigurisanje HDS oglasa za integraciju proxy servera
    Registrujte prvi čvor u klasteru
    Kreirajte i registrujte više čvorova
dropdown icon
Upravljajte organizacijama stanara na hibridnoj bezbednosti podataka sa više stanara
    Aktivirajte HDS sa više stanara na Partner Hub-u
    Dodajte organizacije stanara u Partner Hub-u
    Kreirajte glavne ključeve klijenata (CMK) pomoću alata za podešavanje HDS-a
    Uklonite organizacije stanara
    Opozvati CMK stanara uklonjenih iz HDS-a.
dropdown icon
Testirajte svoju hibridnu bezbednost podataka
    Testirajte svoju hibridnu bezbednost podataka
    Nadgledajte hibridno zdravlje bezbednosti podataka
dropdown icon
Upravljajte raspoređivanjem HDS-a
    Upravljajte HDS raspoređivanjem
    Podesite raspored nadogradnje klastera
    Promenite konfiguraciju čvora
    Isključi blokirani režim spoljne DNS rezolucije
    Ukloni čvor
    Oporavak od katastrofe koristeći Standbi Data Center
    (Opciono) Demontirajte ISO nakon HDS konfiguracije
dropdown icon
Rešavanje problema sa hibridnom sigurnošću podataka
    Pogledaj upozorenja i rešavanje problema
    dropdown icon
    Upozorenja
      Uobičajena pitanja i koraci za njihovo rešavanje
    Rešavanje problema sa hibridnom sigurnošću podataka
dropdown icon
Ostale napomene
    Poznati problemi za hibridnu bezbednost podataka
    Pokreni HDS Setup alat koristeći Podman Desktop
    dropdown icon
    Premestite postojeću HDS raspoređivanje partnerske organizacije sa jednim stanarom u Control Hub-u u Multi-Tenant HDS podešavanje u Partner Hub-u
      Deaktivirajte HDS, odjavite čvorove i izbrišite sve klastere u Control Hub-u
      Aktivirajte Multi-Tenant HDS za partnersku organizaciju na Partner Hub-u i dodajte kupce
    Koristite OpenSSL da biste generisali PKCSKSNUMKS datoteku
    Saobraćaj između HDS čvorova i oblaka
    dropdown icon
    Konfigurišite Squid Prokies za hibridnu sigurnost podataka
      Websocket ne može da se poveže preko proxy servera sa lignjama
dropdown icon
Deaktivirajte hibridnu sigurnost podataka sa više stanara
    Protok zadataka za deaktivaciju HDS-a sa više stanara
dropdown icon
Često postavljana pitanja
    dropdown icon
    Često postavljana pitanja
      Q. Da li se jedan ključ koristi za šifrovanje svih podataka korisničkih organizacija?
      Q. Šta će se desiti ako onemogućim HDS iz Partner Hub?
      Q. Kada se CMK generiše za korisničku organizaciju putem alata za podešavanje HDS-a, da li korisnici korisničke organizacije odmah počinju da koriste Multi-Tenant HDS?
      Q. Zašto ne vidim listu kupaca kada kliknem na dugme "Dodaj kupce" u Partner Hub-u?
      Q. Kakav je uticaj ako su svi HDS čvorovi isključeni ili ako problem sa mrežom utiče na sve HDS čvorove?
      Q. Da li su korisnički podaci partnerske organizacije šifrovani glavnim ključem generisanim tokom kreiranja ISO-a?
      Q. Mogu li partnerske organizacije i organizacije stanara biti u različitim regionima (recimo, SAD i EU)?
      Q. Da li postoji neki mehanizam za pomeranje ključeva nazad u Cloud KMS?
      Q. Može li partner nastaviti da koristi Cloud KMS i koristiti Multi-Tenant HDS isključivo za upravljanje klijentima?
      Q. Kako partner može da potvrdi da njihova organizacija koristi Multi-Tenant HDS za šifrovanje?
      Q. Da li postoji alternativa Docker Desktop-u za pokretanje alata za podešavanje HDS-a?
      Q. Koliko čvorova mogu da rasporedim u Multi-Tenant HDS klasteru?
      Q. Koji su mrežni zahtevi potrebni za postavljanje Multi-Tenant HDS-a?
      Q. Da li je Pro Pack za Control Hub uslov za partnerske organizacije?
      Q. Da li je HSM podržan u Multi-Tenant HDS-u?
      Q. Mogu li testirati Multi-Tenant HDS sa samopotpisanim sertifikatom?
      Q. Da li je montaža ISO-a potrebna svaki put kada se novi kupac doda u Partner Hub?
      Q. Nakon što je Multi-Tenant HDS raspoređen na Partner Hub-u, da li korisnici partnerske organizacije počinju da koriste lokalni KMS za upravljanje ključevima?
27. новембар 2025. | 14 prikaz/prikaza | 0 osobe/osoba misle da je ovo korisno

Vodič za raspoređivanje hibridnih podataka sa više stanara (HDS)

list-menuU ovom članku
list-menuPovratne informacije?

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

13. decembar 2024.

Prvo izdanje.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 6.5 (ili kasnije) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija konfigurisanja podešavanja mreže tokom OVA primene testirana je sa ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija konfigurisanja podešavanja mreže tokom OVA primene testirana je sa ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

15. januara 2025.

Dodata su ograničenja hibridne bezbednosti podataka sa više zakupaca.

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Ograničenja hibridne bezbednosti podataka sa više zakupaca

  • Partnerske organizacije ne smeju da imaju aktivno raspoređivanje HDS-a na portalu Control Hub.
  • Zakupac ili organizacije kupca koje žele da njime upravlja partner ne smeju da imaju postojeću primenu HDS-a u Kontrolnom čvorištu.
  • Kada partner primeni HDS sa više zakupaca, svi korisnici korisničkih organizacija kao i korisnici partnerske organizacije počinju da koriste HDS sa više zakupaca za svoje usluge šifrovanja.

    Organizacija partnera i organizacije kupca kojima upravljaju biće na istoj primeni HDS sa više zakupaca.

    Partnerska organizacija više neće koristiti KMS u oblaku nakon što se primeni HDS sa više zakupaca.

  • Ne postoji mehanizam za premeštanje ključeva nazad u Cloud KMS nakon primene HDS-a.
  • Trenutno svaka primena HDS-a sa više zakupaca može da ima samo jedan klaster, sa više čvorova ispod njega.
  • Uloge administratora imaju određena ograničenja; pogledajte odeljak ispod za detalje.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

30. januara 2025.

Verzija SQL servera 2022 je dodata na listu podržanih SQL servera u okviru odeljka Zahtevi servera baze podataka.

15. januara 2025.

Dodata su ograničenja hibridne bezbednosti podataka sa više zakupaca.

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Ograničenja hibridne bezbednosti podataka sa više zakupaca

  • Partnerske organizacije ne smeju da imaju aktivno raspoređivanje HDS-a na portalu Control Hub.
  • Zakupac ili organizacije kupca koje žele da njime upravlja partner ne smeju da imaju postojeću primenu HDS-a u Kontrolnom čvorištu.
  • Kada partner primeni HDS sa više zakupaca, svi korisnici korisničkih organizacija kao i korisnici partnerske organizacije počinju da koriste HDS sa više zakupaca za svoje usluge šifrovanja.

    Organizacija partnera i organizacije kupca kojima upravljaju biće na istoj primeni HDS sa više zakupaca.

    Partnerska organizacija više neće koristiti KMS u oblaku nakon što se primeni HDS sa više zakupaca.

  • Ne postoji mehanizam za premeštanje ključeva nazad u Cloud KMS nakon primene HDS-a.
  • Trenutno svaka primena HDS-a sa više zakupaca može da ima samo jedan klaster, sa više čvorova ispod njega.
  • Uloge administratora imaju određena ograničenja; pogledajte odeljak ispod za detalje.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017, 2019 ili 2022. (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

30. januara 2025.

Verzija SQL servera 2022 je dodata na listu podržanih SQL servera u okviru odeljka Zahtevi servera baze podataka.

15. januara 2025.

Dodata su ograničenja hibridne bezbednosti podataka sa više zakupaca.

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Ograničenja hibridne bezbednosti podataka sa više zakupaca

  • Partnerske organizacije ne smeju da imaju aktivno raspoređivanje HDS-a na portalu Control Hub.
  • Zakupac ili organizacije kupca koje žele da njime upravlja partner ne smeju da imaju postojeću primenu HDS-a u Kontrolnom čvorištu.
  • Kada partner primeni HDS sa više zakupaca, svi korisnici korisničkih organizacija kao i korisnici partnerske organizacije počinju da koriste HDS sa više zakupaca za svoje usluge šifrovanja.

    Organizacija partnera i organizacije kupca kojima upravljaju biće na istoj primeni HDS sa više zakupaca.

    Partnerska organizacija više neće koristiti KMS u oblaku nakon što se primeni HDS sa više zakupaca.

  • Ne postoji mehanizam za premeštanje ključeva nazad u Cloud KMS nakon primene HDS-a.
  • Trenutno svaka primena HDS-a sa više zakupaca može da ima samo jedan klaster, sa više čvorova ispod njega.
  • Uloge administratora imaju određena ograničenja; pogledajte odeljak ispod za detalje.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017, 2019 ili 2022. (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

04. mart 2025.

30. januara 2025.

Verzija SQL servera 2022 je dodata na listu podržanih SQL servera u okviru odeljka Zahtevi servera baze podataka.

15. januara 2025.

Dodata su ograničenja hibridne bezbednosti podataka sa više zakupaca.

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Ograničenja hibridne bezbednosti podataka sa više zakupaca

  • Partnerske organizacije ne smeju da imaju aktivno raspoređivanje HDS-a na portalu Control Hub.
  • Zakupac ili organizacije kupca koje žele da njime upravlja partner ne smeju da imaju postojeću primenu HDS-a u Kontrolnom čvorištu.
  • Kada partner primeni HDS sa više zakupaca, svi korisnici korisničkih organizacija kao i korisnici partnerske organizacije počinju da koriste HDS sa više zakupaca za svoje usluge šifrovanja.

    Organizacija partnera i organizacije kupca kojima upravljaju biće na istoj primeni HDS sa više zakupaca.

    Partnerska organizacija više neće koristiti KMS u oblaku nakon što se primeni HDS sa više zakupaca.

  • Ne postoji mehanizam za premeštanje ključeva nazad u Cloud KMS nakon primene HDS-a.
  • Trenutno svaka primena HDS-a sa više zakupaca može da ima samo jedan klaster, sa više čvorova ispod njega.
  • Uloge administratora imaju određena ograničenja; pogledajte odeljak ispod za detalje.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

Kupci bez licence za Docker Desktop mogu da koriste alatku za upravljanje kontejnerima otvorenog izvora kao što je Podman Desktop za pokretanje i kreiranje kontejnera. Detaljnije informacije potražite u članku Pokretanje alatke za podešavanje HDS pomoću aplikacije Podman Desktop .

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-private-key za označavanje sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017, 2019 ili 2022. (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne inspekciju) saobraćaj ka wbx2.com i ciscospark.com rešiće problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMAIN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 Вијести 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno određeno ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    udp://10.92.43.23:514 označava prijavljivanje na Syslogd host 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da unesete TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxSize: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite CD/DVD Drive 1na dugme , izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL za podešavanje HDS čvora https://[HDS Node IP or FQDN]/setup u veb-pregledač, unesite akreditive administratora koje ste podesili za čvor, a zatim kliknite na Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS-u, filtrirajte kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako nemate licencu za Docker Desktop, možete da koristite aplikaciju Podman Desktop da biste pokrenuli alatku za podešavanje HDS-a za korake 1.a do 1.e u nastavku. Detaljnije informacije potražite u članku Pokretanje alatke za podešavanje HDS pomoću aplikacije Podman Desktop .

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker rmi ciscocitg/hds-setup:stable

    U FedRAMP okruženjima:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker login -u hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker pull ciscocitg/hds-setup:stable

    U FedRAMP okruženjima:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite CD/DVD Drive 1na dugme , izaberite opciju za montiranje iz ISO datoteke i pregledajte lokaciju na kojoj ste preuzeli novu ISO datoteku za konfiguraciju.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Pokrenite alatku za podešavanje HDS pomoću aplikacije Podman Desktop

Podman je besplatna i otvorena alatka za upravljanje kontejnerima koja obezbeđuje način za pokretanje i kreiranje kontejnera. Podman Desktop se može preuzeti sa lokacije https://podman-desktop.io/downloads.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Da biste mu pristupili, preuzmite i pokrenite Podman na toj mašini. Proces instalacije zahteva akreditive naloga kontrolnog čvorišta sa punim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

podman rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

podman rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

podman login docker.io -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

podman pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

Šta je sledeće

Pratite preostale korake u odeljku Kreiranje konfiguracije ISO za HDS organizatore ili Promenite konfiguraciju čvora da biste kreirali ili promenili ISO konfiguraciju.

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali komplet sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. openssl pkcs12 -in hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat sadrže linije friendlyName: kms-private-key.

    Primer:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Datoteku hdsnode.p12 i lozinku koju ste za nju podesili ćete koristiti u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije skida tako da ignorišu wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu u squid.conf:

on_unsupported_protocol tunnel all

Lignje 3.5.27

Uspešno smo testirali hibridnu bezbednost podataka uz dodata sledeća pravila. squid.conf Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Нове и измењене информације

Нове и измењене информације

Ова табела покрива нове функције или функционалности, промене постојећег садржаја и све веће грешке које су исправљене у Водичу за имплементацију хибридне безбедности података за више закупаца.

Datum

Извршене промене

8. мај 2025.
4. март 2025.

30. јануар 2025.

Додата је верзија SQL сервера 2022 на листу подржаних SQL сервера у Захтеви за сервер базе података.

15. јануар 2025.

Додата Ограничења безбедности података за вишезакупце хибридних система.

8. јануар 2025.

Додата је напомена у Извршите почетно подешавање и преузмите инсталационе датотеке у којој се наводи да је клик на Подешавање на HDS картици у Partner Hub-у важан корак у процесу инсталације.

7. јануар 2025.

Ажурирани захтеви за виртуелни хост, ток задатка за имплементацију хибридне безбедности податакаи инсталирање HDS хост OVA да би се приказали нови захтеви ESXi 7.0.

13. децембар 2024.

Прво објављено.

Деактивирајте хибридну безбедност података за више закупаца

Ток задатка деактивације вишезакупничког HDS-а

Пратите ове кораке да бисте потпуно деактивирали Multi-Tenant HDS.

Pre nego što počnete

Овај задатак треба да обавља само пуни администратор партнера.
1

Уклоните све купце из свих ваших кластера, као што је поменуто у Уклањање организација закупаца.

2

Поништите CMK-ове свих купаца, као што је поменуто у Поништите CMK-ове закупаца уклоњених из HDS-а..

3

Уклоните све чворове из свих ваших кластера, као што је поменуто у Уклањање чвора.

4

Избришите све кластере из Центра за партнере користећи једну од следеће две методе.

  • Кликните на кластер који желите да обришете и изаберите Обриши овај кластер у горњем десном углу странице са прегледом.
  • На страници Ресурси кликните на … са десне стране кластера и изаберите Уклони кластер.
5

Кликните на картицу Подешавања на страници са прегледом хибридне безбедности података и кликните на Деактивирај HDS на картици Статус HDS-а.

Почните са вишенаменском хибридном безбедношћу података

Преглед безбедности хибридних података за више закупаца

Од првог дана, безбедност података је била главни фокус при дизајнирању Webex апликације. Камен темељац ове безбедности је енкрипција садржаја од почетка до краја, коју омогућавају клијенти Webex апликације који интерагују са услугом управљања кључевима (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Подразумевано, сви корисници Webex апликације добијају енкрипцију од почетка до краја са динамичким кључевима који се чувају у cloud KMS-у, у Cisco-овом безбедносном домену. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Вишезакупна хибридна безбедност података омогућава организацијама да искористе HDS преко поузданог локалног партнера, који може да делује као добављач услуга и да управља локалним шифровањем и другим безбедносним услугама. Ова поставка омогућава партнерској организацији потпуну контролу над распоређивањем и управљањем кључевима за шифровање и осигурава да су кориснички подаци организација клијената безбедни од спољног приступа. Партнерске организације подешавају HDS инстанце и креирају HDS кластере по потреби. Свака инстанца може да подржи више корисничких организација, за разлику од редовног HDS распоређивања које је ограничено на једну организацију.

Иако партнерске организације имају контролу над имплементацијом и управљањем, оне немају приступ подацима и садржају који генеришу клијенти. Овај приступ је ограничен на организације клијената и њихове кориснике.

Ово такође омогућава мањим организацијама да искористе HDS, јер су услуге управљања кључевима и безбедносна инфраструктура попут дата центара у власништву поузданог локалног партнера.

Како хибридна безбедност података за више закупаца обезбеђује суверенитет података и контролу података

  • Садржај који генеришу корисници је заштићен од спољног приступа, као што су добављачи услуга у облаку.
  • Локални поуздани партнери управљају кључевима за шифровање купаца са којима већ имају успостављен однос.
  • Могућност локалне техничке подршке, ако је партнер пружа.
  • Подржава садржај за састанке, размену порука и позиве.

Овај документ има за циљ да помогне партнерским организацијама да подесе и управљају клијентима у оквиру хибридног система за безбедност података са више закупаца.

Ограничења безбедности података хибридних система са више закупаца

  • Партнерске организације не смеју имати ниједно постојеће HDS имплементирање активно у Control Hub-у.
  • Закупци или организације купаца које желе да буду под управљањем партнера не смеју имати постојеће HDS имплементације у Control Hub-у.
  • Када партнер имплементира Multi-Tenant HDS, сви корисници организација клијената, као и корисници партнерске организације, почињу да користе Multi-Tenant HDS за своје услуге шифровања.

    Партнерска организација и организације купаца којима управљају биће на истом вишезакупничком HDS распоређивању.

    Партнерска организација више неће користити cloud KMS након што се примени Multi-Tenant HDS.

  • Не постоји механизам за враћање кључева у Cloud KMS након имплементације HDS-а.
  • Тренутно, свако имплементирање вишеструког HDS-а може имати само један кластер, са више чворова испод њега.
  • Администраторске улоге имају одређена ограничења; погледајте одељак испод за детаље.

Улоге у безбедности података за више закупаца у хибридним системима

  • Пуни администратор партнера - Може да управља подешавањима за све клијенте којима партнер управља. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Администратор партнера - Може да управља подешавањима за клијенте које је администратор обезбедио или који су додељени кориснику.
  • Пуни администратор - Администратор партнерске организације који је овлашћен да обавља задатке као што су измена подешавања организације, управљање лиценцама и додељивање улога.
  • Комплетно подешавање и управљање HDS-ом за више закупаца за све организације клијената - Потребна су пуна администраторска права партнера и пуна администраторска права.
  • Управљање додељеним организацијама закупаца - Потребни су администратор партнера и пуна администраторска права.

Архитектура безбедносног домена

Webex cloud архитектура раздваја различите типове услуга у одвојене области или домене поверења, као што је приказано у наставку.

Царства раздвојености (без хибридне безбедности података)

Да бисмо боље разумели хибридну безбедност података, прво погледајмо овај случај чистог облака, где Cisco пружа све функције у својим cloud областима. Услуга идентитета, једино место где корисници могу бити директно повезани са својим личним подацима као што је адреса е-поште, логички је и физички одвојена од безбедносне области у дата центру Б. Обе су заузврат одвојене од области у којој се шифровани садржај коначно чува, у дата центру Ц.

На овом дијаграму, клијент је Webex апликација која ради на корисничком лаптопу и аутентификована је помоћу сервиса за идентификацију. Када корисник састави поруку коју ће послати у простор, дешавају се следећи кораци:

  1. Клијент успоставља безбедну везу са сервисом за управљање кључевима (KMS), а затим захтева кључ за шифровање поруке. Безбедна веза користи ECDH, а KMS шифрује кључ помоћу главног кључа AES-256.

  2. Порука се шифрује пре него што напусти клијента. Клијент га шаље сервису за индексирање, који креира шифроване индексе претраге како би помогао у будућим претрагама садржаја.

  3. Шифрована порука се шаље служби за проверу усаглашености.

  4. Шифрована порука се чува у складишту.

Када имплементирате хибридну безбедност података, премештате функције безбедносне области (KMS, индексирање и усклађеност) у свој локални центар података. Остале cloud услуге које чине Webex (укључујући складиштење идентитета и садржаја) остају у надлежности компаније Cisco.

Сарадња са другим организацијама

Корисници у вашој организацији могу редовно користити Webex апликацију за сарадњу са спољним учесницима у другим организацијама. Када један од ваших корисника затражи кључ за простор који је у власништву ваше организације (јер га је креирао један од ваших корисника), ваш KMS шаље кључ клијенту преко ECDH заштићеног канала. Међутим, када друга организација поседује кључ за простор, ваш KMS усмерава захтев ка Webex облаку преко посебног ECDH канала да би добио кључ од одговарајућег KMS-а, а затим враћа кључ вашем кориснику на оригиналном каналу.

KMS сервис који ради у организацији А валидира везе са KMS-овима у другим организацијама користећи x.509 PKI сертификате. Погледајте Припремите своје окружење за детаље о генерисању x.509 сертификата који ћете користити са вашим имплементирањем хибридне безбедности података за више закупаца.

Очекивања за имплементацију хибридне безбедности података

Имплементација хибридне безбедности података захтева значајну посвећеност и свест о ризицима који долазе са поседовањем кључева за шифровање.

Да бисте имплементирали хибридну безбедност података, морате да обезбедите:

  • Безбедан центар података у земљи која је подржана локација за Cisco Webex Teams планове.

  • Опрема, софтвер и мрежни приступ описани у Припремите своје окружење.

Потпуни губитак ISO датотеке конфигурације коју направите за Hybrid Data Security или базе података коју обезбедите резултираће губитком кључева. Губитак кључа спречава кориснике да дешифрују садржај простора и друге шифроване податке у Webex апликацији. Ако се то деси, можете направити ново распоређивање, али ће бити видљив само нови садржај. Да бисте избегли губитак приступа подацима, морате:

  • Управљајте резервном копијом и опоравком базе података и ISO датотеке конфигурације.

  • Будите спремни да извршите брзи опоравак од катастрофе ако дође до катастрофе, као што је квар диска базе података или катастрофа у центру података.

Не постоји механизам за враћање кључева у облак након имплементације HDS-а.

Процес подешавања на високом нивоу

Овај документ покрива подешавање и управљање имплементацијом хибридне безбедности података за више закупаца:

  • Подешавање хибридне безбедности података— Ово укључује припрему потребне инфраструктуре и инсталирање софтвера за хибридну безбедност података, изградњу HDS кластера, додавање организација закупаца у кластер и управљање њиховим главним кључевима корисника (CMK). Ово ће омогућити свим корисницима ваших организација клијената да користе ваш хибридни кластер за безбедност података за безбедносне функције.

    Фазе подешавања, активације и управљања детаљно су обрађене у наредна три поглавља.

  • Одржавајте своје хибридно имплементирано безбедносно решење за хибридне податке— Webex облак аутоматски пружа континуиране надоградње. Ваше ИТ одељење може да пружи подршку првог нивоа за ово имплементирање и да ангажује Cisco подршку по потреби. Можете користити обавештења на екрану и подесити упозорења путем е-поште у Центру за партнере.

  • Разумевање уобичајених упозорења, корака за решавање проблема и познатих проблема— Ако наиђете на проблеме приликом имплементације или коришћења хибридне безбедности података, последње поглавље овог водича и додатак Познати проблеми могу вам помоћи да утврдите и решите проблем.

Хибридни модел примене безбедности података

Унутар вашег пословног дата центра, имплементирате хибридну безбедност података као један кластер чворова на одвојеним виртуелним хостовима. Чворови комуницирају са Webex облаком путем безбедних websocket-ова и безбедног HTTP-а.

Током процеса инсталације, пружамо вам OVA датотеку за подешавање виртуелног уређаја на виртуелним машинама које ви обезбедите. Алат за подешавање HDS користите да бисте креирали прилагођену ISO датотеку за конфигурацију кластера коју монтирате на сваки чвор. Кластер хибридне безбедности података користи ваш обезбеђени Syslogd сервер и PostgreSQL или Microsoft SQL Server базу података. (Конфигуришете Syslogd и детаље везе са базом података у алатки за подешавање HDS-а.)

Хибридни модел примене безбедности података

Минималан број чворова које можете имати у кластеру је два. Препоручујемо најмање три по кластеру. Имање више чворова осигурава да се услуга не прекида током надоградње софтвера или других активности одржавања на чвору. (Webex облак надограђује само један чвор истовремено.)

Сви чворови у кластеру приступају истом складишту кључних података и евидентирају активности на истом syslog серверу. Сами чворови су без стања и обрађују кључне захтеве по принципу кружног система, како је наложио облак.

Чворови постају активни када их региструјете у Центру за партнере. Да бисте искључили појединачни чвор из употребе, можете га одјавити, а касније га поново регистровати ако је потребно.

Резервни центар података за опоравак од катастрофе

Током имплементације, подешавате безбедан стандарни дата центар. У случају катастрофе у дата центру, можете ручно пребацити распоређивање у резервни дата центар.

Пре резервног преласка, Дата центар А има активне HDS чворове и примарну PostgreSQL или Microsoft SQL Server базу података, док Б има копију ISO датотеке са додатним конфигурацијама, виртуелним машинама које су регистроване у организацији и резервном базом података. Након пребацивања у случају отказа, Дата центар Б има активне HDS чворове и примарну базу података, док А има нерегистроване виртуелне машине и копију ISO датотеке, а база података је у режиму приправности.
Ручно пребацивање на стандарни дата центар

Базе података активних и резервних дата центара су синхронизоване једна са другом, што ће минимизирати време потребно за извршавање резервног пребацивања.

Активни чворови хибридне безбедности података морају увек бити у истом центру података као и активни сервер базе података.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Без проксија—Подразумевана вредност ако не користите подешавање HDS чвора, складиште поверења & Конфигурација проксија за интеграцију проксија. Nije potrebna ispravka certifikata.

  • Транспарентни прокси који не инспектира— Чворови нису конфигурисани да користе одређену адресу прокси сервера и не би требало да захтевају никакве промене да би радили са проксијем који не инспектира. Nije potrebna ispravka certifikata.

  • Транспарентно тунелирање или инспекција проксија— Чворови нису конфигурисани да користе одређену адресу прокси сервера. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Експлицитни прокси— Са експлицитним проксијем, говорите HDS чворовима који прокси сервер и шему аутентификације да користе. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Прокси IP/FQDN—Адреса која се може користити за приступ прокси машини.

    2. Порт проксија— Број порта који прокси користи за слушање проксираног саобраћаја.

    3. Протокол проксија— У зависности од тога шта ваш прокси сервер подржава, изаберите један од следећих протокола:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Тип аутентификације— Изаберите један од следећих типова аутентификације:

      • Нема—Није потребна даља аутентификација.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Основно—Користи се да HTTP кориснички агент пружи корисничко име и лозинку приликом подношења захтева. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Сажетак—Користи се за потврду налога пре слања осетљивих информација. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Захтеви за безбедност података за вишеструке закупце у хибридним системима

Захтеви за лиценцу Cisco Webex-а

Да бисте имплементирали хибридну безбедност података за више закупаца:

  • Партнерске организације: Обратите се свом Cisco партнеру или менаџеру налога и уверите се да је функција „Више закупаца“ омогућена.

  • Организације закупаца: Морате имати Про пакет за Cisco Webex Control Hub. (Види https://www.cisco.com/go/pro-pack.)

Захтеви за Docker Desktop

Пре него што инсталирате HDS чворове, потребан вам је Docker Desktop да бисте покренули програм за подешавање. Докер је недавно ажурирао свој модел лиценцирања. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

Корисници без лиценце за Docker Desktop могу да користе алатку за управљање контејнерима отвореног кода као што је Podman Desktop за покретање, управљање и креирање контејнера. Видите Покрените алатку за подешавање HDS-а помоћу Podman Desktop-а за детаље.

Захтеви за X.509 сертификат

Ланац сертификата мора да испуњава следеће захтеве:

Табела 1. Захтеви за X.509 сертификат за хибридну имплементацију безбедности података

Uslov

Detalji

  • Потписано од стране поузданог ауторитета за сертификате (CA)

Подразумевано, верујемо ЦА-има на Мозилиној листи (са изузетком WoSign-а и StartCom-а) на https://wiki.mozilla.org/CA:IncludedCAs.

  • Носи име домена Common Name (CN) које идентификује ваше имплементирање хибридне безбедности података

  • Није џокер сертификат

КМ не мора бити доступан или активни домаћин. Препоручујемо да користите име које одражава вашу организацију, на пример, hds.company.com.

Комбиновани назив не сме да садржи * (џокер).

CN се користи за верификацију чворова хибридне безбедности података за клијенте Webex апликације. Сви чворови хибридне безбедности података у вашем кластеру користе исти сертификат. Ваш KMS се идентификује користећи CN домен, а не било који домен који је дефинисан у x.509v3 SAN пољима.

Када региструјете чвор са овим сертификатом, не подржавамо промену имена CN домена.

  • Потпис који није SHA1

KMS софтвер не подржава SHA1 потписе за валидацију веза са KMS-овима других организација.

  • Форматирано као PKCS заштићен лозинком #12 датотека

  • Користите пријатељско име kms-private-key да бисте означили сертификат, приватни кључ и све међусертификате за отпремање.

Можете користити конвертор као што је OpenSSL да бисте променили формат вашег сертификата.

Мораћете да унесете лозинку када покренете алатку за подешавање HDS-а.

KMS софтвер не намеће употребу кључа или проширена ограничења употребе кључа. Неки ауторитети за сертификате захтевају да се на сваки сертификат примене проширена ограничења коришћења кључа, као што је аутентификација сервера. У реду је користити аутентификацију сервера или друга подешавања.

Захтеви за виртуелни хост

Виртуелни хостови које ћете подесити као хибридне чворове безбедности података у вашем кластеру имају следеће захтеве:

  • Најмање два одвојена хоста (препоручује се 3) смештена у истом безбедном дата центру

  • VMware ESXi 7.0 или 8.0 инсталиран и покренут.

    Морате надоградити ако имате старију верзију ESXi-ја.

  • Минимум 4 vCPU-а, 8 GB главне меморије, 30 GB локалног простора на чврстом диску по серверу

Захтеви сервера базе података

Направите нову базу података за складиштење кључева. Не користите подразумевану базу података. HDS апликације, када се инсталирају, креирају шему базе података.

Постоје две опције за сервер базе података. Захтеви за сваки су следећи:

Tabela 2. Захтеви сервера базе података према типу базе података

PostgreSQL

Мајкрософт СКЛ Сервер

  • PostgreSQL 14, 15 или 16, инсталиран и покренут.

  • Инсталиран је SQL Server 2016, 2017, 2019 или 2022 (Enterprise или Standard).

    SQL Server 2016 захтева Service Pack 2 и Cumulative Update 2 или новији.

Минимум 8 виртуалних процесора (vCPU), 16 GB главне меморије, довољно простора на чврстом диску и праћење како би се осигурало да се не прекорачи тај простор (препоручује се 2 TB ако желите да користите базу података дуже време без потребе за повећањем простора за складиштење)

Минимум 8 виртуалних процесора (vCPU), 16 GB главне меморије, довољно простора на чврстом диску и праћење како би се осигурало да се не прекорачи тај простор (препоручује се 2 TB ако желите да користите базу података дуже време без потребе за повећањем простора за складиштење)

HDS софтвер тренутно инсталира следеће верзије драјвера за комуникацију са сервером базе података:

PostgreSQL

Мајкрософт СКЛ Сервер

Postgres JDBC драјвер 42.2.5

SQL Server JDBC драјвер 4.6

Ова верзија драјвера подржава SQL Server Always On ( инстанце кластера Always On Failover и групе доступности Always On).

Додатни захтеви за Windows аутентификацију на Microsoft SQL Server-у

Ако желите да HDS чворови користе Windows аутентификацију да би добили приступ вашој бази података складишта кључева на Microsoft SQL Server-у, онда вам је потребна следећа конфигурација у вашем окружењу:

  • HDS чворови, инфраструктура Active Directory-ја и MS SQL Server морају бити синхронизовани са NTP-ом.

  • Windows налог који пружате HDS чворовима мора имати read/write приступ бази података.

  • DNS сервери које пружате HDS чворовима морају бити у стању да резолуцију вашег центра за дистрибуцију кључева (KDC).

  • Можете регистровати инстанцу базе података HDS на вашем Microsoft SQL Server-у као име принципала услуге (SPN) у вашем Active Directory-ју. Погледајте Регистровање имена принципала услуге за Керберос везе.

    Алат за подешавање HDS-а, покретач HDS-а и локални KMS морају да користе Windows аутентификацију за приступ бази података складишта кључева. Они користе детаље из ваше ISO конфигурације да би конструисали SPN када захтевају приступ са Kerberos аутентификацијом.

Захтеви за екстерну повезаност

Конфигуришите свој заштитни зид да бисте омогућили следећу повезаност за HDS апликације:

Aplikacija

Protokol

Port

Упутство из апликације

Odredište

Хибридни чворови за безбедност података

TCP

443

Одлазни HTTPS и WSS

  • Вебекс сервери:

    • *.wbx2.com

    • *.ciscospark.com

  • Сви хостови заједничког идентитета

  • Остали URL-ови који су наведени за хибридну безбедност података у табели Додатни URL-ови за Webex хибридне услуге у одељку Мрежни захтеви за Webex услуге

Алат за подешавање HDS-а

TCP

443

Одлазни HTTPS

  • *.wbx2.com

  • Сви хостови заједничког идентитета

  • hub.docker.com

Хибридни чворови безбедности података раде са транслацијом мрежног приступа (NAT) или иза заштитног зида (фајервола), све док NAT или заштитни зид дозвољавају потребне одлазне везе ка одредиштима домена у претходној табели. За везе које иду ка чворовима хибридне безбедности података, ниједан порт не би требало да буде видљив са интернета. Унутар вашег дата центра, клијентима је потребан приступ чворовима хибридне безбедности података на TCP портовима 443 и 22, у административне сврхе.

URL-ови за хостове заједничког идентитета (CI) су специфични за регион. Ово су тренутни CI хостови:

Region

Уобичајени URL-ови хоста за идентитет

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ако се овај проблем појави, заобилажење (неинспектирање) саобраћаја ка wbx2.com и ciscospark.com ће решити проблем.

Испуните предуслове за хибридну безбедност података

Користите ову контролну листу да бисте били сигурни да сте спремни да инсталирате и конфигуришете свој кластер хибридне безбедности података.
1

Уверите се да ваша партнерска организација има омогућену функцију Multi-Tenant HDS и да добијете акредитиве налога са пуним администраторским правима партнера и пуним администраторским правима. Уверите се да је ваша организација корисника Webex-а омогућена за Pro Pack за Cisco Webex Control Hub. За помоћ у вези са овим процесом обратите се свом Cisco партнеру или менаџеру налога.

Организације корисника не би требало да имају никакво постојеће HDS имплементирање.

2

Изаберите име домена за ваше HDS имплементирање (на пример, hds.company.com) и набавите ланац сертификата који садржи X.509 сертификат, приватни кључ и све међусертификате. Ланац сертификата мора да испуњава захтеве у X.509 захтевима за сертификат.

3

Припремите идентичне виртуелне хостове које ћете подесити као хибридне чворове за безбедност података у вашем кластеру. Потребна су вам најмање два одвојена хоста (препоручују се 3) смештена у истом безбедном дата центру, који испуњавају захтеве наведене у Захтеви за виртуелни хост.

4

Припремите сервер базе података који ће служити као складиште кључних података за кластер, у складу са захтевима сервера базе података. Сервер базе података мора бити смештен у безбедном дата центру са виртуелним хостовима.

  1. Направите базу података за складиштење кључева. (Морате да креирате ову базу података — немојте користити подразумевану базу података.) HDS апликације, када се инсталирају, креирају шему базе података.)

  2. Прикупите детаље које ће чворови користити за комуникацију са сервером базе података:

    • име хоста или ИП адреса (хост) и порт

    • име базе података (dbname) за складиштење кључева

    • корисничко име и лозинка корисника са свим привилегијама на бази података складишта кључева

5

За брз опоравак од катастрофе, подесите резервно окружење у другом дата центру. Окружење за прављење резервних копија одражава производно окружење виртуелних машина и сервера резервне базе података. На пример, ако продукција има 3 виртуелне машине које покрећу HDS чворове, резервно окружење треба да има 3 виртуелне машине.

6

Подесите syslog хост за прикупљање логова са чворова у кластеру. Прикупите његову мрежну адресу и системски порт (подразумевано је UDP 514).

7

Креирајте политику безбедног прављења резервних копија за чворове хибридне безбедности података, сервер базе података и хост системског дневника. Да бисте спречили непоправљив губитак података, морате направити резервну копију базе података и ISO датотеке конфигурације генерисане за чворове хибридне безбедности података.

Пошто чворови хибридне безбедности података чувају кључеве који се користе за шифровање и дешифровање садржаја, неуспех у одржавању оперативног распоређивања резултираће НЕПОДОКНАДЉИВИМ ГУБИТКОМ тог садржаја.

Клијенти Webex апликације кеширају своје кључеве, тако да прекид рада можда неће бити одмах приметан, али ће постати очигледан током времена. Иако је привремене прекиде немогуће спречити, они се могу надокнадити. Међутим, потпуни губитак (нема доступних резервних копија) базе података или ISO датотеке конфигурације резултираће неповратним подацима о клијентима. Од оператера чворова хибридне безбедности података се очекује да често праве резервне копије базе података и ISO датотеке конфигурације и да буду спремни да поново изграде центар података хибридне безбедности података уколико дође до катастрофалног квара.

8

Уверите се да конфигурација вашег заштитног зида омогућава повезивање ваших чворова хибридне безбедности података као што је наведено у Захтеви за екстерно повезивање.

9

Инсталирајте Docker ( https://www.docker.com) на било коју локалну машину која користи подржани оперативни систем (Microsoft Windows 10 Professional или Enterprise 64-bit, или Mac OSX Yosemite 10.10.3 или новији) са веб прегледачем који му може приступити на http://127.0.0.1:8080.

Користите Docker инстанцу да бисте преузели и покренули HDS Setup Tool, који креира локалне информације о конфигурацији за све чворове Hybrid Data Security. Можда ће вам бити потребна лиценца за Docker Desktop. Више информација потражите у Захтеви за Docker Desktop.

Да бисте инсталирали и покренули алатку за подешавање HDS-а, локална машина мора имати повезивање наведено у Захтеви за екстерно повезивање.

10

Ако интегришете прокси са Hybrid Data Security, уверите се да испуњава захтеве за прокси сервер.

Подесите хибридни кластер за безбедност података

Ток задатка за имплементацију хибридне безбедности података

Pre nego što počnete

1

Извршите почетно подешавање и преузмите инсталационе датотеке

Преузмите OVA датотеку на свој локални рачунар за каснију употребу.

2

Направите ISO конфигурацију за HDS хостове

Користите алатку за подешавање HDS-а да бисте креирали ISO конфигурациону датотеку за чворове хибридне безбедности података.

3

Инсталирајте HDS Host OVA

Направите виртуелну машину из OVA датотеке и извршите почетну конфигурацију, као што су мрежна подешавања.

Опција за конфигурисање мрежних подешавања током инсталације OVA је тестирана са ESXi 7.0 и 8.0. Опција можда није доступна у ранијим верзијама.

4

Подесите хибридну виртуелну машину за безбедност података

Пријавите се на VM конзолу и подесите акредитиве за пријаву. Конфигуришите мрежна подешавања за чвор ако их нисте конфигурисали у време имплементације OVA.

5

Отпремите и монтирајте ISO датотеку конфигурације HDS-а

Конфигуришите виртуелну машину из ISO конфигурационе датотеке коју сте креирали помоћу алатке за подешавање HDS-а.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ако мрежно окружење захтева конфигурацију проксија, наведите тип проксија који ћете користити за чвор и додајте прокси сертификат у складиште поверења ако је потребно.

7

Региструјте први чвор у кластеру

Региструјте виртуелну машину у Cisco Webex облаку као хибридни чвор за безбедност података.

8

Креирајте и региструјте више чворова

Завршите подешавање кластера.

9

Активирајте Multi-Tenant HDS на Partner Hub-у.

Активирајте HDS и управљајте организацијама закупаца на Partner Hub-у.

Извршите почетно подешавање и преузмите инсталационе датотеке

У овом задатку, преузимате OVA датотеку на свој рачунар (не на сервере које сте подесили као чворове хибридне безбедности података). Ову датотеку ћете користити касније у процесу инсталације.

1

Пријавите се у центар за партнере, а затим кликните на Услуге.

2

У одељку Услуге у облаку пронађите картицу Хибридна безбедност података, а затим кликните на Подешавање.

Клик на Подешавање у Центру за партнере је кључан за процес имплементације. Не настављајте са инсталацијом без завршетка овог корака.

3

Кликните на Додај ресурс и кликните на Преузми .OVA датотеку на картици Инсталирај и конфигуриши софтвер.

Старије верзије софтверског пакета (OVA) неће бити компатибилне са најновијим надоградњама хибридне безбедности података. Ово може довести до проблема приликом надоградње апликације. Уверите се да сте преузели најновију верзију ОВА датотеке.

Такође можете преузети ОВА у било ком тренутку из одељка Помоћ. Кликните на Подешавања > Помоћ > Преузмите софтвер за хибридну безбедност података.

OVA датотека ће аутоматски почети да се преузима. Сачувајте датотеку на одређену локацију на вашем рачунару.
4

Опционо, кликните на Погледајте водич за имплементацију хибридне безбедности података да бисте проверили да ли је доступна новија верзија овог водича.

Направите ISO конфигурацију за HDS хостове

Процес подешавања хибридне безбедности података креира ISO датотеку. Затим користите ISO да бисте конфигурисали свој Hybrid Data Security хост.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У редовним окружењима са HTTPS проксијем:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Алат за подешавање не подржава повезивање са локалним хостом путем http://localhost:8080. Користите http://127.0.0.1:8080 за повезивање са локалним хостом.

Користите веб прегледач да бисте отишли на локални хост, http://127.0.0.1:8080, и унесите корисничко име администратора за Partner Hub у промпту.

Алат користи овај први унос корисничког имена да би подесио одговарајуће окружење за тај налог. Алат затим приказује стандардни промпт за пријављивање.

7

Када се то од вас затражи, унесите своје администраторске акредитиве за пријаву у Partner Hub, а затим кликните на Пријавите се да бисте омогућили приступ потребним услугама за хибридну безбедност података.

8

На страници са прегледом алатке за подешавање кликните на Почетак рада.

9

На страници Увоз ISO датотека имате следеће опције:

  • Не— Ако креирате свој први HDS чвор, немате ISO датотеку за отпремање.
  • Да— Ако сте већ креирали HDS чворове, онда у прегледачу изаберите своју ISO датотеку и отпремите је.
10

Проверите да ли ваш X.509 сертификат испуњава захтеве наведене у X.509 захтеви за сертификат.

  • Ако никада раније нисте отпремили сертификат, отпремите X.509 сертификат, унесите лозинку и кликните на Настави.
  • Ако је ваш сертификат у реду, кликните на Настави.
  • Ако је ваш сертификат истекао или желите да га замените, изаберите Не за Да ли желите да наставите да користите HDS ланац сертификата и приватни кључ из претходног ISO сертификата?. Отпремите нови X.509 сертификат, унесите лозинку и кликните на Настави.
11

Унесите адресу базе података и налог за HDS да бисте приступили свом складишту кључних података:

  1. Изаберите тип базе података (PostgreSQL или Microsoft SQL Server).

    Ако изаберете Microsoft SQL Server, добићете поље Тип аутентификације.

  2. (само за Microsoft SQL Server ) Изаберите свој тип аутентификације:

    • Основна аутентификација: Потребно вам је име локалног SQL Server налога у пољу Корисничко име.

    • Windows аутентификација: Потребан вам је Windows налог у формату username@DOMAIN у пољу Корисничко име.

  3. Унесите адресу сервера базе података у облику : или :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    Можете користити IP адресу за основну аутентификацију, ако чворови не могу да користе DNS за решавање имена хоста.

    Ако користите Windows аутентификацију, морате унети потпуно квалификовано име домена у формату dbhost.example.org:1433

  4. Унесите име базе података.

  5. Унесите корисничко име и лозинку корисника са свим привилегијама на бази података за складиштење кључева.

12

Изаберите TLS режим повезивања са базом података:

Režim

Opis

Преферирај TLS (подразумевана опција)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ако омогућите TLS на серверу базе података, чворови покушавају да успоставе шифровану везу.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Овај режим није применљив за SQL Server базе података.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Након успостављања TLS везе, чвор упоређује потписника сертификата са сервера базе података са ауторитетом за сертификате у коренском сертификату базе података. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Након успостављања TLS везе, чвор упоређује потписника сертификата са сервера базе података са ауторитетом за сертификате у коренском сертификату базе података. Ako se ne podudaraju, čvor prekida vezu.

  • Чворови такође проверавају да ли се име хоста у сертификату сервера подудара са именом хоста у пољу Хост и порт базе података. Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Када отпремите коренски сертификат (ако је потребно) и кликнете на Настави, алатка за подешавање HDS-а тестира TLS везу са сервером базе података. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Због разлика у повезивању, HDS чворови би могли да успоставе TLS везу чак и ако машина са HDS алатком за подешавање не може успешно да је тестира.)

13

На страници Системски дневници конфигуришите свој Syslogd сервер:

  1. Унесите URL адресу syslog сервера.

    Ако сервер није DNS-решив са чворова за ваш HDS кластер, користите IP адресу у URL-у.

    Primer:
    udp://10.92.43.23:514 указује на логовање на Syslogd хост 10.92.43.23 на UDP порту 514.

  2. Ако сте подесили сервер да користи TLS енкрипцију, проверите Да ли је ваш syslog сервер конфигурисан за SSL енкрипцију?.

    Ако означите ову кућицу, уверите се да сте унели TCP URL адресу као што је tcp://10.92.43.23:514.

  3. Из падајућег менија Изаберите завршетак syslog записа изаберите одговарајуће подешавање за вашу ISO датотеку: За Graylog и Rsyslog TCP користи се Choose или Newline

    • Нулти бајт -- \x00

    • Нови ред -- \n—Изаберите ову опцију за Graylog и Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Опционо) Подразумевану вредност за неке параметре везе са базом података можете променити у Напредна подешавања. Генерално, овај параметар је једини који бисте можда желели да промените:

app_datasource_connection_pool_maxSize: 10
15

Кликните на Настави на екрану Ресетуј лозинку сервисних налога.

Лозинке за сервисне налоге имају век трајања од девет месеци. Користите овај екран када се ближи рок важења лозинки или желите да их ресетујете да бисте поништили претходне ISO датотеке.

16

Кликните на Преузми ISO датотеку. Сачувајте датотеку на локацији коју је лако пронаћи.

17

Направите резервну копију ISO датотеке на вашем локалном систему.

Безбедно чувајте резервну копију. Ова датотека садржи главни кључ за шифровање садржаја базе података. Ограничите приступ само на оне администраторе хибридне безбедности података који би требало да изврше измене конфигурације.

18

Да бисте затворили алатку за подешавање, откуцајте CTRL+C.

Šta je sledeće

Направите резервну копију ISO датотеке конфигурације. Потребан вам је да бисте креирали више чворова за опоравак или да бисте извршили измене конфигурације. Ако изгубите све копије ISO датотеке, изгубили сте и главни кључ. Опоравак кључева из ваше PostgreSQL или Microsoft SQL Server базе података није могућ.

Никада немамо копију овог кључа и не можемо вам помоћи ако га изгубите.

Инсталирајте HDS Host OVA

Користите ову процедуру да бисте креирали виртуелну машину из OVA датотеке.
1

Користите VMware vSphere клијент на вашем рачунару да бисте се пријавили на ESXi виртуелни хост.

2

Изаберите Датотека > Примена OVF шаблона.

3

У чаробњаку наведите локацију OVA датотеке коју сте раније преузели, а затим кликните на Даље.

4

На страници Изаберите име и фасциклу, унесите име виртуелне машине за чвор (на пример, „HDS_Node_1“), изаберите локацију где може да се налази распоређивање чвора виртуелне машине, а затим кликните на Даље.

5

На страници Изаберите рачунарски ресурс изаберите одредишни рачунарски ресурс, а затим кликните на Даље.

Покреће се провера валидације. Након завршетка, појављују се детаљи шаблона.

6

Проверите детаље шаблона, а затим кликните на Даље.

7

Ако се од вас затражи да изаберете конфигурацију ресурса на страници Конфигурација, кликните на 4 CPU, а затим кликните на Даље.

8

На страници Изаберите складиште кликните на Даље да бисте прихватили подразумевани формат диска и политику складиштења виртуелне машине.

9

На страници Изаберите мреже, изаберите опцију мреже са листе уноса да бисте обезбедили жељену повезаност са виртуелном машином.

10

На страници Прилагођавање шаблона конфигуришите следећа мрежна подешавања:

  • Име хоста— Унесите FQDN (име хоста и домен) или једноречно име хоста за чвор.

    • Не морате да подесите домен тако да се подудара са доменом који сте користили за добијање X.509 сертификата.

    • Да бисте осигурали успешну регистрацију у облаку, користите само мала слова у FQDN-у или имену хоста које сте подесили за чвор. Trenutno nije podržano pisanje velikim slovima.

    • Укупна дужина FQDN-а не сме бити већа од 64 карактера.

  • ИП адреса— Унесите ИП адресу за интерни интерфејс чвора.

    Ваш чвор треба да има интерну IP адресу и DNS име. DHCP није подржан.

  • Маска— Унесите адресу маске подмреже у децималном формату са тачкама. На пример, 255.255.255.0.
  • Гејтвеј— Унесите ИП адресу гејтвеја. Гејтвеј је мрежни чвор који служи као приступна тачка другој мрежи.
  • DNS сервери— Унесите листу DNS сервера одвојених зарезима који обрађују претварање имена домена у нумеричке IP адресе. (Дозвољено је до 4 DNS уноса.)
  • НТП сервери— Унесите НТП сервер ваше организације или други екстерни НТП сервер који се може користити у вашој организацији. Подразумевани NTP сервери можда неће радити за сва предузећа. Такође можете користити листу одвојену зарезима да бисте унели више NTP сервера.

  • Распоредите све чворове на истој подмрежи или VLAN-у, тако да сви чворови у кластеру буду доступни клијентима у вашој мрежи у административне сврхе.

Ако желите, можете прескочити конфигурацију мрежних подешавања и пратити кораке у Подешавање хибридне виртуелне машине за безбедност података да бисте конфигурисали подешавања из конзоле чвора.

Опција за конфигурисање мрежних подешавања током инсталације OVA је тестирана са ESXi 7.0 и 8.0. Опција можда није доступна у ранијим верзијама.

11

Кликните десним тастером миша на виртуелну машину чвора, а затим изаберите Напајање > Укључивање.

Софтвер за хибридну безбедност података је инсталиран као гост на виртуелној машини. Сада сте спремни да се пријавите на конзолу и конфигуришете чвор.

Saveti za rešavanje problema

Може доћи до кашњења од неколико минута пре него што се појаве контејнери чворова. Порука о заштитном зиду моста се појављује на конзоли током првог покретања, током којег се не можете пријавити.

Подесите хибридну виртуелну машину за безбедност података

Користите ову процедуру да бисте се први пут пријавили на конзолу виртуелне машине чвора Hybrid Data Security и подесили акредитиве за пријаву. Такође можете користити конзолу за конфигурисање мрежних подешавања за чвор ако их нисте конфигурисали у време имплементације OVA.

1

У VMware vSphere клијенту, изаберите виртуелну машину Hybrid Data Security чвора и изаберите картицу Конзола.

Виртуелна машина се покреће и појављује се промови за пријаву. Ако се промови за пријаву не прикажу, притисните Enter.
2

Користите следеће подразумевано корисничко име и лозинку за пријаву и промену акредитива:

  1. Пријава: admin

  2. Lozinka: cisco

Пошто се први пут пријављујете на своју виртуелну машину, потребно је да промените администраторску лозинку.

3

Ако сте већ конфигурисали мрежне поставке у Инсталирајте HDS Host OVA, прескочите остатак ове процедуре. У супротном, у главном менију изаберите опцију Измени конфигурацију.

4

Подесите статичку конфигурацију са ИП адресом, маском, мрежним пролазом и ДНС информацијама. Ваш чвор треба да има интерну IP адресу и DNS име. DHCP није подржан.

5

(Опционо) Промените име хоста, домен или NTP сервер(е), ако је потребно, да би се ускладили са вашом мрежном политиком.

Не морате да подесите домен тако да се подудара са доменом који сте користили за добијање X.509 сертификата.

6

Сачувајте конфигурацију мреже и поново покрените виртуелну машину како би промене ступиле на снагу.

Отпремите и монтирајте ISO датотеку конфигурације HDS-а

Користите ову процедуру да бисте конфигурисали виртуелну машину из ISO датотеке коју сте креирали помоћу алатке за подешавање HDS-а.

Pre nego što počnete

Пошто ISO датотека садржи главни кључ, требало би да буде изложена само по принципу „потребно је знати“, за приступ виртуелним машинама за безбедност хибридних података и свим администраторима којима је потребно да изврше измене. Уверите се да само ти администратори могу приступити складишту података.

1

Отпремите ISO датотеку са рачунара:

  1. У левом навигационом окну VMware vSphere клијента кликните на ESXi сервер.

  2. На листи Хардвер на картици Конфигурација кликните на Складиштење.

  3. На листи складишта података, кликните десним тастером миша на складиште података за ваше виртуелне машине и кликните на Прегледај складиште података.

  4. Кликните на икону Отпреми датотеку, а затим кликните на Отпреми датотеку.

  5. Потражите локацију на рачунару где сте преузели ISO датотеку и кликните на Отвори.

  6. Кликните на Да да бисте прихватили upload/download упозорење о операцији и затворите дијалог складишта података.

2

Монтирајте ISO датотеку:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Кликните на У реду да бисте прихватили упозорење о ограниченим опцијама уређивања.

  3. Кликните на CD/DVD Drive 1, изаберите опцију за монтирање из ISO датотеке складишта података и потражите локацију где сте отпремили ISO датотеку конфигурације.

  4. Проверите Повезано и Повежи се при укључивању.

  5. Сачувајте измене и поново покрените виртуелну машину.

Šta je sledeće

Ако ваша ИТ политика то захтева, можете опционо демонтирати ISO датотеку након што сви ваши чворови приме промене конфигурације. Видите (Опционо) Демонтирање ISO датотеке након конфигурације HDS-а за детаље.

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Унесите URL адресу за подешавање HDS чвора https://[HDS Node IP or FQDN]/setup у веб прегледач, унесите администраторске акредитиве које сте подесили за чвор, а затим кликните на Пријави се.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Без проксија—Подразумевана опција пре интеграције проксија. Nije potrebna ispravka certifikata.
  • Транспарентни прокси који не инспектира— Чворови нису конфигурисани да користе одређену адресу прокси сервера и не би требало да захтевају никакве промене да би радили са проксијем који не инспектира. Nije potrebna ispravka certifikata.
  • Транспарентна инспекција проксија— Чворови нису конфигурисани да користе одређену адресу прокси сервера. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Експлицитни прокси— Са експлицитним проксијем, говорите клијенту (HDS чворовима) који прокси сервер да користи, а ова опција подржава неколико врста аутентификације. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Прокси IP/FQDN—Адреса која се може користити за приступ прокси машини.

    2. Порт проксија— Број порта који прокси користи за слушање проксираног саобраћаја.

    3. Прокси протокол— Изаберите http (прегледа и контролише све захтеве који се примају од клијента) или https (обезбеђује канал серверу, а клијент прима и валидира сертификат сервера). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Тип аутентификације— Изаберите један од следећих типова аутентификације:

      • Нема—Није потребна даља аутентификација.

        Dostupno za HTTP ili HTTPS proksije.

      • Основно—Користи се да HTTP кориснички агент пружи корисничко име и лозинку приликом подношења захтева. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Сажетак—Користи се за потврду налога пре слања осетљивих информација. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Можете наставити са подешавањем, а чвор ће функционисати у режиму блокираног екстерног DNS решавања. Ако мислите да је ово грешка, извршите ове кораке, а затим погледајте Искључите режим блокираног екстерног DNS решавања.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Региструјте први чвор у кластеру

Овај задатак узима генерички чвор који сте креирали у Подешавање виртуелне машине за хибридну безбедност података, региструје чвор у Webex облаку и претвара га у чвор за хибридну безбедност података.

Када региструјете свој први чвор, креирате кластер којем је чвор додељен. Кластер садржи један или више чворова распоређених да обезбеде редундантност.

Pre nego što počnete

  • Када започнете регистрацију чвора, морате је завршити у року од 60 минута или ћете морати да почнете испочетка.

  • Уверите се да су сви блокатори искачућих прозора у вашем прегледачу онемогућени или да сте дозволили изузетак за admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

Из менија на левој страни екрана изаберите Услуге.

3

У одељку Услуге у облаку пронађите картицу Хибридна безбедност података и кликните на Подешавање.

4

На страници која се отвори кликните на Додај ресурс.

5

У прво поље картице Додај чвор унесите назив кластера којем желите да доделите свој чвор хибридне безбедности података.

Препоручујемо да кластер назовете на основу географске локације чворова кластера. Примери: „Сан Франциско“ или „Њујорк“ или „Далас“

6

У друго поље унесите интерну IP адресу или потпуно квалификовано име домена (FQDN) вашег чвора и кликните на Додај на дну екрана.

Ова IP адреса или FQDN треба да се подудара са IP адресом или именом хоста и доменом које сте користили у Подешавање хибридне виртуелне машине за безбедност података.

Појављује се порука која показује да можете регистровати свој чвор на Webex-у.
7

Кликните на Иди на чвор.

Након неколико тренутака, бићете преусмерени на тестове повезивања чворова за Webex услуге. Ако су сви тестови успешни, појављује се страница Дозволи приступ хибридном чвору безбедности података. Тамо потврђујете да желите да дате дозволе својој Webex организацији за приступ вашем чвору.

8

Означите поље за потврду Дозволи приступ вашем хибридном чвору за безбедност података, а затим кликните на Настави.

Ваш налог је потврђен и порука „Регистрација завршена“ означава да је ваш чвор сада регистрован у Webex облаку.
9

Кликните на везу или затворите картицу да бисте се вратили на страницу за безбедност хибридних података у центру за партнере.

На страници Хибридна безбедност података, нови кластер који садржи чвор који сте регистровали приказан је на картици Ресурси. Чвор ће аутоматски преузети најновији софтвер из облака.

Креирајте и региструјте више чворова

Да бисте додали додатне чворове у кластер, једноставно креирате додатне виртуелне машине и монтирате исту ISO датотеку конфигурације, а затим региструјете чвор. Препоручујемо да имате најмање 3 чвора.

Pre nego što počnete

  • Када започнете регистрацију чвора, морате је завршити у року од 60 минута или ћете морати да почнете испочетка.

  • Уверите се да су сви блокатори искачућих прозора у вашем прегледачу онемогућени или да сте дозволили изузетак за admin.webex.com.

1

Направите нову виртуелну машину из OVA, понављајући кораке у Инсталирајте HDS Host OVA.

2

Подесите почетну конфигурацију на новој виртуелној машини, понављајући кораке у Подешавање хибридне виртуелне машине за безбедност података.

3

На новој виртуелној машини, поновите кораке у Отпремите и монтирајте ISO датотеку конфигурације HDS-а.

4

Ако подешавате прокси за своје распоређивање, поновите кораке у Конфигуришите HDS чвор за интеграцију проксија по потреби за нови чвор.

5

Региструјте чвор.

  1. У https://admin.webex.com, изаберите Услуге из менија на левој страни екрана.

  2. У одељку Услуге у облаку пронађите картицу Хибридна безбедност података и кликните на Прикажи све.

    Појављује се страница Ресурси за безбедност хибридних података.

  3. Новокреирани кластер ће се појавити на страници Ресурси.

  4. Кликните на кластер да бисте видели чворове додељене кластеру.

  5. Кликните на Додај чвор на десној страни екрана.

  6. Унесите интерну IP адресу или потпуно квалификовано име домена (FQDN) вашег чвора и кликните на Додај.

    Отвара се страница са поруком која показује да можете регистровати свој чвор у Webex облаку. Након неколико тренутака, бићете преусмерени на тестове повезивања чворова за Webex услуге. Ако су сви тестови успешни, појављује се страница Дозволи приступ хибридном чвору безбедности података. Тамо потврђујете да желите да дате дозволе својој организацији за приступ вашем чвору.

  7. Означите поље за потврду Дозволи приступ вашем хибридном чвору за безбедност података, а затим кликните на Настави.

    Ваш налог је потврђен и порука „Регистрација завршена“ означава да је ваш чвор сада регистрован у Webex облаку.

  8. Кликните на везу или затворите картицу да бисте се вратили на страницу за безбедност хибридних података у центру за партнере.

    Искачућа порукаЧвор додат се такође појављује на дну екрана у Центру за партнере.

    Ваш чвор је регистрован.

Управљајте организацијама закупаца на вишезакупничкој хибридној безбедности података

Активирајте Multi-Tenant HDS на Partner Hub-у

Овај задатак осигурава да сви корисници организација клијената могу почети да користе HDS за локалне кључеве за шифровање и друге безбедносне услуге.

Pre nego što počnete

Уверите се да сте завршили подешавање вашег вишезакупничког HDS кластера са потребним бројем чворова.

1

Prijavite se u https://admin.webex.com.

2

Из менија на левој страни екрана изаберите Услуге.

3

У одељку Услуге у облаку пронађите Хибридна безбедност података и кликните на Измени подешавања.

4

Кликните на Активирај HDS на картици HDS статус.

Додајте организације закупаца у Центру за партнере

У овом задатку, додељујете организације клијената свом хибридном кластеру за безбедност података.

1

Prijavite se u https://admin.webex.com.

2

Из менија на левој страни екрана изаберите Услуге.

3

У одељку Услуге у облаку пронађите Хибридна безбедност података и кликните на Прикажи све.

4

Кликните на кластер којем желите да доделите клијента.

5

Идите на картицу Додељени клијенти.

6

Кликните на Додај купце.

7

Изаберите купца кога желите да додате из падајућег менија.

8

Кликните на Додај, купац ће бити додат у кластер.

9

Поновите кораке од 6 до 8 да бисте додали више купаца у кластер.

10

Кликните на Готово на дну екрана када додате купце.

Šta je sledeće

Покрените алатку за подешавање HDS-а као што је детаљно описано у Креирајте главне кључеве корисника (CMK) помоћу алатке за подешавање HDS-а да бисте завршили процес подешавања.

Креирајте главне кључеве корисника (CMK) помоћу алатке за подешавање HDS-а

Pre nego što počnete

Доделите клијенте одговарајућем кластеру као што је детаљно описано у Додајте организације закупаца у Центру за партнере. Покрените алатку за подешавање HDS-а да бисте завршили процес подешавања за новододате организације купаца.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Процес подешавања захтева акредитиве за налог Partner Hub-а са пуним администраторским правима за вашу организацију.

    Ако алатка за подешавање HDS-а ради иза проксија у вашем окружењу, наведите подешавања проксија (сервер, порт, акредитиве) путем Docker променљивих окружења када покрећете Docker контејнер у кораку 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO датотека конфигурације коју генеришете садржи главни кључ који шифрује PostgreSQL или Microsoft SQL Server базу података. Потребна вам је најновија копија ове датотеке сваки пут када правите измене конфигурације, као што су ове:

    • Акредитиви базе података

    • Ажурирања сертификата

    • Промене у политици овлашћења

  • Ако планирате да шифрујете везе са базом података, подесите имплементацију PostgreSQL-а или SQL Server-а за TLS.

Процес подешавања хибридне безбедности података креира ISO датотеку. Затим користите ISO да бисте конфигурисали свој Hybrid Data Security хост.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У редовним окружењима са HTTPS проксијем:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Алат за подешавање не подржава повезивање са локалним хостом путем http://localhost:8080. Користите http://127.0.0.1:8080 за повезивање са локалним хостом.

Користите веб прегледач да бисте отишли на локални хост, http://127.0.0.1:8080, и унесите корисничко име администратора за Partner Hub у промпту.

Алат користи овај први унос корисничког имена да би подесио одговарајуће окружење за тај налог. Алат затим приказује стандардни промпт за пријављивање.

7

Када се то од вас затражи, унесите своје администраторске акредитиве за пријаву у Partner Hub, а затим кликните на Пријавите се да бисте омогућили приступ потребним услугама за хибридну безбедност података.

8

На страници са прегледом алатке за подешавање кликните на Почетак рада.

9

На страници Увоз ISO датотеке кликните на Да.

10

Изаберите своју ISO датотеку у прегледачу и отпремите је.

Обезбедите повезивање са вашом базом података како бисте извршили управљање CMK-ом.
11

Идите на картицу Управљање CMK-овима закупаца, где ћете пронаћи следећа три начина за управљање CMK-овима закупаца.

  • Креирај CMK за све организације или Креирај CMK - Кликните на ово дугме на банеру на врху екрана да бисте креирали CMK за све новододате организације.
  • Кликните на дугме Управљање CMK-овима на десној страни екрана и кликните на Креирај CMK-ове да бисте креирали CMK-ове за све новододате организације.
  • Кликните на … поред статуса чекања за управљање CMK-ом за одређену организацију у табели и кликните на Креирај CMK да бисте креирали CMK за ту организацију.
12

Када је креирање CMK-а успешно, статус у табели ће се променити из управљање CMK-ом на чекању у управљано CMK-ом.

13

Ако креирање CMK-а не буде успешно, приказаће се грешка.

Уклоните организације закупаца

Pre nego što počnete

Једном када се уклони, корисници организација купаца неће моћи да користе HDS за своје потребе шифровања и изгубиће све постојеће просторе. Пре него што уклоните организације клијената, обратите се свом Cisco партнеру или менаџеру налога.

1

Prijavite se u https://admin.webex.com.

2

Из менија на левој страни екрана изаберите Услуге.

3

У одељку Услуге у облаку пронађите Хибридна безбедност података и кликните на Прикажи све.

4

На картици Ресурси кликните на кластер из којег желите да уклоните организације купаца.

5

На страници која се отвори кликните на Додељени клијенти.

6

Са листе приказаних организација купаца, кликните на ... са десне стране организације купаца коју желите да уклоните и кликните на Уклони из кластера.

Šta je sledeće

Завршите процес уклањања поништавањем CMK-ова организација купаца као што је детаљно описано у Поништавање CMK-ова закупаца уклоњених из HDS-а.

Поништити CMK-ове станара уклоњених из HDS-а.

Pre nego što počnete

Уклоните купце из одговарајућег кластера као што је детаљно описано у Уклоните организације закупаца. Покрените алатку HDS Setup да бисте завршили процес уклањања за уклоњене организације клијената.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Процес подешавања захтева акредитиве за налог Partner Hub-а са пуним администраторским правима за вашу организацију.

    Ако алатка за подешавање HDS-а ради иза проксија у вашем окружењу, наведите подешавања проксија (сервер, порт, акредитиве) путем Docker променљивих окружења када покрећете Docker контејнер у кораку 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO датотека конфигурације коју генеришете садржи главни кључ који шифрује PostgreSQL или Microsoft SQL Server базу података. Потребна вам је најновија копија ове датотеке сваки пут када правите измене конфигурације, као што су ове:

    • Акредитиви базе података

    • Ажурирања сертификата

    • Промене у политици овлашћења

  • Ако планирате да шифрујете везе са базом података, подесите имплементацију PostgreSQL-а или SQL Server-а за TLS.

Процес подешавања хибридне безбедности података креира ISO датотеку. Затим користите ISO да бисте конфигурисали свој Hybrid Data Security хост.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У редовним окружењима са HTTPS проксијем:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Алат за подешавање не подржава повезивање са локалним хостом путем http://localhost:8080. Користите http://127.0.0.1:8080 за повезивање са локалним хостом.

Користите веб прегледач да бисте отишли на локални хост, http://127.0.0.1:8080, и унесите корисничко име администратора за Partner Hub у промпту.

Алат користи овај први унос корисничког имена да би подесио одговарајуће окружење за тај налог. Алат затим приказује стандардни промпт за пријављивање.

7

Када се то од вас затражи, унесите своје администраторске акредитиве за пријаву у Partner Hub, а затим кликните на Пријавите се да бисте омогућили приступ потребним услугама за хибридну безбедност података.

8

На страници са прегледом алатке за подешавање кликните на Почетак рада.

9

На страници Увоз ISO датотеке кликните на Да.

10

Изаберите своју ISO датотеку у прегледачу и отпремите је.

11

Идите на картицу Управљање CMK-овима закупаца, где ћете пронаћи следећа три начина за управљање CMK-овима закупаца.

  • Поништи CMK за све организације или Поништи CMK - Кликните на ово дугме на банеру на врху екрана да бисте опозвали CMK-ове свих организација које су уклоњене.
  • Кликните на дугме Управљање CMK-овима на десној страни екрана и кликните на Поништи CMK-ове да бисте опозвали CMK-ове свих организација које су уклоњене.
  • Кликните на поред статуса CMK који треба опозвати за одређену организацију у табели и кликните на Поништи CMK да бисте опозвали CMK за ту одређену организацију.
12

Када се опозив CMK-а успешно заврши, организација клијента се више неће појављивати у табели.

13

Ако опозив CMK-а не буде успешан, приказаће се грешка.

Тестирајте своју имплементацију хибридне безбедности података

Тестирајте своју хибридну имплементацију безбедности података

Користите ову процедуру за тестирање сценарија шифровања хибридне безбедности података за више закупаца.

Pre nego što počnete

  • Подесите имплементацију хибридне безбедности података за више закупаца.

  • Уверите се да имате приступ системском дневнику (syslog) како бисте проверили да ли се кључни захтеви прослеђују вашем имплементирању хибридне безбедности података за више закупаца.

1

Кључеве за дати простор поставља креатор простора. Пријавите се у Webex апликацију као један од корисника организације клијента, а затим креирајте простор.

Ако деактивирате имплементацију хибридне безбедности података, садржај у просторима које корисници креирају више није доступан након што се замене копије кључева за шифровање кеширане од стране клијента.

2

Шаљите поруке у нови простор.

3

Проверите излаз системског дневника да бисте потврдили да се захтеви за кључем прослеђују вашем распоређивању хибридне безбедности података.

Ако корисник новододате организације клијента изврши било коју радњу, ИД организације ће се појавити у евиденцији и то се може користити за проверу да ли организација користи Multi-Tenant HDS. Проверите вредност kms.data.orgId у системским дневницима.

  1. Да бисте проверили да ли корисник прво успоставља безбедан канал ка KMS-у, филтрирајте на kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Требало би да пронађете унос као што је следећи (идентификатори скраћени ради читљивости):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. Да бисте проверили да ли корисник захтева постојећи кључ од KMS-а, филтрирајте на kms.data.method=retrieve и kms.data.type=KEY:

    Требало би да пронађете унос као што је:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. Да бисте проверили да ли корисник захтева креирање новог KMS кључа, филтрирајте по kms.data.method=create и kms.data.type=KEY_COLLECTION:

    Требало би да пронађете унос као што је:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. Да бисте проверили да ли корисник захтева креирање новог KMS ресурсног објекта (KRO) када се креира простор или други заштићени ресурс, филтрирајте по kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

    Требало би да пронађете унос као што је: 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Праћење здравља безбедности хибридних података

Индикатор статуса у оквиру Центра за партнере показује вам да ли је све у реду са имплементацијом хибридне безбедности података за више закупаца. За проактивнија упозорења, пријавите се за обавештења путем е-поште. Бићете обавештени када се појаве аларми или надоградње софтвера који утичу на услугу.
1

У Центру за партнере, изаберите Услуге из менија на левој страни екрана.

2

У одељку Услуге у облаку пронађите Хибридна безбедност података и кликните на Измени подешавања.

Појављује се страница Подешавања хибридне безбедности података.
3

У одељку Обавештења путем е-поште унесите једну или више адреса е-поште одвојених зарезима и притисните Enter.

Управљајте својим HDS распоређивањем

Управљање HDS имплементацијом

Користите задатке описане овде да бисте управљали имплементацијом хибридне безбедности података.

Подесите распоред надоградње кластера

Надоградње софтвера за хибридну безбедност података се врше аутоматски на нивоу кластера, што осигурава да сви чворови увек користе исту верзију софтвера. Надоградње се врше према распореду надоградње за кластер. Када надоградња софтвера постане доступна, имате могућност ручне надоградње кластера пре заказаног времена надоградње. Можете подесити одређени распоред надоградње или користити подразумевани распоред 3:00 AM Daily Сједињене Америчке Државе: America/Los Анђелес. Такође можете да одложите предстојећу надоградњу, ако је потребно.

Да бисте подесили распоред надоградње:

1

Prijavite se u partnerski centar.

2

Из менија на левој страни екрана изаберите Услуге.

3

У одељку Услуге у облаку пронађите Хибридну безбедност података и кликните на Подешавање

4

На страници Ресурси за безбедност хибридних података изаберите кластер.

5

Кликните на картицу Подешавања кластера.

6

На страници Подешавања кластера, у оквиру Распоред надоградње, изаберите време и временску зону за распоред надоградње.

Napomena: Испод временске зоне приказан је следећи доступни датум и време надоградње. Надоградњу можете одложити за следећи дан, ако је потребно, кликом на Одложи за 24 сата.

Промена конфигурације чвора

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Софт ресетовање— Стара и нова лозинка важе до 10 дана. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Хард ресет— Старе лозинке одмах престају да раде.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Процес подешавања захтева акредитиве налога за Partner Hub са пуним администраторским правима партнера.

    Ако немате лиценцу за Docker Desktop, можете користити Podman Desktop да бисте покренули алатку HDS Setup за кораке од 1.a до 1.e у поступку испод. Видите Покрените алатку за подешавање HDS-а помоћу Podman Desktop-а за детаље.

    Ако алатка за подешавање HDS-а ради иза проксија у вашем окружењу, наведите подешавања проксија (сервер, порт, акредитиве) путем Docker променљивих окружења када покрећете Docker контејнер у 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker rmi ciscocitg/hds-setup:stable

    U FedRAMP okruženjima:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker login -u hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker pull ciscocitg/hds-setup:stable

    U FedRAMP okruženjima:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Алат за подешавање не подржава повезивање са локалним хостом путем http://localhost:8080. Користите http://127.0.0.1:8080 за повезивање са локалним хостом.

  7. Када се то од вас затражи, унесите своје акредитиве за пријаву корисника за Partner Hub, а затим кликните на Прихвати да бисте наставили.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Да бисте затворили алатку за подешавање, откуцајте CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ако имате само један HDS чвор који ради, креирајте нову виртуелну машину за Hybrid Data Security чвор и региструјте је користећи нову ISO датотеку конфигурације. За детаљнија упутства, погледајте Креирање и регистровање додатних чворова.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Региструјте нови чвор у Центру за партнере.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Кликните на CD/DVD Drive 1, изаберите опцију монтирања из ISO датотеке и потражите локацију где сте преузели нову ISO датотеку конфигурације.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Уклони чвор

Користите ову процедуру да бисте уклонили чвор хибридне безбедности података из Webex облака. Након што уклоните чвор из кластера, обришите виртуелну машину да бисте спречили даљи приступ вашим безбедносним подацима.
1

Користите VMware vSphere клијент на рачунару да бисте се пријавили на ESXi виртуелни хост и искључили виртуелну машину.

2

Уклоните чвор:

  1. Пријавите се у центар за партнере, а затим изаберите Услуге.

  2. На картици Хибридна безбедност података кликните на Прикажи све да бисте приказали страницу Ресурси за хибридну безбедност података.

  3. Изаберите свој кластер да бисте приказали његов панел Преглед.

  4. Кликните на чвор који желите да уклоните.

  5. Кликните на Одјави овај чвор на панелу који се појављује са десне стране

  6. Такође можете одјавити чвор кликом на … са десне стране чвора и одабиром опције Уклони овај чвор.

3

У vSphere клијенту, обришите виртуелну машину. (У левом навигационом окну кликните десним тастером миша на виртуелну машину и кликните на Обриши.)

Ако не обришете виртуелну машину, не заборавите да демонтирате ISO датотеку конфигурације. Без ISO датотеке, не можете користити виртуелну машину за приступ вашим безбедносним подацима.

Опоравак од катастрофе коришћењем резервног дата центра

Најважнија услуга коју ваш кластер за хибридну безбедност података пружа је креирање и складиштење кључева који се користе за шифровање порука и другог садржаја сачуваног у Webex облаку. За сваког корисника унутар организације који је додељен функцији „Хибридна безбедност података“, нови захтеви за креирање кључа се усмеравају ка кластеру. Кластер је такође одговоран за враћање кључева које је креирао свим корисницима који су овлашћени да их преузму, на пример, члановима простора за разговор.

Пошто кластер обавља кључну функцију обезбеђивања ових кључева, императив је да кластер остане у функцији и да се одржавају одговарајуће резервне копије. Губитак базе података Hybrid Data Security или ISO конфигурационог фајла који се користи за шему резултираће НЕПОПРАВЉИВИМ ГУБИТКОМ корисничког садржаја. Следеће праксе су обавезне да би се спречио такав губитак:

Ако катастрофа проузрокује да HDS имплементација у примарном дата центру постане недоступна, пратите ову процедуру да бисте ручно прешли на резервни дата центар.

Pre nego što počnete

Одрегиструјте све чворове из партнерског центра као што је поменуто у Уклоните чвор. Користите најновију ISO датотеку која је конфигурисана за чворове кластера који је претходно био активан, да бисте извршили процедуру пребацивања у случају отказа поменуту у наставку.
1

Покрените алатку за подешавање HDS-а и пратите кораке наведене у Креирајте ISO датотеку конфигурације за HDS хостове.

2

Завршите процес конфигурације и сачувајте ISO датотеку на локацији коју је лако пронаћи.

3

Направите резервну копију ISO датотеке на вашем локалном систему. Безбедно чувајте резервну копију. Ова датотека садржи главни кључ за шифровање садржаја базе података. Ограничите приступ само на оне администраторе хибридне безбедности података који би требало да изврше измене конфигурације.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Кликните на Измени подешавања >CD/DVD Диск 1 и изаберите ISO датотеку складишта података.

Уверите се да су означена поља Повезано и Повежи се при укључивању како би ажуриране измене конфигурације могле да ступе на снагу након покретања чворова.

6

Укључите HDS чвор и уверите се да нема аларма најмање 15 минута.

7

Региструјте чвор у партнерском чворишту. Погледајте Региструјте први чвор у кластеру.

8

Поновите поступак за сваки чвор у резервном дата центру.

Šta je sledeće

Након пребацивања на резервни систем, ако примарни центар података поново постане активан, одјавите чворове резервног центра података и поновите поступак конфигурисања ISO-а и регистрације чворова примарног центра података као што је горе наведено.

(Опционо) Демонтирајте ISO након конфигурације HDS-а

Стандардна HDS конфигурација ради са монтираним ISO-ом. Међутим, неки корисници више воле да не остављају ISO датотеке континуирано монтиране. Можете демонтирати ISO датотеку након што сви HDS чворови преузму нову конфигурацију.

И даље користите ISO датотеке за измене конфигурације. Када креирате нови ISO или ажурирате ISO помоћу алатке за подешавање, морате монтирати ажурирани ISO на све ваше HDS чворове. Када сви ваши чворови приме промене конфигурације, можете поново да демонтирате ИСО помоћу ове процедуре.

Pre nego što počnete

Надоградите све своје HDS чворове на верзију 2021.01.22.4720 или новију.

1

Искључите један од ваших HDS чворова.

2

У vCenter Server Appliance-у, изаберите HDS чвор.

3

Изаберите Измени подешавања > CD/DVD диск и уклоните ознаку са ISO датотека складишта података.

4

Укључите HDS чвор и уверите се да нема аларма најмање 20 минута.

5

Поновите за сваки HDS чвор редом.

Решавање проблема са безбедношћу хибридних података

Преглед упозорења и решавање проблема

Хибридна имплементација безбедности података се сматра недоступном ако су сви чворови у кластеру недоступни или ако кластер ради тако споро да захтева истека времена. Ако корисници не могу да дођу до вашег кластера за хибридну безбедност података, доживљавају следеће симптоме:

  • Нови простори се не могу креирати (није могуће креирати нове кључеве)

  • Поруке и називи простора се не дешифрују за:

    • Нови корисници су додати у простор (није могуће преузети кључеве)

    • Постојећи корисници у простору који користе новог клијента (не могу да преузму кључеве)

  • Постојећи корисници у простору ће наставити успешно да раде све док њихови клијенти имају кеш меморију кључева за шифровање

Важно је да правилно пратите свој кластер хибридне безбедности података и да благовремено решавате сва упозорења како бисте избегли прекид услуге.

Upozorenja

Ако постоји проблем са подешавањем хибридне безбедности података, центар за партнере приказује упозорења администратору организације и шаље имејлове на конфигурисану имејл адресу. Упозорења покривају многе уобичајене сценарије.

Табела 1. Уобичајени проблеми и кораци за њихово решавање

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Проверите да ли постоје грешке у бази података или проблеми са локалном мрежом.

Грешка у повезивању са локалном базом података.

Проверите да ли је сервер базе података доступан и да ли су у конфигурацији чвора коришћени исправни акредитиви сервисног налога.

Грешка у приступу облачном сервису.

Проверите да ли чворови могу да приступе Webex серверима као што је наведено у Захтеви за екстерну повезаност.

Обнављање регистрације за облачни сервис.

Регистрација за услуге у облаку је обустављена. Обнављање регистрације је у току.

Регистрација за услугу у облаку је прекинута.

Регистрација за услуге у облаку је прекинута. Услуга се искључује.

Услуга још није активирана.

Активирајте HDS у партнерском центру.

Конфигурисани домен се не подудара са сертификатом сервера.

Уверите се да сертификат вашег сервера одговара конфигурисаном домену за активацију услуге.

Највероватнији узрок је тај што је CN сертификата недавно промењен и сада се разликује од CN-а који је коришћен током почетног подешавања.

Аутентификација на клауд сервисима није успела.

Проверите тачност и могући рок трајања акредитива за налог услуге.

Отварање локалне датотеке складишта кључева није успело.

Проверите интегритет и тачност лозинке у локалној датотеци складишта кључева.

Сертификат локалног сервера је неважећи.

Проверите датум истека сертификата сервера и потврдите да га је издао поуздани ауторитет за сертификате.

Није могуће објавити метрику.

Проверите приступ локалне мреже спољним услугама у облаку.

/media/configdrive/hds Директоријум не постоји.

Проверите конфигурацију монтирања ISO датотеке на виртуелном хосту. Проверите да ли ISO датотека постоји, да ли је конфигурисана за монтирање при поновном покретању и да ли се успешно монтира.

Подешавање организације закупца није завршено за додате организације

Завршите подешавање креирањем CMK-ова за новододате организације закупаца помоћу алатке за подешавање HDS.

Подешавање организације закупца није завршено за уклоњене организације

Завршите подешавање поништавањем CMK-ова организација закупаца које су уклоњене помоћу алатке за подешавање HDS-а.

Решавање проблема са безбедношћу хибридних података

Користите следеће опште смернице приликом решавања проблема са хибридном безбедношћу података.
1

Прегледајте Чвориште за партнере за евентуална упозорења и исправите све ставке које тамо пронађете. Погледајте слику испод за референцу.

2

Прегледајте излаз syslog сервера за активности из имплементације хибридне безбедности података. Филтрирајте речи попут „Упозорење“ и „Грешка“ да бисте лакше решили проблем.

3

Контактирајте подршку компаније Cisco.

Остале напомене

Познати проблеми са безбедношћу хибридних података

  • Ако искључите свој кластер за хибридну безбедност података (брисањем у Partner Hub-у или искључивањем свих чворова), изгубите ISO датотеку конфигурације или изгубите приступ бази података складишта кључева, корисници Webex апликације организација клијената више не могу да користе просторе на својој листи људи који су креирани помоћу кључева из вашег KMS-а. Тренутно немамо заобилазно решење или исправку за овај проблем и позивамо вас да не искључујете своје HDS услуге када почну да обрађују активне корисничке налоге.

  • Клијент који има постојећу ECDH везу са KMS-ом одржава ту везу током одређеног временског периода (вероватно један сат).

Покрените алатку за подешавање HDS-а помоћу Podman Desktop-а

Подман је бесплатан алат за управљање контејнерима отвореног кода који пружа начин за покретање, управљање и креирање контејнера. Подман Десктоп се може преузети са https://podman-desktop.io/downloads.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Да бисте му приступили, преузмите и покрените Подман на тој машини. Proces instalacije zahteva akreditive naloga kontrolnog čvorišta sa punim administratorskim pravima za vašu organizaciju.

    Ако алатка за подешавање HDS-а ради иза проксија у вашем окружењу, наведите подешавања проксија (сервер, порт, акредитиве) путем Docker променљивих окружења када покрећете Docker контејнер у кораку 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO датотека конфигурације коју генеришете садржи главни кључ који шифрује PostgreSQL или Microsoft SQL Server базу података. Потребна вам је најновија копија ове датотеке сваки пут када правите измене конфигурације, као што су ове:

    • Акредитиви базе података

    • Ажурирања сертификата

    • Промене у политици овлашћења

  • Ако планирате да шифрујете везе са базом података, подесите имплементацију PostgreSQL-а или SQL Server-а за TLS.

Процес подешавања хибридне безбедности података креира ISO датотеку. Затим користите ISO да бисте конфигурисали свој Hybrid Data Security хост.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

podman rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

podman rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

podman login docker.io -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

podman pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У редовним окружењима са HTTPS проксијем:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

Šta je sledeće

Пратите преостале кораке у Креирајте ISO конфигурацију за HDS хостове или Промените конфигурацију чвора да бисте креирали или променили ISO конфигурацију.

Преместите постојеће HDS распоређивање за једног закупца партнерске организације у Control Hub-у у HDS подешавање за више закупаца у Partner Hub-у

Конверзија из постојећег HDS распоређивања са једним закупцем партнерске организације којим се управља у Control Hub-у у HDS распоређивање са више закупаца којим се управља у Partner Hub-у првенствено укључује деактивирање HDS услуге у Control Hub-у, одјаву чворова и брисање кластера. Затим се можете пријавити у Partner Hub, регистровати чворове, активирати Multi-Tenant HDS и додати кориснике у свој кластер.

Термин „једнозакупац“ се једноставно односи на постојеће HDS распоређивање у Control Hub-у.

Деактивирајте HDS, одјавите чворове и обришите кластер у Control Hub-у

1

Пријавите се на Контролни центар. У левом окну кликните на Хибрид. На картици Хибридна безбедност података кликните на Измени подешавања.

2

На страници са подешавањима, скролујте надоле до одељка Деактивирај и кликните на Деактивирај.

3

Након деактивације, кликните на картицу Ресурси.

4

Страница Ресурси приказује кластере у вашем HDS распоређивању. Кликните на кластер, отвара се страница са свим чворовима у оквиру тог кластера.

5

Кликните на ... са десне стране и кликните на Одјави чвор. Поновите поступак за све чворове у кластеру.

6

Ако ваше распоређивање има више кластера, поновите корак 4 и корак 5 док се сви чворови не одјаве.

7

Кликните на Подешавања кластера > Уклони.

8

Кликните на Потврди уклањање да бисте одјавили кластер.

9

Поновите поступак за све кластере у вашем HDS распоређивању.

Након деактивације HDS-а, одјаве чворова и уклањања кластера, картица Hybrid Data Service на Control Hub-у ће на дну имати поруку Подешавање није завршено.

Активирајте Multi-Tenant HDS за партнерску организацију на Partner Hub-у и додајте клијенте

Pre nego što počnete

Сви предуслови поменути у Захтеви за безбедност података хибридних система са више закупаца важе овде. Поред тога, осигурајте да се иста база података и сертификати користе током преласка на Multi-Tenant HDS.

1

Пријавите се на партнерски центар. Кликните на Услуге у левом окну.

Користите исти ISO из претходног HDS распоређивања да бисте конфигурисали чворове. Ово ће осигурати да поруке и садржај које су генерисали корисници у претходном постојећем HDS распоређивању буду и даље доступни у новом подешавању за више закупаца.

2

У одељку Услуге у облаку пронађите картицу Хибридна безбедност података и кликните на Подешавање.

3

На страници која се отвори кликните на Додај ресурс.

4

У прво поље картице Додај чвор унесите назив кластера којем желите да доделите свој чвор хибридне безбедности података.

Препоручујемо да кластер назовете на основу географске локације чворова кластера. Примери: „Сан Франциско“ или „Њујорк“ или „Далас“

5

У друго поље унесите интерну IP адресу или потпуно квалификовано име домена (FQDN) вашег чвора и кликните на Додај на дну екрана.

Ова IP адреса или FQDN треба да се подудара са IP адресом или именом хоста и доменом које сте користили у Подешавање хибридне виртуелне машине за безбедност података.

Појављује се порука која показује да можете регистровати свој чвор на Webex-у.
6

Кликните на Иди на чвор.

Након неколико тренутака, бићете преусмерени на тестове повезивања чворова за Webex услуге. Ако су сви тестови успешни, појављује се страница Дозволи приступ хибридном чвору безбедности података. Тамо потврђујете да желите да дате дозволе својој Webex организацији за приступ вашем чвору.

7

Означите поље за потврду Дозволи приступ вашем хибридном чвору за безбедност података, а затим кликните на Настави.

Ваш налог је потврђен и порука „Регистрација је завршена“ означава да је ваш чвор сада регистрован у Webex облаку. На страници Хибридна безбедност података, нови кластер који садржи чвор који сте регистровали приказан је на картици Ресурси. Чвор ће аутоматски преузети најновији софтвер из облака.
8

Идите на картицу Подешавања и кликните на Активирај на картици Статус HDS-а.

ПорукаАктивиран HDS ће се појавити на дну екрана.
9

У одељку Ресурсикликните на новокреирани кластер.

10

На страници која се отвори кликните на картицу Додељени клијенти.

11

Кликните на Додај купце.

12

Изаберите купца кога желите да додате из падајућег менија.

13

Кликните на Додај, купац ће бити додат у кластер.

14

Поновите кораке од 11 до 13 да бисте додали више купаца у кластер.

15

Кликните на Готово на дну екрана када додате купце.

Šta je sledeće

Покрените алатку за подешавање HDS-а као што је детаљно описано у Креирајте главне кључеве корисника (CMK) помоћу алатке за подешавање HDS-а да бисте завршили процес подешавања.

Користите OpenSSL за генерисање PKCS12 датотеке

Pre nego što počnete

  • OpenSSL је један алат који се може користити за прављење PKCS12 датотеке у одговарајућем формату за учитавање у HDS Setup Tool. Постоје и други начини да се ово уради, и ми не подржавамо нити промовишемо један начин у односу на други.

  • Ако се одлучите за коришћење OpenSSL-а, ову процедуру пружамо као смерницу која ће вам помоћи да креирате датотеку која испуњава захтеве X.509 сертификата у X.509 захтеви за сертификат. Разумите те захтеве пре него што наставите.

  • Инсталирајте OpenSSL у подржаном окружењу. Погледајте https://www.openssl.org за софтвер и документацију.

  • Направите приватни кључ.

  • Покрените ову процедуру када примите сертификат сервера од вашег ауторитета за сертификате (CA).

1

Када примите сертификат сервера од вашег CA, сачувајте га као hdsnode.pem.

2

Прикажите сертификат као текст и проверите детаље.

openssl x509 -text -noout -in hdsnode.pem

3

Користите уређивач текста да бисте креирали датотеку пакета сертификата под називом hdsnode-bundle.pem. Пакетна датотека мора да садржи сертификат сервера, све средње CA сертификате и коренске CA сертификате, у формату испод:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Направите .p12 датотеку са пријатељским именом kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Проверите детаље сертификата сервера.

  1. openssl pkcs12 -in hdsnode.p12

  2. Унесите лозинку на захтев да бисте шифровали приватни кључ тако да буде наведен у излазу. Затим, проверите да ли приватни кључ и први сертификат садрже линије friendlyName: kms-private-key.

    Primer:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Šta je sledeće

Вратите се на Завршите предуслове за хибридну безбедност података. Користићете датотеку hdsnode.p12 и лозинку коју сте за њу поставили у Креирање ISO датотеке за конфигурацију за HDS хостове.

Можете поново користити ове датотеке да бисте захтевали нови сертификат када оригинални сертификат истекне.

Саобраћај између HDS чворова и облака

Одлазни саобраћај прикупљања метрика

Чворови хибридне безбедности података шаљу одређене метрике у Webex облак. То укључује системске метрике за максималну снагу хипа, искоришћеност хипа, оптерећење процесора и број нити; метрике о синхроним и асинхроним нитима; метрике о упозорењима која укључују праг шифрованих веза, латенцију или дужину реда захтева; метрике о складишту података; и метрике шифрованих веза. Чворови шаљу шифровани кључни материјал преко ванпојасног (одвојеног од захтева) канала.

Долазни саобраћај

Чворови хибридне безбедности података примају следеће типове долазног саобраћаја из Webex облака:

  • Захтеви за шифровање од клијената, које усмерава сервис за шифровање

  • Надоградње софтвера чвора

Конфигуришите Squid проксије за хибридну безбедност података

Websocket ne može da se poveže preko proxy servera sa lignjama

Squid проксији који инспектирају HTTPS саобраћај могу ометати успостављање websocket (wss:) веза које захтева Hybrid Data Security. Ови одељци дају смернице о томе како конфигурисати различите верзије Squid-а да игноришу wss: саобраћај ради правилног рада сервиса.

Lignje 4 i 5

Додајте директиву on_unsupported_protocol у squid.conf:

on_unsupported_protocol tunnel all

Lignje 3.5.27

Успешно смо тестирали хибридну безбедност података са следећим правилима додатим у squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Nove i izmenjene informacije

Nove i izmenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnosti, promene postojećeg sadržaja i sve veće greške koje su popravljene u Vodiču za raspoređivanje hibridne bezbednosti podataka sa više stanara.

Datum

Izvršene izmene

Oktobar 21, 2025

08 maja, 2025
NTPARK 2025 SVA PRAVA ZADRŽANA

januar 30, 2025

Dodata je verzija SKL servera 2022 na listu podržanih SKL servera u zahtevima servera baze podataka.

januar 15, 2025

Dodana su ograničenja hibridne sigurnosti podataka sa više stanara.

januar 08, 2025

Dodata je napomena u Izvršite početno podešavanje i preuzimanje instalacionih datoteka navodeći da je klikom na Podešavanje na HDS kartici u Partner Hub-u važan korak u procesu instalacije.

januar 07, 2025

Ažurirani zahtevi za virtuelni host, protok zadataka za raspoređivanje hibridnih podataka i instaliranje HDS Host OVA da biste pokazali novi zahtev ESKSi KSNUMKS.

13 decembra, 2024

Prvi put objavljeno.

Deaktivirajte hibridnu sigurnost podataka sa više stanara

Protok zadataka za deaktivaciju HDS-a sa više stanara

Pratite ove korake da biste u potpunosti deaktivirali Multi-Tenant HDS.

Pre nego što počnete

Ovaj zadatak treba da obavlja samo punopravni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u Uklanjanje organizacija stanara.

2

Opozvati CMK svih kupaca, kao što je pomenuto u Opozvati CMK stanara uklonjenih iz HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u Ukloni čvor.

4

Izbrišite sve svoje klastere iz Partner Hub-a koristeći jedan od sledeća dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice pregleda.
  • Na stranici Resursi kliknite Meni „Još“ na desnu stranu klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregleda hibridne bezbednosti podataka i kliknite na dugme Deaktiviraj HDS na HDS statusnoj kartici.

Često postavljana pitanja

Često postavljana pitanja

Q. Da li su CMK-ovi i glavni ključ sačuvani u ISO-u ili bazi podataka?

Odgovor: Glavni ključevi kupaca (CMK) se čuvaju u bazi podataka i šifrovani su glavnim ključem, koji se čuva u ISO.

Q. Da li se jedan ključ koristi za šifrovanje svih podataka korisničkih organizacija?

Odgovor: Ne. Podaci svake organizacije kupca su šifrovani sopstvenim CMK (glavni ključ kupca).

Q. Šta će se desiti ako onemogućim HDS iz Partner Hub?

Odgovor: Neke operacije, poput stvaranja prostora i zakazivanja sastanaka, odmah će biti pogođene. Postojeći sadržaj u prostorima će biti dostupan dok ne istekne lokalni keš. Nakon KSNUMKS sati, korisnici kojima upravlja partner će se prebaciti na Cloud KMS, a mogu se pojaviti problemi sa prethodno kreiranim prostorima i prostorima jedan-na-jedan.

Q. Kada se CMK generiše za korisničku organizaciju putem alata za podešavanje HDS-a, da li korisnici korisničke organizacije odmah počinju da koriste Multi-Tenant HDS?

Odgovor: Možda postoji maksimalno kašnjenje od 24 sata za osvežavanje keša u oblaku.

Q. Zašto ne vidim listu kupaca kada kliknem na dugme "Dodaj kupce" u Partner Hub-u?

Odgovor: To obično znači da ne postoje korisničke organizacije koje ispunjavaju zahteve za licencu Cisco Vebek.

Q. Kakav je uticaj ako su svi HDS čvorovi isključeni ili ako problem sa mrežom utiče na sve HDS čvorove?

Odgovor: Operacije kao što su stvaranje prostora i zakazivanje sastanaka su odmah pogođene. Postojeći sadržaj je dostupan samo dok ne istekne lokalni keš.

Q. Da li su korisnički podaci partnerske organizacije šifrovani glavnim ključem generisanim tokom kreiranja ISO-a?

A. Da. Trenutno, korisnički podaci partnerske organizacije su šifrovani sa glavnim ključem. U budućnosti će partnerske organizacije imati ključeve specifične za partnere, slične CMK-ovima kupaca.

Q. Mogu li partnerske organizacije i organizacije stanara biti u različitim regionima (recimo, SAD i EU)?

A. Da. Partnerske i stanarske organizacije mogu se nalaziti u različitim geografskim regionima.

Q. Da li postoji neki mehanizam za pomeranje ključeva nazad u Cloud KMS?

Odgovor: Ne postoji mehanizam za pomeranje ključeva nazad u oblak nakon raspoređivanja HDS-a.

Q. Može li partner nastaviti da koristi Cloud KMS i koristiti Multi-Tenant HDS isključivo za upravljanje klijentima?

Odgovor: Ne, ovo trenutno nije podržano. Podrška za ovu funkcionalnost je planirana za budućnost.

Q. Kako partner može da potvrdi da njihova organizacija koristi Multi-Tenant HDS za šifrovanje?

Odgovor: Prijavite se na Partner Hub. Idi na Usluge > Hibrid Data Securiti > Settings . Ako je aktiviran HDS status, korisnici partnerske organizacije, kao i dodeljeni klijenti koriste Multi-Tenant HDS.

Alternativno, možete proveriti svoje slogove da biste proverili da li je HDS aktiviran. Pogledajte Testirajte hibridnu bezbednost podataka.

Q. Da li postoji alternativa Docker Desktop-u za pokretanje alata za podešavanje HDS-a?

A. Da. Pod man Desktop je alternativa otvorenog koda za Docker Desktop. Pogledajte Pokreni HDS Setup alat koristeći Podman Desktop.

Q. Koliko čvorova mogu da rasporedim u Multi-Tenant HDS klasteru?

Odgovor: Preporučujemo najmanje dva čvora i maksimalno 1000.

Q. Koji su mrežni zahtevi potrebni za postavljanje Multi-Tenant HDS-a?

Odgovor: Pogledajte Zahtevi za eksterno povezivanje.

Q. Da li je Pro Pack za Control Hub uslov za partnerske organizacije?

Odgovor: Ne. Pro Pack nije uslov za partnerske organizacije. Obratite se svom Cisco partneru ili menadžeru naloga za pomoć u postavljanju Multi-Tenant HDS-a.

Q. Da li je HSM podržan u Multi-Tenant HDS-u?

Odgovor: Ne, trenutno Multi-Tenant HDS ne podržava HSM.

Q. Mogu li testirati Multi-Tenant HDS sa samopotpisanim sertifikatom?

Odgovor: Ne. Multi-Tenant HDS zahteva sertifikat preuzet od pouzdanog CA koji ispunjava sve uslove navedene u Ks.KSNUMKS zahtevima za sertifikat.

Q. Da li je montaža ISO-a potrebna svaki put kada se novi kupac doda u Partner Hub?

Odgovor: Ne. ISO je potrebno montirati samo prilikom modifikacije ISO konfiguracija. Kada dodajete novog kupca na Partner Hub, uverite se da možete kreirati CMK-ove pomoću HDS Setup Tool-a. Pogledajte Kreiranje glavnih ključeva klijenata (CMK) pomoću alata za podešavanje HDS-a.

Q. Nakon što je Multi-Tenant HDS raspoređen na Partner Hub-u, da li korisnici partnerske organizacije počinju da koriste lokalni KMS za upravljanje ključevima?

Odgovor: Korisnici će početi da koriste lokalni KMS za upravljanje ključevima tek nakon što se HDS aktivira u Partner Hub-u.

Počnite sa Multi-Tenant hibridnom sigurnošću podataka

Pregled hibridne bezbednosti podataka sa više stanara

Od prvog dana, sigurnost podataka je primarni fokus u dizajniranju Vebek aplikacije. Kamen temeljac ove sigurnosti je end-to-end enkripcija sadržaja, omogućena od strane Vebek App klijenata u interakciji sa Kei Management Service (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Po defaultu, svi korisnici Vebek App-a dobijaju end-to-end enkripciju sa dinamičkim ključevima koji se čuvaju u oblaku KMS, u Cisco-ovom bezbednosnom domenu. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Multi-Tenant Hibrid Data Securiti omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnom enkripcijom i drugim bezbednosnim uslugama. Ova postavka omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i osigurava da su korisnički podaci korisničkih organizacija sigurni od spoljnog pristupa. Partnerske organizacije postavljaju HDS instance i kreiraju HDS klastere po potrebi. Svaka instanca može podržati više korisničkih organizacija za razliku od redovne implementacije HDS-a koja je ograničena na jednu organizaciju.

Dok partnerske organizacije imaju kontrolu nad raspoređivanjem i upravljanjem, nemaju pristup podacima i sadržaju koji generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su data centri u vlasništvu pouzdanog lokalnog partnera.

Kako Multi-Tenant Hibrid Data Securiti obezbeđuje suverenitet podataka i kontrolu podataka

  • Korisnički generisani sadržaj je zaštićen od spoljnog pristupa, kao što su provajderi usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija za lokalnu tehničku podršku, ako je obezbeđen od strane partnera.
  • Podržava sastanke, razmenu poruka i pozivanje sadržaja.

Ovaj dokument ima za cilj da pomogne partnerskim organizacijama da uspostave i upravljaju klijentima u okviru Multi-Tenant hibridnog sistema za bezbednost podataka.

Ograničenja hibridne bezbednosti podataka sa više stanara

  • Partnerske organizacije ne smeju imati postojeće HDS raspoređivanje aktivno u Control Hub-u.
  • Organizacije stanara ili kupaca koje žele da njima upravlja partner ne smeju imati postojeću raspoređivanje HDS-a u Control Hub-u.
  • Kada partner rasporedi Multi-Tenant HDS, svi korisnici korisničkih organizacija, kao i korisnici partnerske organizacije počinju da koriste Multi-Tenant HDS za svoje usluge šifrovanja.

    Partnerska organizacija i korisničke organizacije kojima upravljaju biće na istoj Multi-Tenant HDS implementaciji.

    Partnerska organizacija više neće koristiti KMS u oblaku nakon što se postavi HDS sa više stanara.

  • Ne postoji mehanizam za premeštanje ključeva nazad u Cloud KMS nakon raspoređivanja HDS-a.
  • Administratorske uloge imaju određena ograničenja; Pogledajte odeljak ispod za detalje.

Uloge u hibridnoj bezbednosti podataka sa više stanara

  • Partner pun administrator - Može da upravlja podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera - Može da upravlja podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator - Administrator partnerske organizacije koji je ovlašćen da obavlja zadatke kao što su modifikovanje postavki organizacije, upravljanje licencama i dodeljivanje uloga.
  • Od kraja do kraja Multi-Tenant HDS podešavanje i upravljanje svim korisničkim organizacijama - Partner puni administrator i puna administratorska prava potrebna.
  • Upravljanje dodeljenim organizacijama stanara - Potreban je administrator partnera i puna administratorska prava.

Arhitektura bezbednosnog područja

Arhitektura oblaka Vebek razdvaja različite vrste usluga u odvojene domene ili domene poverenja, kao što je prikazano u nastavku.

Oblasti razdvajanja (bez hibridne sigurnosti podataka)

Da bismo dalje razumeli hibridnu sigurnost podataka, prvo pogledajmo ovaj čisti slučaj oblaka, gde Cisco pruža sve funkcije u svojim domenima oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti u direktnoj korelaciji sa svojim ličnim podacima, kao što je adresa e-pošte, logično je i fizički odvojena od bezbednosnog domena u data centru B. Oba su zauzvrat odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u data centru C.

U ovom dijagramu, klijent je Vebek aplikacija koja radi na laptopu korisnika i autentificirana je sa uslugom identiteta. Kada korisnik sastavi poruku za slanje u prostor, odvijaju se sledeći koraci:

  1. Klijent uspostavlja sigurnu vezu sa uslugom za upravljanje ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje na uslugu indeksiranja, koja stvara šifrovane indekse pretrage kako bi pomogla u budućim pretragama sadržaja.

  3. Šifrovana poruka se šalje službi za usklađenost radi provjere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladištenja.

Kada primenite hibridnu bezbednost podataka, pomerate bezbednosne funkcije (KMS, indeksiranje i usklađenost) u vaš lokalni centar za podatke. Ostale usluge u oblaku koje čine Vebek (uključujući identitet i skladištenje sadržaja) ostaju u Cisco-ovim domenima.

Saradnja sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno koristiti Vebek aplikaciju za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), vaš KMS šalje ključ klijentu preko ECDH obezbeđenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev na Vebek oblak preko posebnog ECDH kanala da biste dobili ključ iz odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na originalnom kanalu.

KMS servis koji radi na Org A potvrđuje veze sa KMS-ovima u drugim organizacijama koje koriste k.509 PKI sertifikate. Pogledajte Pripremite svoje okruženje za detalje o generisanju k.KSNUMKS sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više stanara.

Očekivanja za primenu hibridne bezbednosti podataka

Hibridna bezbednost podataka zahteva značajnu posvećenost i svest o rizicima koji dolaze sa posedovanjem ključeva za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate obezbediti:

  • Siguran centar za podatke u zemlji koja je podržana lokacija za planove Cisco Vebek Teams-a.

  • Oprema, softver i pristup mreži opisani u Pripremite svoje okruženje.

Potpuni gubitak konfiguracije ISO koji ste napravili za hibridnu sigurnost podataka ili baze podataka koju pružate rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Vebek. Ako se to dogodi, možete izgraditi novu raspoređivanje, ali će biti vidljiv samo novi sadržaj. Da biste izbegli gubitak pristupa podacima, morate:

  • Upravljajte rezervne kopije i oporavak baze podataka i konfiguracije ISO.

  • Budite spremni da izvršite brzi oporavak od katastrofe ako dođe do katastrofe, kao što je kvar diska baze podataka ili katastrofa data centra.

Ne postoji mehanizam za pomeranje ključeva nazad u oblak nakon raspoređivanja HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više stanara:

  • Podesite hibridnu bezbednost podataka - Ovo uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija stanara u klaster i upravljanje njihovim glavnim ključevima klijenata (CMK). Ovo će omogućiti svim korisnicima vaših korisničkih organizacija da koriste vaš hibridni klaster za bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja detaljno su obrađene u naredna tri poglavlja.

  • Održavajte svoju hibridnu bezbednost podataka - Vebek oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može pružiti podršku za ovu implementaciju i angažovati Cisco podršku po potrebi. Možete koristiti obaveštenja na ekranu i podesiti upozorenja zasnovana na e-pošti u Partner Hub-u.

  • Razumevanje uobičajenih upozorenja, koraka za rešavanje problema i poznatih problema – Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i rešite problem.

Model hibridne bezbednosti podataka

U okviru vašeg data centra preduzeća, primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na odvojenim virtuelnim domaćinima. Čvorovi komuniciraju sa Vebek oblakom putem sigurnih vebsocketova i sigurnog HTTP-a.

Tokom procesa instalacije, pružamo vam OVA datoteku za postavljanje virtuelnog uređaja na VM-ovima koje pružate. Koristite alat za podešavanje HDS-a da biste kreirali prilagođenu ISO datoteku konfiguracije klastera koju montirate na svakom čvoru. Hibridni klaster bezbednosti podataka koristi vaš obezbeđeni Sislogd server i PostgreSKL ili Microsoft SKL Server bazu podataka. (Konfigurišete Sislogd i detalje o vezi sa bazom podataka u HDS Setup Tool-u.)

Model hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Imajući više čvorova osigurava da se usluga ne prekida tokom nadogradnje softvera ili drugih aktivnosti održavanja na čvoru. (Vebek oblak nadograđuje samo jedan čvor u isto vreme.)

Svi čvorovi u klasteru pristupaju istom ključnom skladištu podataka i prijavljuju aktivnost na isti sislog server. Sami čvorovi su bez države, i obrađuju ključne zahteve u round-robin način, u skladu sa uputstvima oblaka.

Čvorovi postaju aktivni kada ih registrujete u Partner Hub-u. Da biste uzeli pojedinačni čvor iz službe, možete ga odjaviti, a kasnije ga ponovo registrovati ako je potrebno.

Standbi data centar za oporavak od katastrofe

Tokom primene, postavite siguran centar za podatke u stanju pripravnosti. U slučaju katastrofe data centra, možete ručno da prebacite raspoređivanje u rezervni centar za podatke.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu PostgreSKL ili Microsoft SKL Server bazu podataka, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani u organizaciji i bazu podataka u stanju pripravnosti. Nakon failover-a, Data Center B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju pripravnosti.
Ručno prebacivanje u stanje pripravnosti za prenos podataka

Baze podataka aktivnih i rezervnih centara podataka su sinhronizovane jedna sa drugom što će minimizirati vreme potrebno za obavljanje failover-a.

Aktivni čvorovi hibridne bezbednosti podataka moraju uvek biti u istom centru za podatke kao i aktivni server baze podataka.

Podesite standbi data centar za oporavak od katastrofe

Pratite korake u nastavku da biste konfigurisali ISO datoteku rezervnog data centra:

Pre nego što počnete

  • Standbi data centar treba da odražava proizvodno okruženje VM-ova i rezervnu PostgreSKL ili Microsoft SKL Server bazu podataka. Na primer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, rezervno okruženje treba da ima 3 VM-a. (Vidi Standbi Data Center za oporavak od katastrofe za pregled ovog modela za preklapanje.)

  • Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

1

Pokrenite alat za podešavanje HDS-a i pratite korake navedene u Kreiranje konfiguracije ISO za HDS Hosts.

ISO datoteka mora biti kopija originalne ISO datoteke primarnog data centra na koji će se izvršiti sledeća ažuriranja konfiguracije.

2

Nakon konfigurisanja Sislogd servera, kliknite na Napredna podešavanja

3

Na stranici Napredna podešavanja dodajte konfiguraciju ispod da biste čvor postavili u pasivni režim. U ovom režimu čvor će biti registrovan u organizaciji i povezan sa oblakom, ali neće rukovati nikakav saobraćaj.


passiveMode: 'true'

4

Završite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

5

Napravite rezervnu kopiju ISO datoteke na vašem lokalnom sistemu. Čuvajte rezervnu kopiju na sigurnom. Ovaj fajl sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo onim administratorima hibridne bezbednosti podataka koji bi trebalo da promene konfiguracije.

6

U levom oknu za navigaciju VMvare vSphere klijenta, kliknite desnim tasterom miša na VM i kliknite na Edit Settings..

7

Kliknite na dugme Edit Settings >CD/DVD Drive 1 i izaberite Datastore ISO fajl.

Uverite se da su Connected i Connect pri uključivanju provereni tako da ažurirane promene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

8

Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

9

Ponovite postupak za svaki čvor u rezervnom data centru.

Proverite sislogove da biste proverili da li su čvorovi u pasivnom režimu. Trebalo bi da budete u mogućnosti da vidite poruku "KMS konfigurisan u pasivnom režimu" u sislogs.

Šta je sledeće

Nakon konfigurisanja passiveMode u ISO datoteku i čuvanje, možete kreirati još jednu kopiju ISO datoteke bez konfiguracije passiveMode i sačuvati je na sigurnoj lokaciji. Ova kopija ISO datoteke bez passiveMode konfigurisanog može pomoći u brzom procesu prebacivanja tokom oporavka od katastrofe. Pogledajte Oporavak od katastrofe koristeći Standbi Data Center za detaljnu proceduru preklapanja.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema prokoxy—Podrazumevano ako ne koristite podešavanje HDS čvora Trust Store & Proxy konfiguraciju za integraciju proxyja. Nije potrebna ispravka certifikata.

  • Transparentan proki koji ne pregledava—Čvorovi nisu konfigurisani da koriste određenu adresu proksi servera i ne bi trebalo da zahtevaju nikakve promene za rad sa proksi koji ne pregledava. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekcija proxy—Čvorovi nisu konfigurisani da koriste određenu adresu proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proki—Sa eksplicitnim proxyjem, kažete HDS čvorovima koji proxy server i šemu autentifikacije da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – Adresa koja se može koristiti za dolazak do proksi mašine.

    2. Proki Port—Broj porta koji proksi koristi za slušanje proksi saobraćaja.

    3. Proki protokol—U zavisnosti od toga šta vaš proki server podržava, izaberite između sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Authentication Type—Izaberite jedan od sledećih tipova autentifikacije:

      • Nijedan—Dodatna autentifikacija nije potrebna.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno—Koristi se za HTTP korisničkog agenta da obezbedi korisničko ime i lozinku prilikom pravljenja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Digest—Koristi se za potvrđivanje naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Dijagram koji prikazuje primer veze između hibridne bezbednosti podataka, mreže i proki.

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu sigurnost podataka sa više stanara

Zahtevi za licencu Cisco Vebek

Da biste primenili Multi-Tenant hibridnu sigurnost podataka:

  • Partnerske organizacije: Obratite se svom Cisco partneru ili menadžeru naloga i uverite se da je funkcija Multi-Tenant omogućena.

  • Organizacije stanara: Morate imati Pro Pack za Cisco Vebek Control Hub. (Vidi https://www.cisco.com/go/pro-pack.)

Docker Desktop Zahtevi

Pre nego što instalirate svoje HDS čvorove, potreban vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

Korisnici bez Docker Desktop licence mogu koristiti alat za upravljanje kontejnerima otvorenog koda kao što je Podman Desktop za pokretanje, upravljanje i kreiranje kontejnera. Pogledajte Pokreni HDS Setup alat koristeći Podman Desktop za detalje.

Ks.KSNUMKS Zahtevi za sertifikat

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. Ks.KSNUMKS Zahtevi za sertifikat za hibridnu bezbednost podataka

Uslov

Detalji

  • Potpisan od strane pouzdanog autoriteta za sertifikate (CA)

Po defaultu, verujemo ЦA na Mozilla listi (sa izuzetkom VoSign i StartЦom) na .https://wiki.mozilla.org/CA:IncludedCAs

  • Nosi ime domena sa zajedničkim imenom (CN) koje identifikuje vašu hibridnu bezbednost podataka

  • Nije džoker sertifikat

CN ne mora biti dostupan ili živi domaćin. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker).

CN se koristi za verifikaciju hibridnih čvorova za bezbednost podataka klijentima Vebek App-a. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje koristeći CN domen, a ne bilo koji domen koji je definisan u k.KSNUMKSvKSNUMKS SAN poljima.

Kada registrujete čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis koji nije SHA1

KMS softver ne podržava SHA1 potpise za validaciju veza sa KMS-ovima drugih organizacija.

  • Formatiran kao PKCS #12 fajl zaštićen lozinkom

  • Koristite prijateljsko ime kms-private-key da označite sertifikat, privatni ključ i sve srednje sertifikate za otpremanje.

Možete koristiti konvertor kao što je OpenSSL da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete HDS Setup Tool.

KMS softver ne primenjuje upotrebu ključa ili proširena ograničenja upotrebe ključeva. Neki autoriteti za sertifikate zahtevaju da se proširena ograničenja upotrebe ključa primene na svaki sertifikat, kao što je autentifikacija servera. U redu je koristiti autentifikaciju servera ili druga podešavanja.

Zahtevi za virtuelni domaćin

Virtuelni domaćini koje ćete postaviti kao čvorove hibridne sigurnosti podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena domaćina (KSNUMKS preporučeno) nalaze se u istom sigurnom centru za podatke

  • VMvare ESKSi 7.0 ili 8.0 instaliran i pokrenut.

    Morate nadograditi ako imate raniju verziju ESKSi.

  • Minimalni KSNUMKS vCPU, KSNUMKS-GB glavna memorija, KSNUMKS-GB lokalni prostor na čvrstom disku po serveru

Zahtevi za server baze podataka

Kreirajte novu bazu podataka za skladištenje ključeva. Ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaku su sledeći:

Tabela 2. Zahtevi servera baze podataka prema vrsti baze podataka

Preuzmite

Microsoft SKL Server

  • PostgreSKL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran SKL Server 2016, 2017, 2019 ili 2022 (Enterprise ili Standard).

    SKL Server KSNUMKS zahteva servisni paket KSNUMKS i kumulativno ažuriranje KSNUMKS ili kasnije.

Minimalni KSNUMKS vCPU, KSNUMKS-GB glavna memorija, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračen (KSNUMKS-TB preporučuje se ako želite da pokrenete bazu podataka duže vreme bez potrebe za povećanjem skladištenja)

Minimalni KSNUMKS vCPU, KSNUMKS-GB glavna memorija, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračen (KSNUMKS-TB preporučuje se ako želite da pokrenete bazu podataka duže vreme bez potrebe za povećanjem skladištenja)

HDS softver trenutno instalira sledeće verzije upravljačkih programa za komunikaciju sa serverom baze podataka:

Preuzmite

Microsoft SKL Server

Postgres JDBC vozač 42.2.5

SKL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SKL Server Always On ( Always On Failover Cluster Instances i Always On grupe dostupnosti).

Dodatni zahtevi za Vindovs autentifikaciju protiv Microsoft SKL Servera

Ako želite da HDS čvorovi koriste Vindovs autentifikaciju da biste dobili pristup vašoj bazi podataka za ključeve na Microsoft SKL Serveru, onda vam je potrebna sledeća konfiguracija u vašem okruženju:

  • HDS čvorovi, Active Directori infrastruktura i MS SKL Server moraju biti sinhronizovani sa NTP-om.

  • Vindovs nalog koji pružate HDS čvorovima mora imati pristup za čitanje / pisanje baze podataka.

  • DNS serveri koje pružate HDS čvorovima moraju biti u stanju da reše vaš ključni distributivni centar (KDC).

  • Možete registrovati instancu HDS baze podataka na vašem Microsoft SKL Serveru kao glavno ime usluge (SPN) na vašem Active Directori-u. Pogledajte Registrujte glavno ime usluge za Kerberos veze.

    Alat za podešavanje HDS-a, HDS lanser i lokalni KMS svi moraju da koriste Vindovs autentifikaciju za pristup bazi podataka keistore-a. Oni koriste detalje iz vaše ISO konfiguracije da konstruišu SPN kada traže pristup sa Kerberos autentifikacijom.

Zahtevi za eksterno povezivanje

Konfigurišite zaštitni zid da omogući sledeće povezivanje za HDS aplikacije:

Aplikacija

Protokol

Port

Pravac iz aplikacije

Odredište

Hibridni čvorovi za bezbednost podataka

TCP

443

Odlazni HTTPS i VSS

  • Vebek serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi domaćini zajedničkog identiteta

  • Ostali URL-ovi koji su navedeni za hibridnu sigurnost podataka u tabeli dodatnih URL-ova za Vebek hibridne usluge Mrežni zahtevi za Vebek usluge

Alat za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi domaćini zajedničkog identiteta

  • hub.docker.com

Hibridni čvorovi za bezbednost podataka rade sa prevođenjem pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid dozvoljavaju potrebne odlazne veze sa odredištima domena u prethodnoj tabeli. Za veze koje ulaze u čvorove hibridne bezbednosti podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vašeg data centra, klijentima je potreban pristup čvorovima za hibridnu sigurnost podataka na TCP portovima KSNUMKS i KSNUMKS, u administrativne svrhe.

URL-ovi za domaćine zajedničkog identiteta (CI) su specifični za region. Ovo su trenutni CI domaćini:

Region

Uobičajeni URL-ovi hosta identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Lignje punomoćnici koji pregledavaju HTTPS saobraćaj može ometati uspostavljanje vebsocket (vss:) veze. Da biste zaobišli ovaj problem, pogledajte Konfigurisanje Squid Proksies za hibridnu sigurnost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne inspekciju) saobraćaj i wbx2.comciscospark.com da će rešiti problem.

Popunite preduslove za hibridnu sigurnost podataka

Koristite ovu kontrolnu listu da biste bili sigurni da ste spremni da instalirate i konfigurišete klaster hibridne bezbednosti podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju Multi-Tenant HDS i dobijte akreditive naloga sa punim administratorom partnera i punim administratorskim pravima. Uverite se da je vaša Vebek korisnička organizacija omogućena za Pro Pack za Cisco Vebek Control Hub. Obratite se svom Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Korisničke organizacije ne bi trebalo da imaju postojeće HDS raspoređivanje.

2

Izaberite ime domena za vašu raspoređivanje HDS-a (na primer, hds.company.com) i dobijte lanac sertifikata koji sadrži Ks.KSNUMKS sertifikat, privatni ključ i sve srednje sertifikate. Lanac sertifikata mora ispunjavati uslove u Ks.KSNUMKS zahtevima za sertifikat.

3

Pripremite identične virtuelne hostove koje ćete postaviti kao čvorove hibridne bezbednosti podataka u vašem klasteru. Potrebna su vam najmanje dva odvojena domaćina (preporučuje se KSNUMKS) koji se nalaze u istom sigurnom data centru, koji ispunjavaju zahteve u zahtevima virtuelnog domaćina.

4

Pripremite server baze podataka koji će delovati kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti smješten u sigurnom centru za podatke sa virtuelnim domaćinima.

  1. Kreirajte bazu podataka za skladištenje ključeva. (Morate da kreirate ovu bazu podataka—nemojte koristiti podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime domaćina ili IP adresa (domaćin) i port

    • Ime baze podataka (dbname) za skladištenje ključeva

    • Korisničko ime i lozinka korisnika sa svim privilegijama na bazi podataka za skladištenje ključeva

5

Za brzi oporavak od katastrofe, podesite rezervno okruženje u drugom data centru. Rezervno okruženje odražava proizvodno okruženje VM-a i rezervni server baze podataka. Na primer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, rezervno okruženje treba da ima 3 VM-a.

6

Podesite sislog host za prikupljanje dnevnika iz čvorova u klasteru. Okupite svoju mrežnu adresu i sislog port (podrazumevano je UDP 514).

7

Kreirajte sigurnu politiku rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i sislog host. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate napraviti rezervnu kopiju baze podataka i konfiguracijsku ISO datoteku generisanu za čvorove hibridne bezbednosti podataka.

Budući da čvorovi hibridne bezbednosti podataka čuvaju ključeve koji se koriste u enkripciji i dešifrovanju sadržaja, neuspeh u održavanju operativnog raspoređivanja će rezultirati NEPOVRATNIM GUBITKOM tog sadržaja.

Klijenti Vebek App-a keširaju svoje ključeve, tako da prekid možda neće biti odmah primetan, ali će vremenom postati očigledan. Iako je privremene prekide nemoguće sprečiti, oni se mogu nadoknaditi. Međutim, potpuni gubitak (nema rezervnih kopija) bilo baze podataka ili konfiguracije ISO datoteke će rezultirati nepovratnim podacima o klijentima. Od operatera čvorova hibridne bezbednosti podataka se očekuje da održavaju česte rezervne kopije baze podataka i konfiguracije ISO datoteke, i da budu spremni da obnove hibridni centar podataka bezbednosti podataka ako dođe do katastrofalnog kvara.

8

Uverite se da vaša konfiguracija zaštitnog zida omogućava povezivanje za vaše čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima za eksterno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kojoj lokalnoj mašini koja pokreće podržani operativni sistem (Microsoft Vindovs 10 Professional ili Enterprise 64-bit, ili Mac OSKS Iosemite 10.10.3 ili noviji) sa veb pretraživačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli HDS Setup Tool, koji gradi informacije o lokalnoj konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vam trebati licenca za Docker Desktop. Pogledajte Docker Desktop Zahtevi za više informacija.

Da biste instalirali i pokrenuli HDS Setup Tool, lokalna mašina mora imati povezivanje navedeno u zahtevima za eksterno povezivanje.

10

Ako integrišete proki sa hibridnom sigurnošću podataka, uverite se da ispunjava zahteve proki servera.

Podesite hibridni klaster za bezbednost podataka

Protok zadataka hibridne bezbednosti podataka

Pre nego što počnete

1

Izvršite početno podešavanje i preuzimanje instalacionih datoteka

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte konfiguraciju ISO za HDS Hosts

Koristite alat za podešavanje HDS-a da biste kreirali ISO konfiguracionu datoteku za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS Host OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.

Opcija za konfigurisanje mrežnih postavki tokom OVA raspoređivanja je testirana sa ESKSi 7.0 i 8.0. Ova opcija možda neće biti dostupna u ranijim verzijama.

4

Podesite VM za hibridnu bezbednost podataka

Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite mrežne postavke za čvor ako ih niste konfigurisali u vreme primene OVA.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO konfiguracione datoteke koju ste kreirali pomoću HDS Setup Tool-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva konfiguraciju proki, navedite vrstu proki koji ćete koristiti za čvor, i dodajte proki sertifikat u prodavnicu poverenja ako je potrebno.

7

Registrujte prvi čvor u klasteru

Registrujte VM sa Cisco Vebek oblakom kao čvor za hibridnu sigurnost podataka.

8

Kreirajte i registrujte više čvorova

Završite podešavanje klastera.

9

Aktivirajte HDS sa više stanara na Partner Hub-u.

Aktivirajte HDS i upravljajte organizacijama stanara na Partner Hub-u.

Izvršite početno podešavanje i preuzimanje instalacionih datoteka

U ovom zadatku preuzimate OVA datoteku na vašu mašinu (ne na servere koje ste postavili kao čvorove hibridne bezbednosti podataka). Koristite ovaj fajl kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim kliknite na dugme Usluge.

2

U odeljku Hibrid pronađite karticu Hibrid Data Securiti, a zatim kliknite na dugme Postavi.

Klik na Podesite u Partner Hub-u je od ključnog značaja za proces raspoređivanja. Nemojte nastaviti sa instalacijom bez završetka ovog koraka.

3

Kliknite na dugme Dodaj resurs i kliknite na dugme Preuzmi . OVA datotekuna Install and Configure Softvare karticu.

Starije verzije softverskog paketa (OVA) neće biti kompatibilne sa najnovijim nadogradnjama hibridne bezbednosti podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Proverite da li ste preuzeli najnoviju verziju OVA datoteke.

Takođe možete preuzeti OVA u bilo kom trenutku iz odeljka Pomoć . Kliknite na dugme Podešavanja > Help > Preuzmite softver Hybrid Data Security.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na vašem računaru.

Kreirajte konfiguraciju ISO za HDS Hosts

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svoj hibridni domaćin za bezbednost podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa HTTPS proki:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alat za podešavanje ne podržava povezivanje sa localhost-om preko http://localhost:8080. Koristi http://127.0.0.1:8080 se za povezivanje sa localhost.

Koristite veb pretraživač da biste otišli na localhost, http://127.0.0.1:8080i unesite korisničko ime administratora za Partner Hub na upit.

Alat koristi ovaj prvi unos korisničkog imena da bi postavio odgovarajuće okruženje za taj nalog. Alat zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavu administratora Partner Hub-a, a zatim kliknite na dugme Prijavite se da biste omogućili pristup potrebnim uslugama za hibridnu sigurnost podataka.

8

Na stranici pregleda alata za podešavanje kliknite na dugme Početak.

9

Na stranici ISO Import imate ove opcije:

  • Ne—Ako kreirate svoj prvi HDS čvor, nemate ISO fajl za otpremanje.
  • Da—Ako ste već kreirali HDS čvorove, onda izaberete svoj ISO fajl u pretraživanju i otpremite ga.
10

Proverite da li vaš Ks.KSNUMKS sertifikat ispunjava uslove u Ks.KSNUMKS zahtevima za sertifikat.

  • Ako nikada ranije niste otpremili sertifikat, otpremite Ks.509 sertifikat, unesite lozinku i kliknite na dugme Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na dugme Nastavi.
  • Ako je vaš sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavite da koristite lanac sertifikata HDS i privatni ključ iz prethodnog ISO?. Otpremite novi Ks.509 sertifikat, unesite lozinku i kliknite na dugme Nastavi.
11

Unesite adresu baze podataka i račun za HDS da biste pristupili ključnom skladištu podataka:

  1. Izaberite tip baze podataka (PostgreSKL ili Microsoft SKL Server).

    Ako izaberete Microsoft SKL Server, dobićete polje Authentication Tipe.

  2. (Samo Microsoft SKL Server ) Izaberite svoj tip autentifikacije:

    • Osnovna autentifikacija: Potrebno vam je ime lokalnog SKL Server naloga u polju Korisničko ime .

    • Autentifikacija prozora: Potreban vam je Vindovs nalog u formatu username@DOMAIN u polju Korisničko ime .

  3. Unesite adresu servera baze podataka u obliku : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    Možete koristiti IP adresu za osnovnu autentifikaciju, ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Vindovs autentifikaciju, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama na bazi podataka za skladištenje ključeva.

12

Izaberite režim povezivanja TLS baze podataka:

Režim

Opis

Preferirajte TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju šifrovanu vezu.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SKL Server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za sertifikate u korenskom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za sertifikate u korenskom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe potvrđuju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Host i port baze podataka. Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite root sertifikat (ako je potrebno) i kliknite na dugme Nastavi, HDS Setup Tool testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezivanju, HDS čvorovi bi mogli da uspostave TLS vezu čak i ako mašina HDS Setup Tool ne može uspešno da je testira.)

13

Na stranici Sistemski dnevnik konfigurišite svoj Sislogd server:

  1. Unesite URL sislog servera.

    Ako server nije DNS-rešiv iz čvorova za vaš HDS klaster, koristite IP adresu u URL-u.

    Primer:
    udp://10.92.43.23:514 označava prijavljivanje na Sislogd host 10.92.43.23 na UDP portu 514.

  2. Ako podesite svoj server da koristi TLS enkripciju, proverite Da li je vaš sislog server konfigurisan za SSL enkripciju?.

    Ako označite ovo polje za potvrdu, proverite da li ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. Iz padajućeg menija Izaberite sislog zapis o prestanku , izaberite odgovarajuću postavku za vašu ISO datoteku: Izaberite ili Nevline se koristi za Graylog i Rsyslog TCP

    • Null bajt -- \x00

    • Newline -- \n—Izaberite ovaj izbor za Graylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opciono) Možete promeniti podrazumevanu vrednost za neke parametre veze sa bazom podataka u Naprednim podešavanjima. Generalno, ovaj parametar je jedini koji biste možda želeli da promenite:

app_datasource_connection_pool_maxSize: 10
15

Kliknite na dugme Nastavi na ekranu za resetovanje lozinke servisnih naloga.

Lozinke servisnog računa imaju životni vek od devet meseci. Koristite ovaj ekran kada se vaše lozinke približavaju isteku ili želite da ih resetujete da biste poništili prethodne ISO datoteke.

16

Kliknite na dugme Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na vašem lokalnom sistemu.

Čuvajte rezervnu kopiju na sigurnom. Ovaj fajl sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo onim administratorima hibridne bezbednosti podataka koji bi trebalo da promene konfiguracije.

18

Da biste isključili alat za podešavanje, upišite CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju konfiguracije ISO datoteke. Potrebno vam je da biste kreirali više čvorova za oporavak ili da biste izvršili promene konfiguracije. Ako izgubite sve kopije ISO datoteke, takođe ste izgubili glavni ključ. Oporavak ključeva iz baze podataka PostgreSKL ili Microsoft SKL Server nije moguć.

Nikada nemamo kopiju ovog ključa i ne možemo pomoći ako ga izgubite.

Instalirajte HDS Host OVA

Koristite ovu proceduru da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMvare vSphere klijent na računaru da biste se prijavili na ESKSi virtuelni host.

2

Izaberite File > Deploy OVF Template.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na dugme Dalje.

4

Na stranici Izaberite ime i fasciklu unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), izaberite lokaciju na kojoj se može nalaziti raspoređivanje čvora virtuelne mašine, a zatim kliknite na dugme Dalje.

5

Na stranici Izaberite računarski resurs izaberite odredišni računarski resurs, a zatim kliknite na dugme Sledeći.

Provera validacije radi. Nakon završetka, pojavljuju se detalji šablona.

6

Proverite detalje šablona, a zatim kliknite na dugme Sledeći.

7

Ako se od vas traži da izaberete konfiguraciju resursa na stranici Konfiguracija, kliknite na 4 CPU, a zatim kliknite na dugme Dalje.

8

Na stranici Izaberi skladište kliknite na dugme Dalje da biste prihvatili podrazumevani format diska i politiku skladištenja VM-a.

9

Na stranici Izaberite mreže izaberite mrežnu opciju sa liste unosa da biste obezbedili željenu povezanost sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća mrežna podešavanja:

  • Ime hosta—Unesite FQDN (ime hosta i domen) ili ime hosta sa jednom rečju za čvor.

    • Ne morate da podesite domen tako da odgovara domenu koji ste koristili za dobijanje Ks.KSNUMKS sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo mala slova u FKDN-u ili ime domaćina koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FKDN-a ne sme biti veća od 64 znakova.

  • IP adresa— Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite adresu maske podmreže u tačka-decimalni zapis. Na primer, 255.255.255.0.
  • Gateway—Unesite IP adresu gateway-a. Gatevai je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zarezima, koji se bave prevođenjem imena domena u numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – unesite NTP server vaše organizacije ili neki drugi eksterni NTP server koji se može koristiti u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete koristiti listu razdvojenu zarezom da unesete više NTP servera.

  • Rasporedite sve čvorove na istoj podmreži ili VLAN-u, tako da su svi čvorovi u klasteru dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ako želite, možete preskočiti konfiguraciju podešavanja mreže i sledite korake u Podesite VM hibridne bezbednosti podataka da biste konfigurisali postavke sa konzole čvora.

Opcija za konfigurisanje mrežnih postavki tokom OVA raspoređivanja je testirana sa ESKSi 7.0 i 8.0. Ova opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na čvor VM, a zatim izaberite Pover > Power On.

Softver za hibridnu sigurnost podataka instaliran je kao gost na VM Host-u. Sada ste spremni da se prijavite na konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možda ćete doživeti kašnjenje od nekoliko minuta pre nego što se pojave kontejneri čvorova. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja, tokom koje ne možete da se prijavite.

Podesite VM za hibridnu bezbednost podataka

Koristite ovu proceduru da biste se prvi put prijavili na VM konzolu čvora Hibrid Data Securiti i postavili akreditive za prijavljivanje. Takođe možete koristiti konzolu da biste konfigurisali mrežne postavke za čvor ako ih niste konfigurisali u vreme primene OVA.

1

U VMvare vSphere klijentu izaberite svoj VM čvor za sigurnost hibridnih podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavljivanje. Ako se poziv za prijavljivanje ne prikaže, pritisnite Enter.
2

Koristite sledeće podrazumevano korisničko ime i lozinku da biste se prijavili i promenili akreditive:

  1. Prijavljivanje: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete na svoj VM, od vas se traži da promenite lozinku administratora.

3

Ako ste već konfigurisali mrežne postavke u Install the HDS Host OVA, preskočite ostatak ove procedure. U suprotnom, u glavnom meniju izaberite opciju Edit Configuration .

4

Podesite statičku konfiguraciju sa IP adresom, maskom, gatevai-om i DNS informacijama. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opciono) Promenite ime hosta, domen ili NTP server(e), ako je potrebno da odgovara vašoj mrežnoj politici.

Ne morate da podesite domen tako da odgovara domenu koji ste koristili za dobijanje Ks.KSNUMKS sertifikata.

6

Sačuvajte mrežnu konfiguraciju i ponovo pokrenite VM tako da promene stupe na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da podesite virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću HDS Setup Tool.

Pre nego što počnete

Budući da ISO datoteka sadrži glavni ključ, trebalo bi da bude izložena samo na osnovu "potrebe da se zna", za pristup VM-ovima hibridnih podataka za bezbednost podataka i svim administratorima koji će možda morati da izvrše promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.

1

Otpremite ISO datoteku sa računara:

  1. U levom oknu za navigaciju VMvare vSphere klijenta kliknite na ESKSi server.

  2. Na listi hardvera na kartici Konfiguracija, kliknite na Skladištenje.

  3. Na listi Datastores, kliknite desnim tasterom miša na skladište podataka za vaše VM-ove i kliknite na Pregledaj Datastore.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na dugme Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na računaru i kliknite na dugme Otvori.

  6. Kliknite na Da da prihvatite upozorenje o otpremanju/preuzimanju operacije, i zatvorite dijalog skladišta podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite OK da prihvatite upozorenje o ograničenim opcijama uređivanja.

  3. Kliknite na , CD/DVD Drive 1izaberite opciju za montiranje iz ISO datoteke skladišta podataka i pregledajte lokaciju na kojoj ste postavili ISO datoteku konfiguracije.

  4. Proverite Connected i Connect na napajanje.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaša IT politika zahteva, možete opciono demontirati ISO datoteku nakon što svi vaši čvorovi pokupe promene konfiguracije. Pogledajte (Opciono) Demontirajte ISO nakon HDS konfiguracije za detalje.

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL za https://[HDS Node IP or FQDN]/setup podešavanje HDS čvora u veb pretraživaču, unesite administratorske akreditive koje ste postavili za čvor, a zatim kliknite na dugme Prijavite se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proxy—Podrazumevana opcija pre nego što integrišete proxy. Nije potrebna ispravka certifikata.
  • Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. Nije potrebna ispravka certifikata.
  • Transparent Inspecting Proxy—Čvorovi nisu konfigurisani da koriste određenu adresu proki servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proki—Sa eksplicitnim proxyjem, kažete klijentu (HDS čvorovima) koji proksi server da koristi, a ova opcija podržava nekoliko tipova autentifikacije. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – Adresa koja se može koristiti za dolazak do proksi mašine.

    2. Proki Port—Broj porta koji proksi koristi za slušanje proksi saobraćaja.

    3. Proxy Protocol—Izaberite http (pregleda i kontroliše sve zahteve koji su primljeni od klijenta) ili https (obezbeđuje kanal do servera i klijent prima i potvrđuje sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Authentication Type—Izaberite jedan od sledećih tipova autentifikacije:

      • Nijedan—Dodatna autentifikacija nije potrebna.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno—Koristi se za HTTP korisničkog agenta da obezbedi korisničko ime i lozinku prilikom pravljenja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Digest—Koristi se za potvrđivanje naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti sa podešavanjem, a čvor će funkcionisati u režimu blokirane eksterne DNS rezolucije. Ako mislite da je ovo greška, završite ove korake, a zatim pogledajte Isključite blokirani režim rezolucije spoljnog DNS-a.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registrujte prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u podešavanju VM-a za hibridnu sigurnost podataka, registruje čvor sa Vebek oblakom i pretvara ga u čvor hibridne sigurnosti podataka.

Kada registrujete svoj prvi čvor, kreirate klaster na koji je čvor dodeljen. Klaster sadrži jedan ili više čvorova raspoređenih da obezbede redundantnost.

Pre nego što počnete

  • Kada počnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate početi ispočetka.

  • Uverite se da su svi blokatori iskačućih prozora u vašem pretraživaču onemogućeni ili da dozvolite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

Iz menija na levoj strani ekrana izaberite Usluge.

3

U odeljku Hibrid pronađite karticu Hibrid Data Securiti i kliknite na dugme Postavi.

4

Na stranici koja se otvori kliknite na Dodaj resurs.

5

U prvom polju Kreirajte novu karticu klastera , unesite ime klastera na koji želite da dodelite svoj čvor hibridne bezbednosti podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera nalaze geografski. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugo polje unesite internu IP adresu ili potpuno kvalifikovano ime domena (FKDN) vašeg čvora i kliknite na dugme Dodaj na dnu ekrana.

Ova IP adresa ili FKDN treba da odgovara IP adresi ili imenu hosta i domenu koji ste koristili u Podešavanje VM-a za hibridnu bezbednost podataka.

Pojavljuje se poruka koja pokazuje da možete da registrujete svoj čvor na Vebek.
7

Kliknite na dugme Idi na čvor.

Nakon nekoliko trenutaka, preusmereni ste na testove povezivanja čvorova za Vebek usluge. Ako su svi testovi uspešni, pojavljuje se stranica Dozvoli pristup hibridnom čvoru za bezbednost podataka. Tamo potvrđujete da želite da date dozvole vašoj Vebek organizaciji za pristup vašem čvoru.

8

Označite polje za potvrdu Dozvoli pristup vašem hibridnom čvoru za bezbednost podataka, a zatim kliknite na dugme Nastavi.

Vaš nalog je potvrđen i poruka "Registracija završena" označava da je vaš čvor sada registrovan u Vebek oblaku.
9

Kliknite na link ili zatvorite karticu da biste se vratili na stranicu Partner Hub Hibrid Data Securiti.

Na stranici Hibridna bezbednost podataka, novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u vaš klaster, jednostavno kreirajte dodatne VM-ove i montirajte istu konfiguracijsku ISO datoteku, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada počnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate početi ispočetka.

  • Uverite se da su svi blokatori iskačućih prozora u vašem pretraživaču onemogućeni ili da dozvolite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA, ponavljajući korake u Instalirajte HDS Host OVA.

2

Podesite početnu konfiguraciju na novom VM-u, ponavljajući korake u Podesite VM hibridne bezbednosti podataka.

3

Na novom VM-u, ponovite korake u Otpremite i montirajte HDS konfiguraciju ISO.

4

Ako postavljate proki za vašu raspoređivanje, ponovite korake u Konfigurišite HDS čvor za integraciju proki po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.com, izaberite Usluge iz menija na levoj strani ekrana.

  2. U odeljku Hibrid pronađite karticu Hibrid Data Securiti i kliknite na dugme Pogledaj sve.

    Pojavljuje se stranica Hibridni resursi za bezbednost podataka.

  3. Novokreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste videli čvorove dodeljene klasteru.

  5. Kliknite Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FKDN) vašeg čvora i kliknite na Dodaj.

    Otvara se stranica sa porukom koja pokazuje da možete registrovati svoj čvor u Vebek oblaku. Nakon nekoliko trenutaka, preusmereni ste na testove povezivanja čvorova za Vebek usluge. Ako su svi testovi uspešni, pojavljuje se stranica Dozvoli pristup hibridnom čvoru za bezbednost podataka. Tamo potvrđujete da želite da date dozvole vašoj organizaciji za pristup vašem čvoru.

  7. Označite polje za potvrdu Dozvoli pristup vašem hibridnom čvoru za bezbednost podataka, a zatim kliknite na dugme Nastavi.

    Vaš nalog je potvrđen i poruka "Registracija završena" označava da je vaš čvor sada registrovan u Vebek oblaku.

  8. Kliknite na link ili zatvorite karticu da biste se vratili na stranicu Partner Hub Hibrid Data Securiti.

    Čvor je dodao pop-up poruka takođe se pojavljuje na dnu ekrana u Partner Hub-u.

    Vaš čvor je registrovan.

Šta je sledeće

Da biste kreirali dodatne klastere, prijavite se na Partner Hub i kliknite na Usluge > Hibrid Data Securiti > Pogledaj sve > Dodaj klaster. Pratite korake opisane u gornjem odeljku da biste dodali prvi čvor u dodatni klaster ili klastere.

Upravljajte organizacijama stanara na hibridnoj bezbednosti podataka sa više stanara

Aktivirajte HDS sa više stanara na Partner Hub-u

Ovaj zadatak osigurava da svi korisnici korisničkih organizacija mogu početi da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje Multi-Tenant HDS klastera sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

Iz menija na levoj strani ekrana izaberite Usluge.

3

U odeljku Hibrid pronađite Hibrid Data Securiti i kliknite na dugme Edit Settings.

4

Kliknite na dugme Aktiviraj HDS na HDS statusnojkartici.

Dodajte organizacije stanara u Partner Hub-u

U ovom zadatku dodeljujete korisničke organizacije vašem hibridnom klasteru za bezbednost podataka.

1

Prijavite se u https://admin.webex.com.

2

Iz menija na levoj strani ekrana izaberite Usluge.

3

U odeljku Hibrid pronađite Hibrid Data Securiti i kliknite na dugme Pogledaj sve.

4

Idite na karticu Dodeljeni kupci .

Kartica Dodeljeni kupci neće biti prikazana dok ne kreirate klaster.

5

Kliknite na Dodaj kupce.

6

Izaberite kupca kojeg želite da dodate iz padajućeg menija.

7

Kliknite na Dodaj, kupac će biti dodan u klaster.

8

Ponovite korake 5 do 7 da biste dodali više kupaca u vaš klaster.

9

Kliknite na dugme Gotovo na dnu ekrana kada dodate kupce.

Dodani kupci će biti sinhronizovani u svim dostupnim klasterima.

Šta je sledeće

Pokrenite alat za podešavanje HDS-a kao što je detaljno opisano u Kreiranje glavnih ključeva klijenata (CMK) pomoću alata za podešavanje HDS-a da biste dovršili proces podešavanja.

Kreirajte glavne ključeve klijenata (CMK) pomoću alata za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce kao što je detaljno opisano u Dodavanje organizacija stanara u Partner Hub-u. Pokrenite alat za podešavanje HDS-a da biste dovršili proces podešavanja za novododane organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive Partner Hub naloga sa punim administratorskim pravima za vašu organizaciju.

    Ako alat za podešavanje HDS-a radi iza proki-a u vašem okruženju, obezbedite postavke proksi (server, port, akreditive) kroz Docker varijable okruženja kada podignete Docker kontejner u koraku KSNUMKS. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguraciona ISO datoteka koju generišete sadrži glavni ključ koji šifrira bazu podataka PostgreSKL ili Microsoft SKL Server. Potrebna vam je najnovija kopija ovog fajla svaki put kada napravite izmene konfiguracije, kao što su ove:

    • Akreditivi baze podataka

    • Ažuriranje sertifikata

    • Izmene u politici ovlašćenja

  • Ako planirate da šifrujete veze sa bazom podataka, podesite svoj PostgreSKL ili SKL Server za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svoj hibridni domaćin za bezbednost podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa HTTPS proki:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alat za podešavanje ne podržava povezivanje sa localhost-om preko http://localhost:8080. Koristi http://127.0.0.1:8080 se za povezivanje sa localhost.

Koristite veb pretraživač da biste otišli na localhost, http://127.0.0.1:8080i unesite korisničko ime administratora za Partner Hub na upit.

Alat koristi ovaj prvi unos korisničkog imena da bi postavio odgovarajuće okruženje za taj nalog. Alat zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavu administratora Partner Hub-a, a zatim kliknite na dugme Prijavite se da biste omogućili pristup potrebnim uslugama za hibridnu sigurnost podataka.

8

Na stranici pregleda alata za podešavanje kliknite na dugme Početak.

9

Na stranici ISO Import kliknite na dugme Da.

10

Izaberite ISO datoteku u pretraživaču i otpremite je.

Obezbedite povezivanje sa vašom bazom podataka da biste izvršili upravljanje CMK-om.
11

Idite na karticu Tenant CMK Management , gde ćete naći sledeća tri načina za upravljanje CMK-ovima stanara.

  • Kreirajte CMK za sve ORG-ove ili Kreirajte CMK - Kliknite na ovo dugme na baneru na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK-ovima na desnoj strani ekrana i kliknite na dugme Kreiraj CMK-ove da biste kreirali CMK-ove za sve novododane organizacije.
  • Kliknite Meni „Još“ blizu statusa CMK menadžmenta određene organizacije u tabeli i kliknite na dugme Create CMK da biste kreirali CMK za tu organizaciju.
12

Kada je CMK kreiranje uspešno, status u tabeli će se promeniti od CMK menadžmenta na čekanju na CMK upravlja.

13

Ako je stvaranje CMK neuspešno, biće prikazana greška.

Uklonite organizacije stanara

Pre nego što počnete

Kada se uklone, korisnici korisničkih organizacija neće moći da iskoriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre uklanjanja korisničkih organizacija, obratite se svom Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

Iz menija na levoj strani ekrana izaberite Usluge.

3

U odeljku Hibrid pronađite Hibrid Data Securiti i kliknite na dugme Pogledaj sve.

4

Na stranici koja se otvori kliknite na karticu Dodeljeni klijenti .

5

Sa liste korisničkih organizacija koje se prikazuju, kliknite Meni „Još“ na desnoj strani korisničke organizacije koju želite da uklonite i kliknite na dugme Ukloni iz klastera.

Šta je sledeće

Završite proces uklanjanja tako što ćete ukinuti CMK-ove korisničkih organizacija kao što je detaljno opisano u Opoziv CMK-a stanara uklonjenih iz HDS-a.

Opozvati CMK stanara uklonjenih iz HDS-a.

Pre nego što počnete

Uklonite kupce kao što je detaljno opisano u Uklanjanje organizacija stanara. Pokrenite alat za podešavanje HDS-a da biste dovršili proces uklanjanja za organizacije kupaca koje su uklonjene.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive Partner Hub naloga sa punim administratorskim pravima za vašu organizaciju.

    Ako alat za podešavanje HDS-a radi iza proki-a u vašem okruženju, obezbedite postavke proksi (server, port, akreditive) kroz Docker varijable okruženja kada podignete Docker kontejner u koraku KSNUMKS. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguraciona ISO datoteka koju generišete sadrži glavni ključ koji šifrira bazu podataka PostgreSKL ili Microsoft SKL Server. Potrebna vam je najnovija kopija ovog fajla svaki put kada napravite izmene konfiguracije, kao što su ove:

    • Akreditivi baze podataka

    • Ažuriranje sertifikata

    • Izmene u politici ovlašćenja

  • Ako planirate da šifrujete veze sa bazom podataka, podesite svoj PostgreSKL ili SKL Server za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svoj hibridni domaćin za bezbednost podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa HTTPS proki:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alat za podešavanje ne podržava povezivanje sa localhost-om preko http://localhost:8080. Koristi http://127.0.0.1:8080 se za povezivanje sa localhost.

Koristite veb pretraživač da biste otišli na localhost, http://127.0.0.1:8080i unesite korisničko ime administratora za Partner Hub na upit.

Alat koristi ovaj prvi unos korisničkog imena da bi postavio odgovarajuće okruženje za taj nalog. Alat zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavu administratora Partner Hub-a, a zatim kliknite na dugme Prijavite se da biste omogućili pristup potrebnim uslugama za hibridnu sigurnost podataka.

8

Na stranici pregleda alata za podešavanje kliknite na dugme Početak.

9

Na stranici ISO Import kliknite na dugme Da.

10

Izaberite ISO datoteku u pretraživaču i otpremite je.

11

Idite na karticu Tenant CMK Management , gde ćete naći sledeća tri načina za upravljanje CMK-ovima stanara.

  • Opozovi CMK za sve ORG ili opozovi CMK - Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK-ovima na desnoj strani ekrana i kliknite na dugme Opozovi CMK-ove da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite Meni „Još“ blizu CMK-a da biste opozvali status određene organizacije u tabeli i kliknite na dugme Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada je CMK opoziv uspešan, organizacija kupaca se više neće pojavljivati u tabeli.

13

Ako je CMK opoziv neuspešan, biće prikazana greška.

Testirajte svoju hibridnu bezbednost podataka

Testirajte svoju hibridnu bezbednost podataka

Koristite ovu proceduru za testiranje scenarija šifrovanja hibridnih podataka sa više stanara.

Pre nego što počnete

  • Podesite svoju hibridnu bezbednost podataka sa više stanara.

  • Uverite se da imate pristup sislog-u da biste proverili da li ključni zahtevi prolaze na vašu implementaciju hibridne bezbednosti podataka sa više stanara.

1

Ključeve za određeni prostor postavlja kreator prostora. Prijavite se u aplikaciju Vebek kao jedan od korisnika korisničke organizacije, a zatim kreirajte prostor.

Ako deaktivirate raspoređivanje hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više nije dostupan kada se zamene kopije ključeva za šifrovanje koje se nalaze u keširanom klijentu.

2

Šaljite poruke u novi prostor.

3

Proverite izlaz sislog-a da biste proverili da li ključni zahtevi prolaze na vašu hibridnu bezbednost podataka.

Ako korisnik novododate korisničke organizacije izvrši bilo koju akciju, ID organizacije će se pojaviti u evidencijama, a to se može koristiti za proveru da organizacija koristi Multi-Tenant HDS. Proverite vrednost kms.data.orgId u sislogs.

  1. Da biste proverili da li je korisnik prvo uspostavio siguran kanal za KMS, filtrirajte i kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori skraćeni radi čitljivosti):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. Da biste proverili da li korisnik traži postojeći ključ iz KMS-a, filtrirajte kms.data.method=retrieve i kms.data.type=KEY:

    Trebalo bi da pronađete unos kao što su:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. Da biste proverili da li je korisnik zatražio kreiranje novog KMS ključa, filtrirajte kms.data.method=create i kms.data.type=KEY_COLLECTION:

    Trebalo bi da pronađete unos kao što su:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. Da biste proverili korisnika koji zahteva kreiranje novog KMS Resource Object (KRO) kada je kreiran prostor ili drugi zaštićeni resurs, filtrirajte kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

    Trebalo bi da pronađete unos kao što su: 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Nadgledajte hibridno zdravlje bezbednosti podataka

Indikator statusa unutar Partner Hub-a pokazuje vam da li je sve u redu sa primenom Multi-Tenant Hibrid Data Securiti. Za više proaktivnog upozorenja, prijavite se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi koji utiču na uslugu ili nadogradnje softvera.
1

U Partner Hub-u izaberite Usluge iz menija na levoj strani ekrana.

2

U odeljku Hibrid pronađite Hibrid Data Securiti i kliknite na dugme Edit Settings.

Pojavljuje se stranica Podešavanja hibridne bezbednosti podataka.
3

U odeljku Obaveštenja e-pošte upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Enter.

Upravljajte raspoređivanjem HDS-a

Upravljajte HDS raspoređivanjem

Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.

Podesite raspored nadogradnje klastera

Nadogradnje softvera za hibridnu sigurnost podataka obavljaju se automatski na nivou klastera, što osigurava da svi čvorovi uvek pokreću istu verziju softvera. Nadogradnje se vrše u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručnog nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored 3:00 AM Dnevni Sjedinjene Države: Amerika / Los Anđeles. Takođe možete izabrati da odložite predstojeću nadogradnju, ako je potrebno.

Da biste podesili raspored nadogradnje:

1

Prijavite se u partnerski centar.

2

Iz menija na levoj strani ekrana izaberite Usluge.

3

U odeljku Hibrid pronađite Hibrid Data Securiti i kliknite na dugme Podesite

4

Na stranici Hibridni resursi za bezbednost podataka izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, pod Raspored nadogradnje, izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: Ispod vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Možete odložiti nadogradnju za sledeći dan, ako je potrebno, klikom na Odloži za 24 sata.

Promenite konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Soft reset—I stara i nova lozinka rade do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Hard reset—Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive Partner Hub naloga sa punim administratorskim pravima partnera.

    Ako nemate dozvolu za Docker Desktop, možete koristiti Podman Desktop da biste pokrenuli alat za podešavanje HDS-a za korake KSNUMKS.a do KSNUMKS.e u postupku ispod. Pogledajte Pokreni HDS Setup alat koristeći Podman Desktop za detalje.

    Ako alat za podešavanje HDS-a radi iza proksija u vašem okruženju, obezbedite postavke proksi (server, port, akreditive) kroz Docker varijable okruženja kada podignete Docker kontejner u KSNUMKS.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker rmi ciscocitg/hds-setup:stable

    U FedRAMP okruženjima:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker login -u hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker pull ciscocitg/hds-setup:stable

    U FedRAMP okruženjima:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alat za podešavanje ne podržava povezivanje sa localhost-om preko http://localhost:8080. Koristi http://127.0.0.1:8080 se za povezivanje sa localhost.

  7. Kada se to od vas zatraži, unesite akreditive za prijavljivanje korisnika Partner Hub-a, a zatim kliknite na dugme Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alat za podešavanje, upišite CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako imate samo jedan HDS čvor koji radi, kreirajte novi VM čvor za bezbednost hibridnih podataka i registrujte ga pomoću nove konfiguracije ISO datoteke. Za detaljnija uputstva, pogledajte Kreirajte i registrujte više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u Partner Hub-u.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite CD/DVD Drive 1, izaberite opciju za montiranje iz ISO datoteke, i pregledajte lokaciju na kojoj ste preuzeli novu konfiguraciju ISO datoteku.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Stranica pregleda hibridnog sigurnosnog čvora Cisco Vebek koja prikazuje detalje čvora, zdravlje čvora i postavke čvora.

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Ukloni čvor

Koristite ovu proceduru da biste uklonili čvor hibridne bezbednosti podataka iz Vebek oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMvare vSphere klijent na računaru da biste se prijavili na ESKSi virtuelni host i isključili virtuelnu mašinu.

2

Uklonite čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na dugme Pogledaj sve da biste prikazali stranicu Hibridni resursi za bezbednost podataka.

  3. Izaberite svoj klaster da biste prikazali panel Pregled.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na dugme Odjavi ovaj čvor na panelu koji se pojavljuje na desnoj strani

  6. Takođe možete odjaviti čvor klikom na ... na desnoj strani čvora i odabirom Odjavi čvor.

3

U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite Izbriši.)

Ako ne izbrišete VM, ne zaboravite da demontirate konfiguracijsku ISO datoteku. Bez ISO datoteke, ne možete koristiti VM za pristup vašim sigurnosnim podacima.

Oporavak od katastrofe koristeći Standbi Data Center

Najkritičnija usluga koju pruža vaš hibridni klaster bezbednosti podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja koji se čuvaju u Vebek oblaku. Za svakog korisnika u organizaciji koji je dodeljen hibridnoj bezbednosti podataka, novi zahtevi za kreiranje ključeva se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima koji su ovlašćeni da ih preuzmu, na primer, članovi prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju pružanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održavaju odgovarajuće rezervne kopije. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koji se koristi za šemu će rezultirati NEPOVRATNIM GUBITKOM sadržaja korisnika. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru za podatke postane nedostupno, pratite ovu proceduru da biste ručno prebacili u rezervni centar za podatke.

Pre nego što počnete

Koristite najnoviju ISO datoteku koja je konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da izvrši proceduru failover navedenu u nastavku.
1

Pokrenite alat za podešavanje HDS-a i pratite korake navedene u Kreiranje konfiguracije ISO za HDS Hosts.

2

Nakon konfigurisanja Sislogd servera, kliknite na Napredna podešavanja

3

Na stranici Napredna podešavanja , dodajte konfiguraciju ispod ili uklonite konfiguraciju passiveMode da bi čvor bio aktivan. Čvor može da upravlja saobraćajem kada je ovo konfigurisano.


passiveMode: 'false'

4

Završite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

5

Napravite rezervnu kopiju ISO datoteke na vašem lokalnom sistemu. Čuvajte rezervnu kopiju na sigurnom. Ovaj fajl sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo onim administratorima hibridne bezbednosti podataka koji bi trebalo da promene konfiguracije.

6

U levom oknu za navigaciju VMvare vSphere klijenta, kliknite desnim tasterom miša na VM i kliknite na Edit Settings..

7

Kliknite na dugme Edit Settings >CD/DVD Drive 1 i izaberite Datastore ISO fajl.

Uverite se da su Connected i Connect pri uključivanju provereni tako da ažurirane promene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

8

Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

9

Ponovite postupak za svaki čvor u rezervnom data centru.

Proverite izlaz sislog-a da biste proverili da li čvorovi rezervnog data centra nisu u pasivnom režimu. "KMS konfigurisan u pasivnom režimu" ne bi trebalo da se pojavi u sislogs.

Šta je sledeće

Nakon failover-a, ako primarni centar za podatke ponovo postane aktivan, ponovo postavite centar za podatke u stanju pripravnosti u pasivni režim prateći korake opisane u Podesite centar za podatke u stanju pripravnosti za oporavak od katastrofe.

(Opciono) Demontirajte ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Ali, neki kupci ne vole da ostavljaju ISO datoteke kontinuirano montirane. Možete demontirati ISO datoteku nakon što svi HDS čvorovi pokupi novu konfiguraciju.

I dalje koristite ISO fajlove da biste napravili promene u konfiguraciji. Kada kreirate novi ISO ili ažurirate ISO putem alata za podešavanje, morate montirati ažurirani ISO na svim vašim HDS čvorovima. Kada su svi vaši čvorovi pokupili promene konfiguracije, možete ponovo demontirati ISO sa ovom procedurom.

Pre nego što počnete

Nadogradite sve svoje HDS čvorove na verziju 2025.06.02.6983 ili noviju.

1

Isključite jedan od vaših HDS čvorova.

2

U vCenter Server Appliance-u izaberite HDS čvor.

3

Izaberite Edit Settings > CD / DVD uređaj i isključite Datastore ISO datoteku.

4

Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta.

5

Ponovite za svaki HDS čvor redom.

Rešavanje problema sa hibridnom sigurnošću podataka

Pogledaj upozorenja i rešavanje problema

Hibridna bezbednost podataka primena se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni, ili klaster radi tako sporo da zahteva vremenski istek. Ako korisnici ne mogu da dođu do vašeg klastera Hibrid Data Securiti, doživljavaju sledeće simptome:

  • Novi prostori ne mogu biti kreirani (ne mogu da kreiraju nove ključeve)

  • Poruke i prostorni naslovi ne uspevaju da dešifruju za:

    • Novi korisnici dodat u prostor (ne mogu da dohvate ključeve)

    • Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu da dohvate ključeve)

  • Postojeći korisnici u prostoru će nastaviti da rade uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje

Važno je da pravilno pratite svoj hibridni klaster bezbednosti podataka i odmah se bavite svim upozorenjima kako biste izbegli prekid usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poštu na konfigurisanu adresu e-pošte. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajena pitanja i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite greške u bazi podataka ili probleme sa lokalnom mrežom.

Neuspeh veze sa lokalnom bazom podataka.

Proverite da li je server baze podataka dostupan, a u konfiguraciji čvora korišćeni su pravi akreditivi servisnog naloga.

Neuspeh pristupa Cloud servisu.

Proverite da li čvorovi mogu pristupiti Vebek serverima kao što je navedeno u Zahtevima za eksterno povezivanje.

Obnavljanje registracije usluga u oblaku.

Registracija za cloud usluge je odbačena. Obnova registracije je u toku.

Registracija Cloud servisa je pala.

Registracija za cloud usluge prestala. Usluga se gasi.

Servis još nije aktiviran.

Aktivirajte HDS u Partner Hub-u.

Konfigurisani domen ne odgovara sertifikatu servera.

Uverite se da sertifikat vašeg servera odgovara konfigurisanom domenu za aktivaciju usluge.

Najverovatniji uzrok je da je sertifikat CN nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Nije uspelo da se autentifikuje u cloud uslugama.

Proverite tačnost i mogući istek akreditiva servisnog računa.

Failed to open local kestores file.

Proverite integritet i tačnost lozinke na lokalnom keistore fajlu.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za sertifikate.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montiranja na virtuelnom hostu. Proverite da li ISO datoteka postoji, da li je konfigurisana za montiranje prilikom ponovnog pokretanja i da li se uspešno montira.

Podešavanje organizacije stanara nije završeno za dodate organizacije

Kompletno podešavanje kreiranjem CMK-a za novododane organizacije stanara pomoću HDS Setup Tool-a.

Podešavanje Tenant Org nije završeno za uklonjene organizacije

Kompletno podešavanje ukidanjem CMK-a stanarskih organizacija koje su uklonjene pomoću HDS Setup Tool-a.

Rešavanje problema sa hibridnom sigurnošću podataka

Koristite sledeće opšte smernice kada rešavate probleme sa hibridnim bezbednošću podataka.
1

Prijavite se u partnerski centar.

2

Iz menija na levoj strani ekrana izaberite Usluge.

3

U odeljku Hibrid pronađite Hibrid Data Securiti i kliknite na Događaji.

4

Pregledajte stranicu istorije događaja za bilo kakva upozorenja i popravite sve stavke koje tamo pronađete. Pogledajte sliku ispod za referencu.

5

Pregledajte izlaz sislog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su "Upozorenje" i "Greška" da pomogne u rešavanju problema.

6

Kontaktirajte Cisco podršku.

Ostale napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite sve aktivne klastere hibridne bezbednosti podataka (brisanjem u Partner Hub-u ili gašenjem svih čvorova), izgubite konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka za ključeve, korisnici Vebek App-a korisničkih organizacija više ne mogu da koriste prostore pod svojom listom ljudi koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje ili popravku za ovaj problem i pozivamo vas da ne isključujete svoje HDS usluge kada se bave aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu u određenom vremenskom periodu (verovatno jedan sat).

Pokreni HDS Setup alat koristeći Podman Desktop

Podman je besplatan alat za upravljanje kontejnerima otvorenog koda koji pruža način za pokretanje, upravljanje i kreiranje kontejnera. Podman Desktop se može preuzeti sa https://podman-desktop.io/downloads.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Da biste mu pristupili, preuzmite i pokrenite Podman na toj mašini. Proces instalacije zahteva akreditive naloga kontrolnog čvorišta sa punim administratorskim pravima za vašu organizaciju.

    Ako alat za podešavanje HDS-a radi iza proki-a u vašem okruženju, obezbedite postavke proksi (server, port, akreditive) kroz Docker varijable okruženja kada podignete Docker kontejner u koraku KSNUMKS. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguraciona ISO datoteka koju generišete sadrži glavni ključ koji šifrira bazu podataka PostgreSKL ili Microsoft SKL Server. Potrebna vam je najnovija kopija ovog fajla svaki put kada napravite izmene konfiguracije, kao što su ove:

    • Akreditivi baze podataka

    • Ažuriranje sertifikata

    • Izmene u politici ovlašćenja

  • Ako planirate da šifrujete veze sa bazom podataka, podesite svoj PostgreSKL ili SKL Server za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svoj hibridni domaćin za bezbednost podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

podman rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

podman rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

podman login docker.io -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

podman pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa HTTPS proki:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

Šta je sledeće

Pratite preostale korake u Kreiranje konfiguracije ISO za HDS hostove ili Promenite konfiguraciju čvora da biste kreirali ili promenili ISO konfiguraciju.

Premestite postojeću HDS raspoređivanje partnerske organizacije sa jednim stanarom u Control Hub-u u Multi-Tenant HDS podešavanje u Partner Hub-u

Konverzija iz postojećeg HDS-a sa jednim stanarom partnerske organizacije kojom se upravlja u Control Hub-u na Multi-Tenant HDS raspoređivanje upravljano u Partner Hub-u prvenstveno uključuje deaktiviranje HDS usluge u Control Hub-u, de-registraciju čvorova i brisanje klastera. Zatim se možete prijaviti na Partner Hub, registrovati čvorove, aktivirati Multi-Tenant HDS i dodati kupce u svoj klaster.

Termin "single-tenant" jednostavno se odnosi na postojeće HDS raspoređivanje u Control Hub-u.

Deaktivirajte HDS, odjavite čvorove i izbrišite sve klastere u Control Hub-u

1

Prijavite se u Kontrolni centar. U levom oknu kliknite na dugme Hibrid. Na kartici Hibridna bezbednost podataka kliknite na dugme Izmeni podešavanja.

2

Na stranici sa podešavanjima pomerite se nadole do odeljka Deaktiviraj i kliknite na dugme Deaktiviraj.

3

Nakon deaktivacije, kliknite na karticu Resursi .

4

Stranica Resursi navodi klastere u vašem HDS raspoređivanju. Kliknite na klaster, otvara se stranica sa svim čvorovima u tom klasteru.

5

Kliknite Meni „Još“ na desnu stranu i kliknite na dugme Odjavi čvor. Ponovite postupak za sve čvorove u klasteru.

6

Ako vaša primena ima više klastera, ponovite korak 4 i korak 5 dok se svi čvorovi ne odjave.

7

Kliknite na Podešavanja klastera > Ukloni.

8

Kliknite na dugme Potvrdi uklanjanje da biste odjavili klaster.

9

Ponovite postupak za sve klastere u vašem HDS raspoređivanju.

Nakon deaktivacije HDS-a, odjave čvorova i uklanjanja klastera, kartica Hibrid Data Service na Control Hub-u će imati Setup nije završen prikazan na dnu.

Aktivirajte Multi-Tenant HDS za partnersku organizaciju na Partner Hub-u i dodajte kupce

Pre nego što počnete

Ovde se primenjuju svi preduslovi navedeni u Zahtevima za hibridnu bezbednost podataka sa više stanara. Pored toga, osigurajte da se ista baza podataka i sertifikati koriste tokom kretanja u Multi-Tenant HDS.

1

Prijavite se na Partner Hub. Kliknite na dugme Usluge u levom oknu.

Koristite isti ISO iz prethodnog HDS raspoređivanja da biste konfigurisali čvorove. Ovo će osigurati da su poruke i sadržaj generisani od strane korisnika u prethodnom postojećem HDS raspoređivanju i dalje dostupni u novom Multi-Tenant podešavanju.

2

U odeljku Hibrid pronađite karticu Hibrid Data Securiti i kliknite na dugme Postavi.

3

Na stranici koja se otvori kliknite na Dodaj resurs.

4

U prvom polju Kreiraj karticu klastera , unesite ime klastera na koji želite da dodelite svoj čvor hibridne bezbednosti podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera nalaze geografski. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

5

U drugo polje unesite internu IP adresu ili potpuno kvalifikovano ime domena (FKDN) vašeg čvora i kliknite na dugme Dodaj na dnu ekrana.

Ova IP adresa ili FKDN treba da odgovara IP adresi ili imenu hosta i domenu koji ste koristili u Podešavanje VM-a za hibridnu bezbednost podataka.

Pojavljuje se poruka koja pokazuje da možete da registrujete svoj čvor na Vebek.
6

Kliknite na dugme Idi na čvor.

Nakon nekoliko trenutaka, preusmereni ste na testove povezivanja čvorova za Vebek usluge. Ako su svi testovi uspešni, pojavljuje se stranica Dozvoli pristup hibridnom čvoru za bezbednost podataka. Tamo potvrđujete da želite da date dozvole vašoj Vebek organizaciji za pristup vašem čvoru.

7

Označite polje za potvrdu Dozvoli pristup vašem hibridnom čvoru za bezbednost podataka, a zatim kliknite na dugme Nastavi.

Vaš nalog je potvrđen i poruka "Registracija završena" označava da je vaš čvor sada registrovan u Vebek oblaku. Na stranici Hibridna bezbednost podataka, novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.
8

Idite na karticu Settings i kliknite na dugme Aktiviraj na HDS Status kartici.

Aktiviran HDS poruka će se pojaviti na dnu ekrana.
9

Kliknite na karticu Dodeljeni kupci .

10

Kliknite na Dodaj kupce.

11

Izaberite kupca kojeg želite da dodate iz padajućeg menija.

12

Kliknite na Dodaj, kupac će biti dodan u klaster.

13

Ponovite korake KSNUMKS do KSNUMKS da biste dodali više kupaca u svoj klaster.

14

Kliknite na dugme Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alat za podešavanje HDS-a kao što je detaljno opisano u Kreiranje glavnih ključeva klijenata (CMK) pomoću alata za podešavanje HDS-a da biste dovršili proces podešavanja.

Koristite OpenSSL da biste generisali PKCSKSNUMKS datoteku

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za izradu PKCSKSNUMKS datoteke u odgovarajućem formatu za učitavanje u HDS Setup Tool. Postoje i drugi načini da se to uradi, a mi ne podržavamo ili promovišemo jedan način u odnosu na drugi.

  • Ako odlučite da koristite OpenSSL, pružamo ovu proceduru kao smernicu koja će vam pomoći da kreirate datoteku koja ispunjava zahteve Ks.KSNUMKS sertifikata u Ks.KSNUMKS zahtevima za sertifikat. Shvatite te zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Započnite ovu proceduru kada primite sertifikat servera od vašeg autoriteta za sertifikate (CA).

1

Kada primite sertifikat servera od vašeg CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata pod nazivom hdsnode-bundle.pem. Datoteka paketa mora da sadrži sertifikat servera, sve intermediate CA sertifikate i root CA sertifikate, u sledećem formatu:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. openssl pkcs12 -in hdsnode.p12

  2. Unesite lozinku na upit za šifrovanje privatnog ključa, tako da je naveden u izlazu. Zatim, proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-private-key.

    Primer:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Šta je sledeće

Vratite se da biste ispunili preduslove za hibridnu sigurnost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u Kreirajte konfiguraciju ISO za HDS hostove.

Možete ponovo koristiti ove fajlove da zatražite novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Saobraćaj za prikupljanje odlaznih metrika

Hibridni čvorovi za bezbednost podataka šalju određene metrike u Vebek oblak. To uključuje sistemske metrike za gomilu mak, gomilu koja se koristi, opterećenje CPU-a i broj niti; metrike na sinhronim i asinhronim nitima; metrike o upozorenjima koja uključuju prag enkripcijskih veza, kašnjenje ili dužinu reda zahteva; metrike u skladištu podataka; i metrike enkripcijske veze. Čvorovi šalju šifrovani ključni materijal preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi hibridne bezbednosti podataka dobijaju sledeće vrste dolaznog saobraćaja iz Vebek oblaka:

  • Zahtevi za šifrovanje od klijenata, koji su usmereni od strane servisa za šifrovanje

  • Nadogradnje softvera čvora

Konfigurišite Squid Prokies za hibridnu sigurnost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Lignje punomoćnici koji pregledavaju HTTPS saobraćaj mogu ometati uspostavljanje vebsocket (wss:) veza koje zahteva hibridna sigurnost podataka. Ovi odeljci daju smernice o tome kako konfigurisati različite verzije lignji da ignorišu wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte direktivu on_unsupported_protocol u:squid.conf

on_unsupported_protocol tunnel all

Lignje 3.5.27

Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima koja su dodana u squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Da li je ovaj članak bio koristan?
Da li je ovaj članak bio koristan?
CeneAplikacija WebexSastanciCallingRazmena porukaDeljenje ekrana
Webex SuiteCallingSastanciRazmena porukaSlidoVebinariDogađajiContact CenterCPaaSBezbednostControl Hub
Slušalice sa mikrofonomKamereSerija radnih stolovaSerija RoomSerija BoardSerija telefonaDodatna oprema
ObrazovanjeZdravstvoUpravaFinansijeSport i zabavaPrva linijaNeprofitne organizacijeStartapoviHibridni rad
PreuzimanjaPridružite se probnom sastankuČasovi na mrežiIntegracijePristupačnostInkluzivnostVebinari uživo i na zahtevWebex zajednicaWebex za programereVesti i inovacije
CiscoObratite se podršciObratite se timu za prodajuWebex BlogWebex ideja liderstvaProdavnica Webex proizvodaKarijera
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
Uslovi i odredbeIzjava o privatnostiKolačićiZaštitni znakovi
©2025 Cisco i/ili povezana pravna lica. Sva prava zadržana.
Uslovi i odredbeIzjava o privatnostiKolačićiZaštitni znakovi