U ovom članku
dropdown icon
Нове и измењене информације
    Нове и измењене информације
dropdown icon
Почните са вишенаменском хибридном безбедношћу података
    dropdown icon
    Преглед безбедности хибридних података за више закупаца
      Како хибридна безбедност података за више закупаца обезбеђује суверенитет података и контролу података
      Ограничења безбедности података хибридних система са више закупаца
      Улоге у безбедности података за више закупаца у хибридним системима
    dropdown icon
    Архитектура безбедносног домена
      Царства раздвојености (без хибридне безбедности података)
    Сарадња са другим организацијама
    Очекивања за имплементацију хибридне безбедности података
    Процес подешавања на високом нивоу
    dropdown icon
    Хибридни модел примене безбедности података
      Хибридни модел примене безбедности података
    dropdown icon
    Резервни центар података за опоравак од катастрофе
      Ручно пребацивање на стандарни дата центар
    Proksi podrška
dropdown icon
Priprema okruženja
    dropdown icon
    Захтеви за безбедност података за вишеструке закупце у хибридним системима
      Захтеви за лиценцу Cisco Webex-а
      Захтеви за Docker Desktop
      Захтеви за X.509 сертификат
      Захтеви за виртуелни хост
      Захтеви сервера базе података
      Захтеви за екстерну повезаност
      Zahtevi proxy servera
    Испуните предуслове за хибридну безбедност података
dropdown icon
Подесите хибридни кластер за безбедност података
    Ток задатка за имплементацију хибридне безбедности података
    Извршите почетно подешавање и преузмите инсталационе датотеке
    Направите ISO конфигурацију за HDS хостове
    Инсталирајте HDS Host OVA
    Подесите хибридну виртуелну машину за безбедност података
    Отпремите и монтирајте ISO датотеку конфигурације HDS-а
    Konfigurisanje HDS oglasa za integraciju proxy servera
    Региструјте први чвор у кластеру
    Креирајте и региструјте више чворова
dropdown icon
Управљајте организацијама закупаца на вишезакупничкој хибридној безбедности података
    Активирајте Multi-Tenant HDS на Partner Hub-у
    Додајте организације закупаца у Центру за партнере
    Креирајте главне кључеве корисника (CMK) помоћу алатке за подешавање HDS-а
    Уклоните организације закупаца
    Поништити CMK-ове станара уклоњених из HDS-а.
dropdown icon
Тестирајте своју имплементацију хибридне безбедности података
    Тестирајте своју хибридну имплементацију безбедности података
    Праћење здравља безбедности хибридних података
dropdown icon
Управљајте својим HDS распоређивањем
    Управљање HDS имплементацијом
    Подесите распоред надоградње кластера
    Промена конфигурације чвора
    Isključi blokirani režim spoljne DNS rezolucije
    Уклони чвор
    Опоравак од катастрофе коришћењем резервног дата центра
    (Опционо) Демонтирајте ISO након конфигурације HDS-а
dropdown icon
Решавање проблема са безбедношћу хибридних података
    Преглед упозорења и решавање проблема
    dropdown icon
    Upozorenja
      Уобичајени проблеми и кораци за њихово решавање
    Решавање проблема са безбедношћу хибридних података
dropdown icon
Остале напомене
    Познати проблеми са безбедношћу хибридних података
    Покрените алатку за подешавање HDS-а помоћу Podman Desktop-а
    dropdown icon
    Преместите постојеће HDS распоређивање за једног закупца партнерске организације у Control Hub-у у HDS подешавање за више закупаца у Partner Hub-у
      Деактивирајте HDS, одјавите чворове и обришите кластер у Control Hub-у
      Активирајте Multi-Tenant HDS за партнерску организацију на Partner Hub-у и додајте клијенте
    Користите OpenSSL за генерисање PKCS12 датотеке
    Саобраћај између HDS чворова и облака
    dropdown icon
    Конфигуришите Squid проксије за хибридну безбедност података
      Websocket ne može da se poveže preko proxy servera sa lignjama
dropdown icon
Деактивирајте хибридну безбедност података за више закупаца
    Ток задатка деактивације вишезакупничког HDS-а
22. мај 2025. | 6 prikaz/prikaza | 0 osobe/osoba misle da je ovo korisno

Водич за имплементацију хибридне безбедности података за више корисника (HDS) (бета)

list-menuU ovom članku
list-menuPovratne informacije?

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

13. decembar 2024.

Prvo izdanje.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 6.5 (ili kasnije) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija konfigurisanja podešavanja mreže tokom OVA primene testirana je sa ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija konfigurisanja podešavanja mreže tokom OVA primene testirana je sa ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

15. januara 2025.

Dodata su ograničenja hibridne bezbednosti podataka sa više zakupaca.

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Ograničenja hibridne bezbednosti podataka sa više zakupaca

  • Partnerske organizacije ne smeju da imaju aktivno raspoređivanje HDS-a na portalu Control Hub.
  • Zakupac ili organizacije kupca koje žele da njime upravlja partner ne smeju da imaju postojeću primenu HDS-a u Kontrolnom čvorištu.
  • Kada partner primeni HDS sa više zakupaca, svi korisnici korisničkih organizacija kao i korisnici partnerske organizacije počinju da koriste HDS sa više zakupaca za svoje usluge šifrovanja.

    Organizacija partnera i organizacije kupca kojima upravljaju biće na istoj primeni HDS sa više zakupaca.

    Partnerska organizacija više neće koristiti KMS u oblaku nakon što se primeni HDS sa više zakupaca.

  • Ne postoji mehanizam za premeštanje ključeva nazad u Cloud KMS nakon primene HDS-a.
  • Trenutno svaka primena HDS-a sa više zakupaca može da ima samo jedan klaster, sa više čvorova ispod njega.
  • Uloge administratora imaju određena ograničenja; pogledajte odeljak ispod za detalje.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

30. januara 2025.

Verzija SQL servera 2022 je dodata na listu podržanih SQL servera u okviru odeljka Zahtevi servera baze podataka.

15. januara 2025.

Dodata su ograničenja hibridne bezbednosti podataka sa više zakupaca.

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Ograničenja hibridne bezbednosti podataka sa više zakupaca

  • Partnerske organizacije ne smeju da imaju aktivno raspoređivanje HDS-a na portalu Control Hub.
  • Zakupac ili organizacije kupca koje žele da njime upravlja partner ne smeju da imaju postojeću primenu HDS-a u Kontrolnom čvorištu.
  • Kada partner primeni HDS sa više zakupaca, svi korisnici korisničkih organizacija kao i korisnici partnerske organizacije počinju da koriste HDS sa više zakupaca za svoje usluge šifrovanja.

    Organizacija partnera i organizacije kupca kojima upravljaju biće na istoj primeni HDS sa više zakupaca.

    Partnerska organizacija više neće koristiti KMS u oblaku nakon što se primeni HDS sa više zakupaca.

  • Ne postoji mehanizam za premeštanje ključeva nazad u Cloud KMS nakon primene HDS-a.
  • Trenutno svaka primena HDS-a sa više zakupaca može da ima samo jedan klaster, sa više čvorova ispod njega.
  • Uloge administratora imaju određena ograničenja; pogledajte odeljak ispod za detalje.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017, 2019 ili 2022. (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

30. januara 2025.

Verzija SQL servera 2022 je dodata na listu podržanih SQL servera u okviru odeljka Zahtevi servera baze podataka.

15. januara 2025.

Dodata su ograničenja hibridne bezbednosti podataka sa više zakupaca.

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Ograničenja hibridne bezbednosti podataka sa više zakupaca

  • Partnerske organizacije ne smeju da imaju aktivno raspoređivanje HDS-a na portalu Control Hub.
  • Zakupac ili organizacije kupca koje žele da njime upravlja partner ne smeju da imaju postojeću primenu HDS-a u Kontrolnom čvorištu.
  • Kada partner primeni HDS sa više zakupaca, svi korisnici korisničkih organizacija kao i korisnici partnerske organizacije počinju da koriste HDS sa više zakupaca za svoje usluge šifrovanja.

    Organizacija partnera i organizacije kupca kojima upravljaju biće na istoj primeni HDS sa više zakupaca.

    Partnerska organizacija više neće koristiti KMS u oblaku nakon što se primeni HDS sa više zakupaca.

  • Ne postoji mehanizam za premeštanje ključeva nazad u Cloud KMS nakon primene HDS-a.
  • Trenutno svaka primena HDS-a sa više zakupaca može da ima samo jedan klaster, sa više čvorova ispod njega.
  • Uloge administratora imaju određena ograničenja; pogledajte odeljak ispod za detalje.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017, 2019 ili 2022. (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

04. mart 2025.

30. januara 2025.

Verzija SQL servera 2022 je dodata na listu podržanih SQL servera u okviru odeljka Zahtevi servera baze podataka.

15. januara 2025.

Dodata su ograničenja hibridne bezbednosti podataka sa više zakupaca.

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Ograničenja hibridne bezbednosti podataka sa više zakupaca

  • Partnerske organizacije ne smeju da imaju aktivno raspoređivanje HDS-a na portalu Control Hub.
  • Zakupac ili organizacije kupca koje žele da njime upravlja partner ne smeju da imaju postojeću primenu HDS-a u Kontrolnom čvorištu.
  • Kada partner primeni HDS sa više zakupaca, svi korisnici korisničkih organizacija kao i korisnici partnerske organizacije počinju da koriste HDS sa više zakupaca za svoje usluge šifrovanja.

    Organizacija partnera i organizacije kupca kojima upravljaju biće na istoj primeni HDS sa više zakupaca.

    Partnerska organizacija više neće koristiti KMS u oblaku nakon što se primeni HDS sa više zakupaca.

  • Ne postoji mehanizam za premeštanje ključeva nazad u Cloud KMS nakon primene HDS-a.
  • Trenutno svaka primena HDS-a sa više zakupaca može da ima samo jedan klaster, sa više čvorova ispod njega.
  • Uloge administratora imaju određena ograničenja; pogledajte odeljak ispod za detalje.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

Kupci bez licence za Docker Desktop mogu da koriste alatku za upravljanje kontejnerima otvorenog izvora kao što je Podman Desktop za pokretanje i kreiranje kontejnera. Detaljnije informacije potražite u članku Pokretanje alatke za podešavanje HDS pomoću aplikacije Podman Desktop .

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-private-key za označavanje sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017, 2019 ili 2022. (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne inspekciju) saobraćaj ka wbx2.com i ciscospark.com rešiće problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMAIN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 Вијести 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno određeno ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    udp://10.92.43.23:514 označava prijavljivanje na Syslogd host 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da unesete TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxSize: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite CD/DVD Drive 1na dugme , izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL za podešavanje HDS čvora https://[HDS Node IP or FQDN]/setup u veb-pregledač, unesite akreditive administratora koje ste podesili za čvor, a zatim kliknite na Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS-u, filtrirajte kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako nemate licencu za Docker Desktop, možete da koristite aplikaciju Podman Desktop da biste pokrenuli alatku za podešavanje HDS-a za korake 1.a do 1.e u nastavku. Detaljnije informacije potražite u članku Pokretanje alatke za podešavanje HDS pomoću aplikacije Podman Desktop .

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker rmi ciscocitg/hds-setup:stable

    U FedRAMP okruženjima:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker login -u hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker pull ciscocitg/hds-setup:stable

    U FedRAMP okruženjima:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite CD/DVD Drive 1na dugme , izaberite opciju za montiranje iz ISO datoteke i pregledajte lokaciju na kojoj ste preuzeli novu ISO datoteku za konfiguraciju.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Pokrenite alatku za podešavanje HDS pomoću aplikacije Podman Desktop

Podman je besplatna i otvorena alatka za upravljanje kontejnerima koja obezbeđuje način za pokretanje i kreiranje kontejnera. Podman Desktop se može preuzeti sa lokacije https://podman-desktop.io/downloads.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Da biste mu pristupili, preuzmite i pokrenite Podman na toj mašini. Proces instalacije zahteva akreditive naloga kontrolnog čvorišta sa punim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

podman rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

podman rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

podman login docker.io -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

podman pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

Šta je sledeće

Pratite preostale korake u odeljku Kreiranje konfiguracije ISO za HDS organizatore ili Promenite konfiguraciju čvora da biste kreirali ili promenili ISO konfiguraciju.

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali komplet sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. openssl pkcs12 -in hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat sadrže linije friendlyName: kms-private-key.

    Primer:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Datoteku hdsnode.p12 i lozinku koju ste za nju podesili ćete koristiti u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije skida tako da ignorišu wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu u squid.conf:

on_unsupported_protocol tunnel all

Lignje 3.5.27

Uspešno smo testirali hibridnu bezbednost podataka uz dodata sledeća pravila. squid.conf Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Нове и измењене информације

Нове и измењене информације

Ова табела покрива нове функције или функционалности, промене постојећег садржаја и све веће грешке које су исправљене у Водичу за имплементацију хибридне безбедности података за више закупаца.

Datum

Извршене промене

8. мај 2025.
4. март 2025.

30. јануар 2025.

Додата је верзија SQL сервера 2022 на листу подржаних SQL сервера у Захтеви за сервер базе података.

15. јануар 2025.

Додата Ограничења безбедности података за вишезакупце хибридних система.

8. јануар 2025.

Додата је напомена у Извршите почетно подешавање и преузмите инсталационе датотеке у којој се наводи да је клик на Подешавање на HDS картици у Partner Hub-у важан корак у процесу инсталације.

7. јануар 2025.

Ажурирани захтеви за виртуелни хост, ток задатка за имплементацију хибридне безбедности податакаи инсталирање HDS хост OVA да би се приказали нови захтеви ESXi 7.0.

13. децембар 2024.

Прво објављено.

Деактивирајте хибридну безбедност података за више закупаца

Ток задатка деактивације вишезакупничког HDS-а

Пратите ове кораке да бисте потпуно деактивирали Multi-Tenant HDS.

Pre nego što počnete

Овај задатак треба да обавља само пуни администратор партнера.
1

Уклоните све купце из свих ваших кластера, као што је поменуто у Уклањање организација закупаца.

2

Поништите CMK-ове свих купаца, као што је поменуто у Поништите CMK-ове закупаца уклоњених из HDS-а..

3

Уклоните све чворове из свих ваших кластера, као што је поменуто у Уклањање чвора.

4

Избришите све кластере из Центра за партнере користећи једну од следеће две методе.

  • Кликните на кластер који желите да обришете и изаберите Обриши овај кластер у горњем десном углу странице са прегледом.
  • На страници Ресурси кликните на … са десне стране кластера и изаберите Уклони кластер.
5

Кликните на картицу Подешавања на страници са прегледом хибридне безбедности података и кликните на Деактивирај HDS на картици Статус HDS-а.

Почните са вишенаменском хибридном безбедношћу података

Преглед безбедности хибридних података за више закупаца

Од првог дана, безбедност података је била главни фокус при дизајнирању Webex апликације. Камен темељац ове безбедности је енкрипција садржаја од почетка до краја, коју омогућавају клијенти Webex апликације који интерагују са услугом управљања кључевима (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Подразумевано, сви корисници Webex апликације добијају енкрипцију од почетка до краја са динамичким кључевима који се чувају у cloud KMS-у, у Cisco-овом безбедносном домену. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Вишезакупна хибридна безбедност података омогућава организацијама да искористе HDS преко поузданог локалног партнера, који може да делује као добављач услуга и да управља локалним шифровањем и другим безбедносним услугама. Ова поставка омогућава партнерској организацији потпуну контролу над распоређивањем и управљањем кључевима за шифровање и осигурава да су кориснички подаци организација клијената безбедни од спољног приступа. Партнерске организације подешавају HDS инстанце и креирају HDS кластере по потреби. Свака инстанца може да подржи више корисничких организација, за разлику од редовног HDS распоређивања које је ограничено на једну организацију.

Иако партнерске организације имају контролу над имплементацијом и управљањем, оне немају приступ подацима и садржају који генеришу клијенти. Овај приступ је ограничен на организације клијената и њихове кориснике.

Ово такође омогућава мањим организацијама да искористе HDS, јер су услуге управљања кључевима и безбедносна инфраструктура попут дата центара у власништву поузданог локалног партнера.

Како хибридна безбедност података за више закупаца обезбеђује суверенитет података и контролу података

  • Садржај који генеришу корисници је заштићен од спољног приступа, као што су добављачи услуга у облаку.
  • Локални поуздани партнери управљају кључевима за шифровање купаца са којима већ имају успостављен однос.
  • Могућност локалне техничке подршке, ако је партнер пружа.
  • Подржава садржај за састанке, размену порука и позиве.

Овај документ има за циљ да помогне партнерским организацијама да подесе и управљају клијентима у оквиру хибридног система за безбедност података са више закупаца.

Ограничења безбедности података хибридних система са више закупаца

  • Партнерске организације не смеју имати ниједно постојеће HDS имплементирање активно у Control Hub-у.
  • Закупци или организације купаца које желе да буду под управљањем партнера не смеју имати постојеће HDS имплементације у Control Hub-у.
  • Када партнер имплементира Multi-Tenant HDS, сви корисници организација клијената, као и корисници партнерске организације, почињу да користе Multi-Tenant HDS за своје услуге шифровања.

    Партнерска организација и организације купаца којима управљају биће на истом вишезакупничком HDS распоређивању.

    Партнерска организација више неће користити cloud KMS након што се примени Multi-Tenant HDS.

  • Не постоји механизам за враћање кључева у Cloud KMS након имплементације HDS-а.
  • Тренутно, свако имплементирање вишеструког HDS-а може имати само један кластер, са више чворова испод њега.
  • Администраторске улоге имају одређена ограничења; погледајте одељак испод за детаље.

Улоге у безбедности података за више закупаца у хибридним системима

  • Пуни администратор партнера - Може да управља подешавањима за све клијенте којима партнер управља. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Администратор партнера - Може да управља подешавањима за клијенте које је администратор обезбедио или који су додељени кориснику.
  • Пуни администратор - Администратор партнерске организације који је овлашћен да обавља задатке као што су измена подешавања организације, управљање лиценцама и додељивање улога.
  • Комплетно подешавање и управљање HDS-ом за више закупаца за све организације клијената - Потребна су пуна администраторска права партнера и пуна администраторска права.
  • Управљање додељеним организацијама закупаца - Потребни су администратор партнера и пуна администраторска права.

Архитектура безбедносног домена

Webex cloud архитектура раздваја различите типове услуга у одвојене области или домене поверења, као што је приказано у наставку.

Царства раздвојености (без хибридне безбедности података)

Да бисмо боље разумели хибридну безбедност података, прво погледајмо овај случај чистог облака, где Cisco пружа све функције у својим cloud областима. Услуга идентитета, једино место где корисници могу бити директно повезани са својим личним подацима као што је адреса е-поште, логички је и физички одвојена од безбедносне области у дата центру Б. Обе су заузврат одвојене од области у којој се шифровани садржај коначно чува, у дата центру Ц.

На овом дијаграму, клијент је Webex апликација која ради на корисничком лаптопу и аутентификована је помоћу сервиса за идентификацију. Када корисник састави поруку коју ће послати у простор, дешавају се следећи кораци:

  1. Клијент успоставља безбедну везу са сервисом за управљање кључевима (KMS), а затим захтева кључ за шифровање поруке. Безбедна веза користи ECDH, а KMS шифрује кључ помоћу главног кључа AES-256.

  2. Порука се шифрује пре него што напусти клијента. Клијент га шаље сервису за индексирање, који креира шифроване индексе претраге како би помогао у будућим претрагама садржаја.

  3. Шифрована порука се шаље служби за проверу усаглашености.

  4. Шифрована порука се чува у складишту.

Када имплементирате хибридну безбедност података, премештате функције безбедносне области (KMS, индексирање и усклађеност) у свој локални центар података. Остале cloud услуге које чине Webex (укључујући складиштење идентитета и садржаја) остају у надлежности компаније Cisco.

Сарадња са другим организацијама

Корисници у вашој организацији могу редовно користити Webex апликацију за сарадњу са спољним учесницима у другим организацијама. Када један од ваших корисника затражи кључ за простор који је у власништву ваше организације (јер га је креирао један од ваших корисника), ваш KMS шаље кључ клијенту преко ECDH заштићеног канала. Међутим, када друга организација поседује кључ за простор, ваш KMS усмерава захтев ка Webex облаку преко посебног ECDH канала да би добио кључ од одговарајућег KMS-а, а затим враћа кључ вашем кориснику на оригиналном каналу.

KMS сервис који ради у организацији А валидира везе са KMS-овима у другим организацијама користећи x.509 PKI сертификате. Погледајте Припремите своје окружење за детаље о генерисању x.509 сертификата који ћете користити са вашим имплементирањем хибридне безбедности података за више закупаца.

Очекивања за имплементацију хибридне безбедности података

Имплементација хибридне безбедности података захтева значајну посвећеност и свест о ризицима који долазе са поседовањем кључева за шифровање.

Да бисте имплементирали хибридну безбедност података, морате да обезбедите:

  • Безбедан центар података у земљи која је подржана локација за Cisco Webex Teams планове.

  • Опрема, софтвер и мрежни приступ описани у Припремите своје окружење.

Потпуни губитак ISO датотеке конфигурације коју направите за Hybrid Data Security или базе података коју обезбедите резултираће губитком кључева. Губитак кључа спречава кориснике да дешифрују садржај простора и друге шифроване податке у Webex апликацији. Ако се то деси, можете направити ново распоређивање, али ће бити видљив само нови садржај. Да бисте избегли губитак приступа подацима, морате:

  • Управљајте резервном копијом и опоравком базе података и ISO датотеке конфигурације.

  • Будите спремни да извршите брзи опоравак од катастрофе ако дође до катастрофе, као што је квар диска базе података или катастрофа у центру података.

Не постоји механизам за враћање кључева у облак након имплементације HDS-а.

Процес подешавања на високом нивоу

Овај документ покрива подешавање и управљање имплементацијом хибридне безбедности података за више закупаца:

  • Подешавање хибридне безбедности података— Ово укључује припрему потребне инфраструктуре и инсталирање софтвера за хибридну безбедност података, изградњу HDS кластера, додавање организација закупаца у кластер и управљање њиховим главним кључевима корисника (CMK). Ово ће омогућити свим корисницима ваших организација клијената да користе ваш хибридни кластер за безбедност података за безбедносне функције.

    Фазе подешавања, активације и управљања детаљно су обрађене у наредна три поглавља.

  • Одржавајте своје хибридно имплементирано безбедносно решење за хибридне податке— Webex облак аутоматски пружа континуиране надоградње. Ваше ИТ одељење може да пружи подршку првог нивоа за ово имплементирање и да ангажује Cisco подршку по потреби. Можете користити обавештења на екрану и подесити упозорења путем е-поште у Центру за партнере.

  • Разумевање уобичајених упозорења, корака за решавање проблема и познатих проблема— Ако наиђете на проблеме приликом имплементације или коришћења хибридне безбедности података, последње поглавље овог водича и додатак Познати проблеми могу вам помоћи да утврдите и решите проблем.

Хибридни модел примене безбедности података

Унутар вашег пословног дата центра, имплементирате хибридну безбедност података као један кластер чворова на одвојеним виртуелним хостовима. Чворови комуницирају са Webex облаком путем безбедних websocket-ова и безбедног HTTP-а.

Током процеса инсталације, пружамо вам OVA датотеку за подешавање виртуелног уређаја на виртуелним машинама које ви обезбедите. Алат за подешавање HDS користите да бисте креирали прилагођену ISO датотеку за конфигурацију кластера коју монтирате на сваки чвор. Кластер хибридне безбедности података користи ваш обезбеђени Syslogd сервер и PostgreSQL или Microsoft SQL Server базу података. (Конфигуришете Syslogd и детаље везе са базом података у алатки за подешавање HDS-а.)

Хибридни модел примене безбедности података

Минималан број чворова које можете имати у кластеру је два. Препоручујемо најмање три по кластеру. Имање више чворова осигурава да се услуга не прекида током надоградње софтвера или других активности одржавања на чвору. (Webex облак надограђује само један чвор истовремено.)

Сви чворови у кластеру приступају истом складишту кључних података и евидентирају активности на истом syslog серверу. Сами чворови су без стања и обрађују кључне захтеве по принципу кружног система, како је наложио облак.

Чворови постају активни када их региструјете у Центру за партнере. Да бисте искључили појединачни чвор из употребе, можете га одјавити, а касније га поново регистровати ако је потребно.

Резервни центар података за опоравак од катастрофе

Током имплементације, подешавате безбедан стандарни дата центар. У случају катастрофе у дата центру, можете ручно пребацити распоређивање у резервни дата центар.

Пре резервног преласка, Дата центар А има активне HDS чворове и примарну PostgreSQL или Microsoft SQL Server базу података, док Б има копију ISO датотеке са додатним конфигурацијама, виртуелним машинама које су регистроване у организацији и резервном базом података. Након пребацивања у случају отказа, Дата центар Б има активне HDS чворове и примарну базу података, док А има нерегистроване виртуелне машине и копију ISO датотеке, а база података је у режиму приправности.
Ручно пребацивање на стандарни дата центар

Базе података активних и резервних дата центара су синхронизоване једна са другом, што ће минимизирати време потребно за извршавање резервног пребацивања.

Активни чворови хибридне безбедности података морају увек бити у истом центру података као и активни сервер базе података.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Без проксија—Подразумевана вредност ако не користите подешавање HDS чвора, складиште поверења & Конфигурација проксија за интеграцију проксија. Nije potrebna ispravka certifikata.

  • Транспарентни прокси који не инспектира— Чворови нису конфигурисани да користе одређену адресу прокси сервера и не би требало да захтевају никакве промене да би радили са проксијем који не инспектира. Nije potrebna ispravka certifikata.

  • Транспарентно тунелирање или инспекција проксија— Чворови нису конфигурисани да користе одређену адресу прокси сервера. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Експлицитни прокси— Са експлицитним проксијем, говорите HDS чворовима који прокси сервер и шему аутентификације да користе. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Прокси IP/FQDN—Адреса која се може користити за приступ прокси машини.

    2. Порт проксија— Број порта који прокси користи за слушање проксираног саобраћаја.

    3. Протокол проксија— У зависности од тога шта ваш прокси сервер подржава, изаберите један од следећих протокола:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Тип аутентификације— Изаберите један од следећих типова аутентификације:

      • Нема—Није потребна даља аутентификација.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Основно—Користи се да HTTP кориснички агент пружи корисничко име и лозинку приликом подношења захтева. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Сажетак—Користи се за потврду налога пре слања осетљивих информација. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Захтеви за безбедност података за вишеструке закупце у хибридним системима

Захтеви за лиценцу Cisco Webex-а

Да бисте имплементирали хибридну безбедност података за више закупаца:

  • Партнерске организације: Обратите се свом Cisco партнеру или менаџеру налога и уверите се да је функција „Више закупаца“ омогућена.

  • Организације закупаца: Морате имати Про пакет за Cisco Webex Control Hub. (Види https://www.cisco.com/go/pro-pack.)

Захтеви за Docker Desktop

Пре него што инсталирате HDS чворове, потребан вам је Docker Desktop да бисте покренули програм за подешавање. Докер је недавно ажурирао свој модел лиценцирања. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

Корисници без лиценце за Docker Desktop могу да користе алатку за управљање контејнерима отвореног кода као што је Podman Desktop за покретање, управљање и креирање контејнера. Видите Покрените алатку за подешавање HDS-а помоћу Podman Desktop-а за детаље.

Захтеви за X.509 сертификат

Ланац сертификата мора да испуњава следеће захтеве:

Табела 1. Захтеви за X.509 сертификат за хибридну имплементацију безбедности података

Uslov

Detalji

  • Потписано од стране поузданог ауторитета за сертификате (CA)

Подразумевано, верујемо ЦА-има на Мозилиној листи (са изузетком WoSign-а и StartCom-а) на https://wiki.mozilla.org/CA:IncludedCAs.

  • Носи име домена Common Name (CN) које идентификује ваше имплементирање хибридне безбедности података

  • Није џокер сертификат

КМ не мора бити доступан или активни домаћин. Препоручујемо да користите име које одражава вашу организацију, на пример, hds.company.com.

Комбиновани назив не сме да садржи * (џокер).

CN се користи за верификацију чворова хибридне безбедности података за клијенте Webex апликације. Сви чворови хибридне безбедности података у вашем кластеру користе исти сертификат. Ваш KMS се идентификује користећи CN домен, а не било који домен који је дефинисан у x.509v3 SAN пољима.

Када региструјете чвор са овим сертификатом, не подржавамо промену имена CN домена.

  • Потпис који није SHA1

KMS софтвер не подржава SHA1 потписе за валидацију веза са KMS-овима других организација.

  • Форматирано као PKCS заштићен лозинком #12 датотека

  • Користите пријатељско име kms-private-key да бисте означили сертификат, приватни кључ и све међусертификате за отпремање.

Можете користити конвертор као што је OpenSSL да бисте променили формат вашег сертификата.

Мораћете да унесете лозинку када покренете алатку за подешавање HDS-а.

KMS софтвер не намеће употребу кључа или проширена ограничења употребе кључа. Неки ауторитети за сертификате захтевају да се на сваки сертификат примене проширена ограничења коришћења кључа, као што је аутентификација сервера. У реду је користити аутентификацију сервера или друга подешавања.

Захтеви за виртуелни хост

Виртуелни хостови које ћете подесити као хибридне чворове безбедности података у вашем кластеру имају следеће захтеве:

  • Најмање два одвојена хоста (препоручује се 3) смештена у истом безбедном дата центру

  • VMware ESXi 7.0 или 8.0 инсталиран и покренут.

    Морате надоградити ако имате старију верзију ESXi-ја.

  • Минимум 4 vCPU-а, 8 GB главне меморије, 30 GB локалног простора на чврстом диску по серверу

Захтеви сервера базе података

Направите нову базу података за складиштење кључева. Не користите подразумевану базу података. HDS апликације, када се инсталирају, креирају шему базе података.

Постоје две опције за сервер базе података. Захтеви за сваки су следећи:

Tabela 2. Захтеви сервера базе података према типу базе података

PostgreSQL

Мајкрософт СКЛ Сервер

  • PostgreSQL 14, 15 или 16, инсталиран и покренут.

  • Инсталиран је SQL Server 2016, 2017, 2019 или 2022 (Enterprise или Standard).

    SQL Server 2016 захтева Service Pack 2 и Cumulative Update 2 или новији.

Минимум 8 виртуалних процесора (vCPU), 16 GB главне меморије, довољно простора на чврстом диску и праћење како би се осигурало да се не прекорачи тај простор (препоручује се 2 TB ако желите да користите базу података дуже време без потребе за повећањем простора за складиштење)

Минимум 8 виртуалних процесора (vCPU), 16 GB главне меморије, довољно простора на чврстом диску и праћење како би се осигурало да се не прекорачи тај простор (препоручује се 2 TB ако желите да користите базу података дуже време без потребе за повећањем простора за складиштење)

HDS софтвер тренутно инсталира следеће верзије драјвера за комуникацију са сервером базе података:

PostgreSQL

Мајкрософт СКЛ Сервер

Postgres JDBC драјвер 42.2.5

SQL Server JDBC драјвер 4.6

Ова верзија драјвера подржава SQL Server Always On ( инстанце кластера Always On Failover и групе доступности Always On).

Додатни захтеви за Windows аутентификацију на Microsoft SQL Server-у

Ако желите да HDS чворови користе Windows аутентификацију да би добили приступ вашој бази података складишта кључева на Microsoft SQL Server-у, онда вам је потребна следећа конфигурација у вашем окружењу:

  • HDS чворови, инфраструктура Active Directory-ја и MS SQL Server морају бити синхронизовани са NTP-ом.

  • Windows налог који пружате HDS чворовима мора имати read/write приступ бази података.

  • DNS сервери које пружате HDS чворовима морају бити у стању да резолуцију вашег центра за дистрибуцију кључева (KDC).

  • Можете регистровати инстанцу базе података HDS на вашем Microsoft SQL Server-у као име принципала услуге (SPN) у вашем Active Directory-ју. Погледајте Регистровање имена принципала услуге за Керберос везе.

    Алат за подешавање HDS-а, покретач HDS-а и локални KMS морају да користе Windows аутентификацију за приступ бази података складишта кључева. Они користе детаље из ваше ISO конфигурације да би конструисали SPN када захтевају приступ са Kerberos аутентификацијом.

Захтеви за екстерну повезаност

Конфигуришите свој заштитни зид да бисте омогућили следећу повезаност за HDS апликације:

Aplikacija

Protokol

Port

Упутство из апликације

Odredište

Хибридни чворови за безбедност података

TCP

443

Одлазни HTTPS и WSS

  • Вебекс сервери:

    • *.wbx2.com

    • *.ciscospark.com

  • Сви хостови заједничког идентитета

  • Остали URL-ови који су наведени за хибридну безбедност података у табели Додатни URL-ови за Webex хибридне услуге у одељку Мрежни захтеви за Webex услуге

Алат за подешавање HDS-а

TCP

443

Одлазни HTTPS

  • *.wbx2.com

  • Сви хостови заједничког идентитета

  • hub.docker.com

Хибридни чворови безбедности података раде са транслацијом мрежног приступа (NAT) или иза заштитног зида (фајервола), све док NAT или заштитни зид дозвољавају потребне одлазне везе ка одредиштима домена у претходној табели. За везе које иду ка чворовима хибридне безбедности података, ниједан порт не би требало да буде видљив са интернета. Унутар вашег дата центра, клијентима је потребан приступ чворовима хибридне безбедности података на TCP портовима 443 и 22, у административне сврхе.

URL-ови за хостове заједничког идентитета (CI) су специфични за регион. Ово су тренутни CI хостови:

Region

Уобичајени URL-ови хоста за идентитет

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ако се овај проблем појави, заобилажење (неинспектирање) саобраћаја ка wbx2.com и ciscospark.com ће решити проблем.

Испуните предуслове за хибридну безбедност података

Користите ову контролну листу да бисте били сигурни да сте спремни да инсталирате и конфигуришете свој кластер хибридне безбедности података.
1

Уверите се да ваша партнерска организација има омогућену функцију Multi-Tenant HDS и да добијете акредитиве налога са пуним администраторским правима партнера и пуним администраторским правима. Уверите се да је ваша организација корисника Webex-а омогућена за Pro Pack за Cisco Webex Control Hub. За помоћ у вези са овим процесом обратите се свом Cisco партнеру или менаџеру налога.

Организације корисника не би требало да имају никакво постојеће HDS имплементирање.

2

Изаберите име домена за ваше HDS имплементирање (на пример, hds.company.com) и набавите ланац сертификата који садржи X.509 сертификат, приватни кључ и све међусертификате. Ланац сертификата мора да испуњава захтеве у X.509 захтевима за сертификат.

3

Припремите идентичне виртуелне хостове које ћете подесити као хибридне чворове за безбедност података у вашем кластеру. Потребна су вам најмање два одвојена хоста (препоручују се 3) смештена у истом безбедном дата центру, који испуњавају захтеве наведене у Захтеви за виртуелни хост.

4

Припремите сервер базе података који ће служити као складиште кључних података за кластер, у складу са захтевима сервера базе података. Сервер базе података мора бити смештен у безбедном дата центру са виртуелним хостовима.

  1. Направите базу података за складиштење кључева. (Морате да креирате ову базу података — немојте користити подразумевану базу података.) HDS апликације, када се инсталирају, креирају шему базе података.)

  2. Прикупите детаље које ће чворови користити за комуникацију са сервером базе података:

    • име хоста или ИП адреса (хост) и порт

    • име базе података (dbname) за складиштење кључева

    • корисничко име и лозинка корисника са свим привилегијама на бази података складишта кључева

5

За брз опоравак од катастрофе, подесите резервно окружење у другом дата центру. Окружење за прављење резервних копија одражава производно окружење виртуелних машина и сервера резервне базе података. На пример, ако продукција има 3 виртуелне машине које покрећу HDS чворове, резервно окружење треба да има 3 виртуелне машине.

6

Подесите syslog хост за прикупљање логова са чворова у кластеру. Прикупите његову мрежну адресу и системски порт (подразумевано је UDP 514).

7

Креирајте политику безбедног прављења резервних копија за чворове хибридне безбедности података, сервер базе података и хост системског дневника. Да бисте спречили непоправљив губитак података, морате направити резервну копију базе података и ISO датотеке конфигурације генерисане за чворове хибридне безбедности података.

Пошто чворови хибридне безбедности података чувају кључеве који се користе за шифровање и дешифровање садржаја, неуспех у одржавању оперативног распоређивања резултираће НЕПОДОКНАДЉИВИМ ГУБИТКОМ тог садржаја.

Клијенти Webex апликације кеширају своје кључеве, тако да прекид рада можда неће бити одмах приметан, али ће постати очигледан током времена. Иако је привремене прекиде немогуће спречити, они се могу надокнадити. Међутим, потпуни губитак (нема доступних резервних копија) базе података или ISO датотеке конфигурације резултираће неповратним подацима о клијентима. Од оператера чворова хибридне безбедности података се очекује да често праве резервне копије базе података и ISO датотеке конфигурације и да буду спремни да поново изграде центар података хибридне безбедности података уколико дође до катастрофалног квара.

8

Уверите се да конфигурација вашег заштитног зида омогућава повезивање ваших чворова хибридне безбедности података као што је наведено у Захтеви за екстерно повезивање.

9

Инсталирајте Docker ( https://www.docker.com) на било коју локалну машину која користи подржани оперативни систем (Microsoft Windows 10 Professional или Enterprise 64-bit, или Mac OSX Yosemite 10.10.3 или новији) са веб прегледачем који му може приступити на http://127.0.0.1:8080.

Користите Docker инстанцу да бисте преузели и покренули HDS Setup Tool, који креира локалне информације о конфигурацији за све чворове Hybrid Data Security. Можда ће вам бити потребна лиценца за Docker Desktop. Више информација потражите у Захтеви за Docker Desktop.

Да бисте инсталирали и покренули алатку за подешавање HDS-а, локална машина мора имати повезивање наведено у Захтеви за екстерно повезивање.

10

Ако интегришете прокси са Hybrid Data Security, уверите се да испуњава захтеве за прокси сервер.

Подесите хибридни кластер за безбедност података

Ток задатка за имплементацију хибридне безбедности података

Pre nego što počnete

1

Извршите почетно подешавање и преузмите инсталационе датотеке

Преузмите OVA датотеку на свој локални рачунар за каснију употребу.

2

Направите ISO конфигурацију за HDS хостове

Користите алатку за подешавање HDS-а да бисте креирали ISO конфигурациону датотеку за чворове хибридне безбедности података.

3

Инсталирајте HDS Host OVA

Направите виртуелну машину из OVA датотеке и извршите почетну конфигурацију, као што су мрежна подешавања.

Опција за конфигурисање мрежних подешавања током инсталације OVA је тестирана са ESXi 7.0 и 8.0. Опција можда није доступна у ранијим верзијама.

4

Подесите хибридну виртуелну машину за безбедност података

Пријавите се на VM конзолу и подесите акредитиве за пријаву. Конфигуришите мрежна подешавања за чвор ако их нисте конфигурисали у време имплементације OVA.

5

Отпремите и монтирајте ISO датотеку конфигурације HDS-а

Конфигуришите виртуелну машину из ISO конфигурационе датотеке коју сте креирали помоћу алатке за подешавање HDS-а.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ако мрежно окружење захтева конфигурацију проксија, наведите тип проксија који ћете користити за чвор и додајте прокси сертификат у складиште поверења ако је потребно.

7

Региструјте први чвор у кластеру

Региструјте виртуелну машину у Cisco Webex облаку као хибридни чвор за безбедност података.

8

Креирајте и региструјте више чворова

Завршите подешавање кластера.

9

Активирајте Multi-Tenant HDS на Partner Hub-у.

Активирајте HDS и управљајте организацијама закупаца на Partner Hub-у.

Извршите почетно подешавање и преузмите инсталационе датотеке

У овом задатку, преузимате OVA датотеку на свој рачунар (не на сервере које сте подесили као чворове хибридне безбедности података). Ову датотеку ћете користити касније у процесу инсталације.

1

Пријавите се у центар за партнере, а затим кликните на Услуге.

2

У одељку Услуге у облаку пронађите картицу Хибридна безбедност података, а затим кликните на Подешавање.

Клик на Подешавање у Центру за партнере је кључан за процес имплементације. Не настављајте са инсталацијом без завршетка овог корака.

3

Кликните на Додај ресурс и кликните на Преузми .OVA датотеку на картици Инсталирај и конфигуриши софтвер.

Старије верзије софтверског пакета (OVA) неће бити компатибилне са најновијим надоградњама хибридне безбедности података. Ово може довести до проблема приликом надоградње апликације. Уверите се да сте преузели најновију верзију ОВА датотеке.

Такође можете преузети ОВА у било ком тренутку из одељка Помоћ. Кликните на Подешавања > Помоћ > Преузмите софтвер за хибридну безбедност података.

OVA датотека ће аутоматски почети да се преузима. Сачувајте датотеку на одређену локацију на вашем рачунару.
4

Опционо, кликните на Погледајте водич за имплементацију хибридне безбедности података да бисте проверили да ли је доступна новија верзија овог водича.

Направите ISO конфигурацију за HDS хостове

Процес подешавања хибридне безбедности података креира ISO датотеку. Затим користите ISO да бисте конфигурисали свој Hybrid Data Security хост.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У редовним окружењима са HTTPS проксијем:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Алат за подешавање не подржава повезивање са локалним хостом путем http://localhost:8080. Користите http://127.0.0.1:8080 за повезивање са локалним хостом.

Користите веб прегледач да бисте отишли на локални хост, http://127.0.0.1:8080, и унесите корисничко име администратора за Partner Hub у промпту.

Алат користи овај први унос корисничког имена да би подесио одговарајуће окружење за тај налог. Алат затим приказује стандардни промпт за пријављивање.

7

Када се то од вас затражи, унесите своје администраторске акредитиве за пријаву у Partner Hub, а затим кликните на Пријавите се да бисте омогућили приступ потребним услугама за хибридну безбедност података.

8

На страници са прегледом алатке за подешавање кликните на Почетак рада.

9

На страници Увоз ISO датотека имате следеће опције:

  • Не— Ако креирате свој први HDS чвор, немате ISO датотеку за отпремање.
  • Да— Ако сте већ креирали HDS чворове, онда у прегледачу изаберите своју ISO датотеку и отпремите је.
10

Проверите да ли ваш X.509 сертификат испуњава захтеве наведене у X.509 захтеви за сертификат.

  • Ако никада раније нисте отпремили сертификат, отпремите X.509 сертификат, унесите лозинку и кликните на Настави.
  • Ако је ваш сертификат у реду, кликните на Настави.
  • Ако је ваш сертификат истекао или желите да га замените, изаберите Не за Да ли желите да наставите да користите HDS ланац сертификата и приватни кључ из претходног ISO сертификата?. Отпремите нови X.509 сертификат, унесите лозинку и кликните на Настави.
11

Унесите адресу базе података и налог за HDS да бисте приступили свом складишту кључних података:

  1. Изаберите тип базе података (PostgreSQL или Microsoft SQL Server).

    Ако изаберете Microsoft SQL Server, добићете поље Тип аутентификације.

  2. (само за Microsoft SQL Server ) Изаберите свој тип аутентификације:

    • Основна аутентификација: Потребно вам је име локалног SQL Server налога у пољу Корисничко име.

    • Windows аутентификација: Потребан вам је Windows налог у формату username@DOMAIN у пољу Корисничко име.

  3. Унесите адресу сервера базе података у облику : или :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    Можете користити IP адресу за основну аутентификацију, ако чворови не могу да користе DNS за решавање имена хоста.

    Ако користите Windows аутентификацију, морате унети потпуно квалификовано име домена у формату dbhost.example.org:1433

  4. Унесите име базе података.

  5. Унесите корисничко име и лозинку корисника са свим привилегијама на бази података за складиштење кључева.

12

Изаберите TLS режим повезивања са базом података:

Režim

Opis

Преферирај TLS (подразумевана опција)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ако омогућите TLS на серверу базе података, чворови покушавају да успоставе шифровану везу.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Овај режим није применљив за SQL Server базе података.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Након успостављања TLS везе, чвор упоређује потписника сертификата са сервера базе података са ауторитетом за сертификате у коренском сертификату базе података. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Након успостављања TLS везе, чвор упоређује потписника сертификата са сервера базе података са ауторитетом за сертификате у коренском сертификату базе података. Ako se ne podudaraju, čvor prekida vezu.

  • Чворови такође проверавају да ли се име хоста у сертификату сервера подудара са именом хоста у пољу Хост и порт базе података. Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Када отпремите коренски сертификат (ако је потребно) и кликнете на Настави, алатка за подешавање HDS-а тестира TLS везу са сервером базе података. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Због разлика у повезивању, HDS чворови би могли да успоставе TLS везу чак и ако машина са HDS алатком за подешавање не може успешно да је тестира.)

13

На страници Системски дневници конфигуришите свој Syslogd сервер:

  1. Унесите URL адресу syslog сервера.

    Ако сервер није DNS-решив са чворова за ваш HDS кластер, користите IP адресу у URL-у.

    Primer:
    udp://10.92.43.23:514 указује на логовање на Syslogd хост 10.92.43.23 на UDP порту 514.

  2. Ако сте подесили сервер да користи TLS енкрипцију, проверите Да ли је ваш syslog сервер конфигурисан за SSL енкрипцију?.

    Ако означите ову кућицу, уверите се да сте унели TCP URL адресу као што је tcp://10.92.43.23:514.

  3. Из падајућег менија Изаберите завршетак syslog записа изаберите одговарајуће подешавање за вашу ISO датотеку: За Graylog и Rsyslog TCP користи се Choose или Newline

    • Нулти бајт -- \x00

    • Нови ред -- \n—Изаберите ову опцију за Graylog и Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Опционо) Подразумевану вредност за неке параметре везе са базом података можете променити у Напредна подешавања. Генерално, овај параметар је једини који бисте можда желели да промените:

app_datasource_connection_pool_maxSize: 10
15

Кликните на Настави на екрану Ресетуј лозинку сервисних налога.

Лозинке за сервисне налоге имају век трајања од девет месеци. Користите овај екран када се ближи рок важења лозинки или желите да их ресетујете да бисте поништили претходне ISO датотеке.

16

Кликните на Преузми ISO датотеку. Сачувајте датотеку на локацији коју је лако пронаћи.

17

Направите резервну копију ISO датотеке на вашем локалном систему.

Безбедно чувајте резервну копију. Ова датотека садржи главни кључ за шифровање садржаја базе података. Ограничите приступ само на оне администраторе хибридне безбедности података који би требало да изврше измене конфигурације.

18

Да бисте затворили алатку за подешавање, откуцајте CTRL+C.

Šta je sledeće

Направите резервну копију ISO датотеке конфигурације. Потребан вам је да бисте креирали више чворова за опоравак или да бисте извршили измене конфигурације. Ако изгубите све копије ISO датотеке, изгубили сте и главни кључ. Опоравак кључева из ваше PostgreSQL или Microsoft SQL Server базе података није могућ.

Никада немамо копију овог кључа и не можемо вам помоћи ако га изгубите.

Инсталирајте HDS Host OVA

Користите ову процедуру да бисте креирали виртуелну машину из OVA датотеке.
1

Користите VMware vSphere клијент на вашем рачунару да бисте се пријавили на ESXi виртуелни хост.

2

Изаберите Датотека > Примена OVF шаблона.

3

У чаробњаку наведите локацију OVA датотеке коју сте раније преузели, а затим кликните на Даље.

4

На страници Изаберите име и фасциклу, унесите име виртуелне машине за чвор (на пример, „HDS_Node_1“), изаберите локацију где може да се налази распоређивање чвора виртуелне машине, а затим кликните на Даље.

5

На страници Изаберите рачунарски ресурс изаберите одредишни рачунарски ресурс, а затим кликните на Даље.

Покреће се провера валидације. Након завршетка, појављују се детаљи шаблона.

6

Проверите детаље шаблона, а затим кликните на Даље.

7

Ако се од вас затражи да изаберете конфигурацију ресурса на страници Конфигурација, кликните на 4 CPU, а затим кликните на Даље.

8

На страници Изаберите складиште кликните на Даље да бисте прихватили подразумевани формат диска и политику складиштења виртуелне машине.

9

На страници Изаберите мреже, изаберите опцију мреже са листе уноса да бисте обезбедили жељену повезаност са виртуелном машином.

10

На страници Прилагођавање шаблона конфигуришите следећа мрежна подешавања:

  • Име хоста— Унесите FQDN (име хоста и домен) или једноречно име хоста за чвор.

    • Не морате да подесите домен тако да се подудара са доменом који сте користили за добијање X.509 сертификата.

    • Да бисте осигурали успешну регистрацију у облаку, користите само мала слова у FQDN-у или имену хоста које сте подесили за чвор. Trenutno nije podržano pisanje velikim slovima.

    • Укупна дужина FQDN-а не сме бити већа од 64 карактера.

  • ИП адреса— Унесите ИП адресу за интерни интерфејс чвора.

    Ваш чвор треба да има интерну IP адресу и DNS име. DHCP није подржан.

  • Маска— Унесите адресу маске подмреже у децималном формату са тачкама. На пример, 255.255.255.0.
  • Гејтвеј— Унесите ИП адресу гејтвеја. Гејтвеј је мрежни чвор који служи као приступна тачка другој мрежи.
  • DNS сервери— Унесите листу DNS сервера одвојених зарезима који обрађују претварање имена домена у нумеричке IP адресе. (Дозвољено је до 4 DNS уноса.)
  • НТП сервери— Унесите НТП сервер ваше организације или други екстерни НТП сервер који се може користити у вашој организацији. Подразумевани NTP сервери можда неће радити за сва предузећа. Такође можете користити листу одвојену зарезима да бисте унели више NTP сервера.

  • Распоредите све чворове на истој подмрежи или VLAN-у, тако да сви чворови у кластеру буду доступни клијентима у вашој мрежи у административне сврхе.

Ако желите, можете прескочити конфигурацију мрежних подешавања и пратити кораке у Подешавање хибридне виртуелне машине за безбедност података да бисте конфигурисали подешавања из конзоле чвора.

Опција за конфигурисање мрежних подешавања током инсталације OVA је тестирана са ESXi 7.0 и 8.0. Опција можда није доступна у ранијим верзијама.

11

Кликните десним тастером миша на виртуелну машину чвора, а затим изаберите Напајање > Укључивање.

Софтвер за хибридну безбедност података је инсталиран као гост на виртуелној машини. Сада сте спремни да се пријавите на конзолу и конфигуришете чвор.

Saveti za rešavanje problema

Може доћи до кашњења од неколико минута пре него што се појаве контејнери чворова. Порука о заштитном зиду моста се појављује на конзоли током првог покретања, током којег се не можете пријавити.

Подесите хибридну виртуелну машину за безбедност података

Користите ову процедуру да бисте се први пут пријавили на конзолу виртуелне машине чвора Hybrid Data Security и подесили акредитиве за пријаву. Такође можете користити конзолу за конфигурисање мрежних подешавања за чвор ако их нисте конфигурисали у време имплементације OVA.

1

У VMware vSphere клијенту, изаберите виртуелну машину Hybrid Data Security чвора и изаберите картицу Конзола.

Виртуелна машина се покреће и појављује се промови за пријаву. Ако се промови за пријаву не прикажу, притисните Enter.
2

Користите следеће подразумевано корисничко име и лозинку за пријаву и промену акредитива:

  1. Пријава: admin

  2. Lozinka: cisco

Пошто се први пут пријављујете на своју виртуелну машину, потребно је да промените администраторску лозинку.

3

Ако сте већ конфигурисали мрежне поставке у Инсталирајте HDS Host OVA, прескочите остатак ове процедуре. У супротном, у главном менију изаберите опцију Измени конфигурацију.

4

Подесите статичку конфигурацију са ИП адресом, маском, мрежним пролазом и ДНС информацијама. Ваш чвор треба да има интерну IP адресу и DNS име. DHCP није подржан.

5

(Опционо) Промените име хоста, домен или NTP сервер(е), ако је потребно, да би се ускладили са вашом мрежном политиком.

Не морате да подесите домен тако да се подудара са доменом који сте користили за добијање X.509 сертификата.

6

Сачувајте конфигурацију мреже и поново покрените виртуелну машину како би промене ступиле на снагу.

Отпремите и монтирајте ISO датотеку конфигурације HDS-а

Користите ову процедуру да бисте конфигурисали виртуелну машину из ISO датотеке коју сте креирали помоћу алатке за подешавање HDS-а.

Pre nego što počnete

Пошто ISO датотека садржи главни кључ, требало би да буде изложена само по принципу „потребно је знати“, за приступ виртуелним машинама за безбедност хибридних података и свим администраторима којима је потребно да изврше измене. Уверите се да само ти администратори могу приступити складишту података.

1

Отпремите ISO датотеку са рачунара:

  1. У левом навигационом окну VMware vSphere клијента кликните на ESXi сервер.

  2. На листи Хардвер на картици Конфигурација кликните на Складиштење.

  3. На листи складишта података, кликните десним тастером миша на складиште података за ваше виртуелне машине и кликните на Прегледај складиште података.

  4. Кликните на икону Отпреми датотеку, а затим кликните на Отпреми датотеку.

  5. Потражите локацију на рачунару где сте преузели ISO датотеку и кликните на Отвори.

  6. Кликните на Да да бисте прихватили upload/download упозорење о операцији и затворите дијалог складишта података.

2

Монтирајте ISO датотеку:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Кликните на У реду да бисте прихватили упозорење о ограниченим опцијама уређивања.

  3. Кликните на CD/DVD Drive 1, изаберите опцију за монтирање из ISO датотеке складишта података и потражите локацију где сте отпремили ISO датотеку конфигурације.

  4. Проверите Повезано и Повежи се при укључивању.

  5. Сачувајте измене и поново покрените виртуелну машину.

Šta je sledeće

Ако ваша ИТ политика то захтева, можете опционо демонтирати ISO датотеку након што сви ваши чворови приме промене конфигурације. Видите (Опционо) Демонтирање ISO датотеке након конфигурације HDS-а за детаље.

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Унесите URL адресу за подешавање HDS чвора https://[HDS Node IP or FQDN]/setup у веб прегледач, унесите администраторске акредитиве које сте подесили за чвор, а затим кликните на Пријави се.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Без проксија—Подразумевана опција пре интеграције проксија. Nije potrebna ispravka certifikata.
  • Транспарентни прокси који не инспектира— Чворови нису конфигурисани да користе одређену адресу прокси сервера и не би требало да захтевају никакве промене да би радили са проксијем који не инспектира. Nije potrebna ispravka certifikata.
  • Транспарентна инспекција проксија— Чворови нису конфигурисани да користе одређену адресу прокси сервера. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Експлицитни прокси— Са експлицитним проксијем, говорите клијенту (HDS чворовима) који прокси сервер да користи, а ова опција подржава неколико врста аутентификације. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Прокси IP/FQDN—Адреса која се може користити за приступ прокси машини.

    2. Порт проксија— Број порта који прокси користи за слушање проксираног саобраћаја.

    3. Прокси протокол— Изаберите http (прегледа и контролише све захтеве који се примају од клијента) или https (обезбеђује канал серверу, а клијент прима и валидира сертификат сервера). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Тип аутентификације— Изаберите један од следећих типова аутентификације:

      • Нема—Није потребна даља аутентификација.

        Dostupno za HTTP ili HTTPS proksije.

      • Основно—Користи се да HTTP кориснички агент пружи корисничко име и лозинку приликом подношења захтева. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Сажетак—Користи се за потврду налога пре слања осетљивих информација. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Можете наставити са подешавањем, а чвор ће функционисати у режиму блокираног екстерног DNS решавања. Ако мислите да је ово грешка, извршите ове кораке, а затим погледајте Искључите режим блокираног екстерног DNS решавања.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Региструјте први чвор у кластеру

Овај задатак узима генерички чвор који сте креирали у Подешавање виртуелне машине за хибридну безбедност података, региструје чвор у Webex облаку и претвара га у чвор за хибридну безбедност података.

Када региструјете свој први чвор, креирате кластер којем је чвор додељен. Кластер садржи један или више чворова распоређених да обезбеде редундантност.

Pre nego što počnete

  • Када започнете регистрацију чвора, морате је завршити у року од 60 минута или ћете морати да почнете испочетка.

  • Уверите се да су сви блокатори искачућих прозора у вашем прегледачу онемогућени или да сте дозволили изузетак за admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

Из менија на левој страни екрана изаберите Услуге.

3

У одељку Услуге у облаку пронађите картицу Хибридна безбедност података и кликните на Подешавање.

4

На страници која се отвори кликните на Додај ресурс.

5

У прво поље картице Додај чвор унесите назив кластера којем желите да доделите свој чвор хибридне безбедности података.

Препоручујемо да кластер назовете на основу географске локације чворова кластера. Примери: „Сан Франциско“ или „Њујорк“ или „Далас“

6

У друго поље унесите интерну IP адресу или потпуно квалификовано име домена (FQDN) вашег чвора и кликните на Додај на дну екрана.

Ова IP адреса или FQDN треба да се подудара са IP адресом или именом хоста и доменом које сте користили у Подешавање хибридне виртуелне машине за безбедност података.

Појављује се порука која показује да можете регистровати свој чвор на Webex-у.
7

Кликните на Иди на чвор.

Након неколико тренутака, бићете преусмерени на тестове повезивања чворова за Webex услуге. Ако су сви тестови успешни, појављује се страница Дозволи приступ хибридном чвору безбедности података. Тамо потврђујете да желите да дате дозволе својој Webex организацији за приступ вашем чвору.

8

Означите поље за потврду Дозволи приступ вашем хибридном чвору за безбедност података, а затим кликните на Настави.

Ваш налог је потврђен и порука „Регистрација завршена“ означава да је ваш чвор сада регистрован у Webex облаку.
9

Кликните на везу или затворите картицу да бисте се вратили на страницу за безбедност хибридних података у центру за партнере.

На страници Хибридна безбедност података, нови кластер који садржи чвор који сте регистровали приказан је на картици Ресурси. Чвор ће аутоматски преузети најновији софтвер из облака.

Креирајте и региструјте више чворова

Да бисте додали додатне чворове у кластер, једноставно креирате додатне виртуелне машине и монтирате исту ISO датотеку конфигурације, а затим региструјете чвор. Препоручујемо да имате најмање 3 чвора.

Pre nego što počnete

  • Када започнете регистрацију чвора, морате је завршити у року од 60 минута или ћете морати да почнете испочетка.

  • Уверите се да су сви блокатори искачућих прозора у вашем прегледачу онемогућени или да сте дозволили изузетак за admin.webex.com.

1

Направите нову виртуелну машину из OVA, понављајући кораке у Инсталирајте HDS Host OVA.

2

Подесите почетну конфигурацију на новој виртуелној машини, понављајући кораке у Подешавање хибридне виртуелне машине за безбедност података.

3

На новој виртуелној машини, поновите кораке у Отпремите и монтирајте ISO датотеку конфигурације HDS-а.

4

Ако подешавате прокси за своје распоређивање, поновите кораке у Конфигуришите HDS чвор за интеграцију проксија по потреби за нови чвор.

5

Региструјте чвор.

  1. У https://admin.webex.com, изаберите Услуге из менија на левој страни екрана.

  2. У одељку Услуге у облаку пронађите картицу Хибридна безбедност података и кликните на Прикажи све.

    Појављује се страница Ресурси за безбедност хибридних података.

  3. Новокреирани кластер ће се појавити на страници Ресурси.

  4. Кликните на кластер да бисте видели чворове додељене кластеру.

  5. Кликните на Додај чвор на десној страни екрана.

  6. Унесите интерну IP адресу или потпуно квалификовано име домена (FQDN) вашег чвора и кликните на Додај.

    Отвара се страница са поруком која показује да можете регистровати свој чвор у Webex облаку. Након неколико тренутака, бићете преусмерени на тестове повезивања чворова за Webex услуге. Ако су сви тестови успешни, појављује се страница Дозволи приступ хибридном чвору безбедности података. Тамо потврђујете да желите да дате дозволе својој организацији за приступ вашем чвору.

  7. Означите поље за потврду Дозволи приступ вашем хибридном чвору за безбедност података, а затим кликните на Настави.

    Ваш налог је потврђен и порука „Регистрација завршена“ означава да је ваш чвор сада регистрован у Webex облаку.

  8. Кликните на везу или затворите картицу да бисте се вратили на страницу за безбедност хибридних података у центру за партнере.

    Искачућа порукаЧвор додат се такође појављује на дну екрана у Центру за партнере.

    Ваш чвор је регистрован.

Управљајте организацијама закупаца на вишезакупничкој хибридној безбедности података

Активирајте Multi-Tenant HDS на Partner Hub-у

Овај задатак осигурава да сви корисници организација клијената могу почети да користе HDS за локалне кључеве за шифровање и друге безбедносне услуге.

Pre nego što počnete

Уверите се да сте завршили подешавање вашег вишезакупничког HDS кластера са потребним бројем чворова.

1

Prijavite se u https://admin.webex.com.

2

Из менија на левој страни екрана изаберите Услуге.

3

У одељку Услуге у облаку пронађите Хибридна безбедност података и кликните на Измени подешавања.

4

Кликните на Активирај HDS на картици HDS статус.

Додајте организације закупаца у Центру за партнере

У овом задатку, додељујете организације клијената свом хибридном кластеру за безбедност података.

1

Prijavite se u https://admin.webex.com.

2

Из менија на левој страни екрана изаберите Услуге.

3

У одељку Услуге у облаку пронађите Хибридна безбедност података и кликните на Прикажи све.

4

Кликните на кластер којем желите да доделите клијента.

5

Идите на картицу Додељени клијенти.

6

Кликните на Додај купце.

7

Изаберите купца кога желите да додате из падајућег менија.

8

Кликните на Додај, купац ће бити додат у кластер.

9

Поновите кораке од 6 до 8 да бисте додали више купаца у кластер.

10

Кликните на Готово на дну екрана када додате купце.

Šta je sledeće

Покрените алатку за подешавање HDS-а као што је детаљно описано у Креирајте главне кључеве корисника (CMK) помоћу алатке за подешавање HDS-а да бисте завршили процес подешавања.

Креирајте главне кључеве корисника (CMK) помоћу алатке за подешавање HDS-а

Pre nego što počnete

Доделите клијенте одговарајућем кластеру као што је детаљно описано у Додајте организације закупаца у Центру за партнере. Покрените алатку за подешавање HDS-а да бисте завршили процес подешавања за новододате организације купаца.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Процес подешавања захтева акредитиве за налог Partner Hub-а са пуним администраторским правима за вашу организацију.

    Ако алатка за подешавање HDS-а ради иза проксија у вашем окружењу, наведите подешавања проксија (сервер, порт, акредитиве) путем Docker променљивих окружења када покрећете Docker контејнер у кораку 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO датотека конфигурације коју генеришете садржи главни кључ који шифрује PostgreSQL или Microsoft SQL Server базу података. Потребна вам је најновија копија ове датотеке сваки пут када правите измене конфигурације, као што су ове:

    • Акредитиви базе података

    • Ажурирања сертификата

    • Промене у политици овлашћења

  • Ако планирате да шифрујете везе са базом података, подесите имплементацију PostgreSQL-а или SQL Server-а за TLS.

Процес подешавања хибридне безбедности података креира ISO датотеку. Затим користите ISO да бисте конфигурисали свој Hybrid Data Security хост.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У редовним окружењима са HTTPS проксијем:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Алат за подешавање не подржава повезивање са локалним хостом путем http://localhost:8080. Користите http://127.0.0.1:8080 за повезивање са локалним хостом.

Користите веб прегледач да бисте отишли на локални хост, http://127.0.0.1:8080, и унесите корисничко име администратора за Partner Hub у промпту.

Алат користи овај први унос корисничког имена да би подесио одговарајуће окружење за тај налог. Алат затим приказује стандардни промпт за пријављивање.

7

Када се то од вас затражи, унесите своје администраторске акредитиве за пријаву у Partner Hub, а затим кликните на Пријавите се да бисте омогућили приступ потребним услугама за хибридну безбедност података.

8

На страници са прегледом алатке за подешавање кликните на Почетак рада.

9

На страници Увоз ISO датотеке кликните на Да.

10

Изаберите своју ISO датотеку у прегледачу и отпремите је.

Обезбедите повезивање са вашом базом података како бисте извршили управљање CMK-ом.
11

Идите на картицу Управљање CMK-овима закупаца, где ћете пронаћи следећа три начина за управљање CMK-овима закупаца.

  • Креирај CMK за све организације или Креирај CMK - Кликните на ово дугме на банеру на врху екрана да бисте креирали CMK за све новододате организације.
  • Кликните на дугме Управљање CMK-овима на десној страни екрана и кликните на Креирај CMK-ове да бисте креирали CMK-ове за све новододате организације.
  • Кликните на … поред статуса чекања за управљање CMK-ом за одређену организацију у табели и кликните на Креирај CMK да бисте креирали CMK за ту организацију.
12

Када је креирање CMK-а успешно, статус у табели ће се променити из управљање CMK-ом на чекању у управљано CMK-ом.

13

Ако креирање CMK-а не буде успешно, приказаће се грешка.

Уклоните организације закупаца

Pre nego što počnete

Једном када се уклони, корисници организација купаца неће моћи да користе HDS за своје потребе шифровања и изгубиће све постојеће просторе. Пре него што уклоните организације клијената, обратите се свом Cisco партнеру или менаџеру налога.

1

Prijavite se u https://admin.webex.com.

2

Из менија на левој страни екрана изаберите Услуге.

3

У одељку Услуге у облаку пронађите Хибридна безбедност података и кликните на Прикажи све.

4

На картици Ресурси кликните на кластер из којег желите да уклоните организације купаца.

5

На страници која се отвори кликните на Додељени клијенти.

6

Са листе приказаних организација купаца, кликните на ... са десне стране организације купаца коју желите да уклоните и кликните на Уклони из кластера.

Šta je sledeće

Завршите процес уклањања поништавањем CMK-ова организација купаца као што је детаљно описано у Поништавање CMK-ова закупаца уклоњених из HDS-а.

Поништити CMK-ове станара уклоњених из HDS-а.

Pre nego što počnete

Уклоните купце из одговарајућег кластера као што је детаљно описано у Уклоните организације закупаца. Покрените алатку HDS Setup да бисте завршили процес уклањања за уклоњене организације клијената.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Процес подешавања захтева акредитиве за налог Partner Hub-а са пуним администраторским правима за вашу организацију.

    Ако алатка за подешавање HDS-а ради иза проксија у вашем окружењу, наведите подешавања проксија (сервер, порт, акредитиве) путем Docker променљивих окружења када покрећете Docker контејнер у кораку 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO датотека конфигурације коју генеришете садржи главни кључ који шифрује PostgreSQL или Microsoft SQL Server базу података. Потребна вам је најновија копија ове датотеке сваки пут када правите измене конфигурације, као што су ове:

    • Акредитиви базе података

    • Ажурирања сертификата

    • Промене у политици овлашћења

  • Ако планирате да шифрујете везе са базом података, подесите имплементацију PostgreSQL-а или SQL Server-а за TLS.

Процес подешавања хибридне безбедности података креира ISO датотеку. Затим користите ISO да бисте конфигурисали свој Hybrid Data Security хост.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У редовним окружењима са HTTPS проксијем:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Алат за подешавање не подржава повезивање са локалним хостом путем http://localhost:8080. Користите http://127.0.0.1:8080 за повезивање са локалним хостом.

Користите веб прегледач да бисте отишли на локални хост, http://127.0.0.1:8080, и унесите корисничко име администратора за Partner Hub у промпту.

Алат користи овај први унос корисничког имена да би подесио одговарајуће окружење за тај налог. Алат затим приказује стандардни промпт за пријављивање.

7

Када се то од вас затражи, унесите своје администраторске акредитиве за пријаву у Partner Hub, а затим кликните на Пријавите се да бисте омогућили приступ потребним услугама за хибридну безбедност података.

8

На страници са прегледом алатке за подешавање кликните на Почетак рада.

9

На страници Увоз ISO датотеке кликните на Да.

10

Изаберите своју ISO датотеку у прегледачу и отпремите је.

11

Идите на картицу Управљање CMK-овима закупаца, где ћете пронаћи следећа три начина за управљање CMK-овима закупаца.

  • Поништи CMK за све организације или Поништи CMK - Кликните на ово дугме на банеру на врху екрана да бисте опозвали CMK-ове свих организација које су уклоњене.
  • Кликните на дугме Управљање CMK-овима на десној страни екрана и кликните на Поништи CMK-ове да бисте опозвали CMK-ове свих организација које су уклоњене.
  • Кликните на поред статуса CMK који треба опозвати за одређену организацију у табели и кликните на Поништи CMK да бисте опозвали CMK за ту одређену организацију.
12

Када се опозив CMK-а успешно заврши, организација клијента се више неће појављивати у табели.

13

Ако опозив CMK-а не буде успешан, приказаће се грешка.

Тестирајте своју имплементацију хибридне безбедности података

Тестирајте своју хибридну имплементацију безбедности података

Користите ову процедуру за тестирање сценарија шифровања хибридне безбедности података за више закупаца.

Pre nego što počnete

  • Подесите имплементацију хибридне безбедности података за више закупаца.

  • Уверите се да имате приступ системском дневнику (syslog) како бисте проверили да ли се кључни захтеви прослеђују вашем имплементирању хибридне безбедности података за више закупаца.

1

Кључеве за дати простор поставља креатор простора. Пријавите се у Webex апликацију као један од корисника организације клијента, а затим креирајте простор.

Ако деактивирате имплементацију хибридне безбедности података, садржај у просторима које корисници креирају више није доступан након што се замене копије кључева за шифровање кеширане од стране клијента.

2

Шаљите поруке у нови простор.

3

Проверите излаз системског дневника да бисте потврдили да се захтеви за кључем прослеђују вашем распоређивању хибридне безбедности података.

Ако корисник новододате организације клијента изврши било коју радњу, ИД организације ће се појавити у евиденцији и то се може користити за проверу да ли организација користи Multi-Tenant HDS. Проверите вредност kms.data.orgId у системским дневницима.

  1. Да бисте проверили да ли корисник прво успоставља безбедан канал ка KMS-у, филтрирајте на kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Требало би да пронађете унос као што је следећи (идентификатори скраћени ради читљивости):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. Да бисте проверили да ли корисник захтева постојећи кључ од KMS-а, филтрирајте на kms.data.method=retrieve и kms.data.type=KEY:

    Требало би да пронађете унос као што је:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. Да бисте проверили да ли корисник захтева креирање новог KMS кључа, филтрирајте по kms.data.method=create и kms.data.type=KEY_COLLECTION:

    Требало би да пронађете унос као што је:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. Да бисте проверили да ли корисник захтева креирање новог KMS ресурсног објекта (KRO) када се креира простор или други заштићени ресурс, филтрирајте по kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

    Требало би да пронађете унос као што је: 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Праћење здравља безбедности хибридних података

Индикатор статуса у оквиру Центра за партнере показује вам да ли је све у реду са имплементацијом хибридне безбедности података за више закупаца. За проактивнија упозорења, пријавите се за обавештења путем е-поште. Бићете обавештени када се појаве аларми или надоградње софтвера који утичу на услугу.
1

У Центру за партнере, изаберите Услуге из менија на левој страни екрана.

2

У одељку Услуге у облаку пронађите Хибридна безбедност података и кликните на Измени подешавања.

Појављује се страница Подешавања хибридне безбедности података.
3

У одељку Обавештења путем е-поште унесите једну или више адреса е-поште одвојених зарезима и притисните Enter.

Управљајте својим HDS распоређивањем

Управљање HDS имплементацијом

Користите задатке описане овде да бисте управљали имплементацијом хибридне безбедности података.

Подесите распоред надоградње кластера

Надоградње софтвера за хибридну безбедност података се врше аутоматски на нивоу кластера, што осигурава да сви чворови увек користе исту верзију софтвера. Надоградње се врше према распореду надоградње за кластер. Када надоградња софтвера постане доступна, имате могућност ручне надоградње кластера пре заказаног времена надоградње. Можете подесити одређени распоред надоградње или користити подразумевани распоред 3:00 AM Daily Сједињене Америчке Државе: America/Los Анђелес. Такође можете да одложите предстојећу надоградњу, ако је потребно.

Да бисте подесили распоред надоградње:

1

Prijavite se u partnerski centar.

2

Из менија на левој страни екрана изаберите Услуге.

3

У одељку Услуге у облаку пронађите Хибридну безбедност података и кликните на Подешавање

4

На страници Ресурси за безбедност хибридних података изаберите кластер.

5

Кликните на картицу Подешавања кластера.

6

На страници Подешавања кластера, у оквиру Распоред надоградње, изаберите време и временску зону за распоред надоградње.

Napomena: Испод временске зоне приказан је следећи доступни датум и време надоградње. Надоградњу можете одложити за следећи дан, ако је потребно, кликом на Одложи за 24 сата.

Промена конфигурације чвора

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Софт ресетовање— Стара и нова лозинка важе до 10 дана. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Хард ресет— Старе лозинке одмах престају да раде.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Процес подешавања захтева акредитиве налога за Partner Hub са пуним администраторским правима партнера.

    Ако немате лиценцу за Docker Desktop, можете користити Podman Desktop да бисте покренули алатку HDS Setup за кораке од 1.a до 1.e у поступку испод. Видите Покрените алатку за подешавање HDS-а помоћу Podman Desktop-а за детаље.

    Ако алатка за подешавање HDS-а ради иза проксија у вашем окружењу, наведите подешавања проксија (сервер, порт, акредитиве) путем Docker променљивих окружења када покрећете Docker контејнер у 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker rmi ciscocitg/hds-setup:stable

    U FedRAMP okruženjima:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker login -u hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker pull ciscocitg/hds-setup:stable

    U FedRAMP okruženjima:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Алат за подешавање не подржава повезивање са локалним хостом путем http://localhost:8080. Користите http://127.0.0.1:8080 за повезивање са локалним хостом.

  7. Када се то од вас затражи, унесите своје акредитиве за пријаву корисника за Partner Hub, а затим кликните на Прихвати да бисте наставили.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Да бисте затворили алатку за подешавање, откуцајте CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ако имате само један HDS чвор који ради, креирајте нову виртуелну машину за Hybrid Data Security чвор и региструјте је користећи нову ISO датотеку конфигурације. За детаљнија упутства, погледајте Креирање и регистровање додатних чворова.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Региструјте нови чвор у Центру за партнере.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Кликните на CD/DVD Drive 1, изаберите опцију монтирања из ISO датотеке и потражите локацију где сте преузели нову ISO датотеку конфигурације.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Уклони чвор

Користите ову процедуру да бисте уклонили чвор хибридне безбедности података из Webex облака. Након што уклоните чвор из кластера, обришите виртуелну машину да бисте спречили даљи приступ вашим безбедносним подацима.
1

Користите VMware vSphere клијент на рачунару да бисте се пријавили на ESXi виртуелни хост и искључили виртуелну машину.

2

Уклоните чвор:

  1. Пријавите се у центар за партнере, а затим изаберите Услуге.

  2. На картици Хибридна безбедност података кликните на Прикажи све да бисте приказали страницу Ресурси за хибридну безбедност података.

  3. Изаберите свој кластер да бисте приказали његов панел Преглед.

  4. Кликните на чвор који желите да уклоните.

  5. Кликните на Одјави овај чвор на панелу који се појављује са десне стране

  6. Такође можете одјавити чвор кликом на … са десне стране чвора и одабиром опције Уклони овај чвор.

3

У vSphere клијенту, обришите виртуелну машину. (У левом навигационом окну кликните десним тастером миша на виртуелну машину и кликните на Обриши.)

Ако не обришете виртуелну машину, не заборавите да демонтирате ISO датотеку конфигурације. Без ISO датотеке, не можете користити виртуелну машину за приступ вашим безбедносним подацима.

Опоравак од катастрофе коришћењем резервног дата центра

Најважнија услуга коју ваш кластер за хибридну безбедност података пружа је креирање и складиштење кључева који се користе за шифровање порука и другог садржаја сачуваног у Webex облаку. За сваког корисника унутар организације који је додељен функцији „Хибридна безбедност података“, нови захтеви за креирање кључа се усмеравају ка кластеру. Кластер је такође одговоран за враћање кључева које је креирао свим корисницима који су овлашћени да их преузму, на пример, члановима простора за разговор.

Пошто кластер обавља кључну функцију обезбеђивања ових кључева, императив је да кластер остане у функцији и да се одржавају одговарајуће резервне копије. Губитак базе података Hybrid Data Security или ISO конфигурационог фајла који се користи за шему резултираће НЕПОПРАВЉИВИМ ГУБИТКОМ корисничког садржаја. Следеће праксе су обавезне да би се спречио такав губитак:

Ако катастрофа проузрокује да HDS имплементација у примарном дата центру постане недоступна, пратите ову процедуру да бисте ручно прешли на резервни дата центар.

Pre nego što počnete

Одрегиструјте све чворове из партнерског центра као што је поменуто у Уклоните чвор. Користите најновију ISO датотеку која је конфигурисана за чворове кластера који је претходно био активан, да бисте извршили процедуру пребацивања у случају отказа поменуту у наставку.
1

Покрените алатку за подешавање HDS-а и пратите кораке наведене у Креирајте ISO датотеку конфигурације за HDS хостове.

2

Завршите процес конфигурације и сачувајте ISO датотеку на локацији коју је лако пронаћи.

3

Направите резервну копију ISO датотеке на вашем локалном систему. Безбедно чувајте резервну копију. Ова датотека садржи главни кључ за шифровање садржаја базе података. Ограничите приступ само на оне администраторе хибридне безбедности података који би требало да изврше измене конфигурације.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Кликните на Измени подешавања >CD/DVD Диск 1 и изаберите ISO датотеку складишта података.

Уверите се да су означена поља Повезано и Повежи се при укључивању како би ажуриране измене конфигурације могле да ступе на снагу након покретања чворова.

6

Укључите HDS чвор и уверите се да нема аларма најмање 15 минута.

7

Региструјте чвор у партнерском чворишту. Погледајте Региструјте први чвор у кластеру.

8

Поновите поступак за сваки чвор у резервном дата центру.

Šta je sledeće

Након пребацивања на резервни систем, ако примарни центар података поново постане активан, одјавите чворове резервног центра података и поновите поступак конфигурисања ISO-а и регистрације чворова примарног центра података као што је горе наведено.

(Опционо) Демонтирајте ISO након конфигурације HDS-а

Стандардна HDS конфигурација ради са монтираним ISO-ом. Међутим, неки корисници више воле да не остављају ISO датотеке континуирано монтиране. Можете демонтирати ISO датотеку након што сви HDS чворови преузму нову конфигурацију.

И даље користите ISO датотеке за измене конфигурације. Када креирате нови ISO или ажурирате ISO помоћу алатке за подешавање, морате монтирати ажурирани ISO на све ваше HDS чворове. Када сви ваши чворови приме промене конфигурације, можете поново да демонтирате ИСО помоћу ове процедуре.

Pre nego što počnete

Надоградите све своје HDS чворове на верзију 2021.01.22.4720 или новију.

1

Искључите један од ваших HDS чворова.

2

У vCenter Server Appliance-у, изаберите HDS чвор.

3

Изаберите Измени подешавања > CD/DVD диск и уклоните ознаку са ISO датотека складишта података.

4

Укључите HDS чвор и уверите се да нема аларма најмање 20 минута.

5

Поновите за сваки HDS чвор редом.

Решавање проблема са безбедношћу хибридних података

Преглед упозорења и решавање проблема

Хибридна имплементација безбедности података се сматра недоступном ако су сви чворови у кластеру недоступни или ако кластер ради тако споро да захтева истека времена. Ако корисници не могу да дођу до вашег кластера за хибридну безбедност података, доживљавају следеће симптоме:

  • Нови простори се не могу креирати (није могуће креирати нове кључеве)

  • Поруке и називи простора се не дешифрују за:

    • Нови корисници су додати у простор (није могуће преузети кључеве)

    • Постојећи корисници у простору који користе новог клијента (не могу да преузму кључеве)

  • Постојећи корисници у простору ће наставити успешно да раде све док њихови клијенти имају кеш меморију кључева за шифровање

Важно је да правилно пратите свој кластер хибридне безбедности података и да благовремено решавате сва упозорења како бисте избегли прекид услуге.

Upozorenja

Ако постоји проблем са подешавањем хибридне безбедности података, центар за партнере приказује упозорења администратору организације и шаље имејлове на конфигурисану имејл адресу. Упозорења покривају многе уобичајене сценарије.

Табела 1. Уобичајени проблеми и кораци за њихово решавање

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Проверите да ли постоје грешке у бази података или проблеми са локалном мрежом.

Грешка у повезивању са локалном базом података.

Проверите да ли је сервер базе података доступан и да ли су у конфигурацији чвора коришћени исправни акредитиви сервисног налога.

Грешка у приступу облачном сервису.

Проверите да ли чворови могу да приступе Webex серверима као што је наведено у Захтеви за екстерну повезаност.

Обнављање регистрације за облачни сервис.

Регистрација за услуге у облаку је обустављена. Обнављање регистрације је у току.

Регистрација за услугу у облаку је прекинута.

Регистрација за услуге у облаку је прекинута. Услуга се искључује.

Услуга још није активирана.

Активирајте HDS у партнерском центру.

Конфигурисани домен се не подудара са сертификатом сервера.

Уверите се да сертификат вашег сервера одговара конфигурисаном домену за активацију услуге.

Највероватнији узрок је тај што је CN сертификата недавно промењен и сада се разликује од CN-а који је коришћен током почетног подешавања.

Аутентификација на клауд сервисима није успела.

Проверите тачност и могући рок трајања акредитива за налог услуге.

Отварање локалне датотеке складишта кључева није успело.

Проверите интегритет и тачност лозинке у локалној датотеци складишта кључева.

Сертификат локалног сервера је неважећи.

Проверите датум истека сертификата сервера и потврдите да га је издао поуздани ауторитет за сертификате.

Није могуће објавити метрику.

Проверите приступ локалне мреже спољним услугама у облаку.

/media/configdrive/hds Директоријум не постоји.

Проверите конфигурацију монтирања ISO датотеке на виртуелном хосту. Проверите да ли ISO датотека постоји, да ли је конфигурисана за монтирање при поновном покретању и да ли се успешно монтира.

Подешавање организације закупца није завршено за додате организације

Завршите подешавање креирањем CMK-ова за новододате организације закупаца помоћу алатке за подешавање HDS.

Подешавање организације закупца није завршено за уклоњене организације

Завршите подешавање поништавањем CMK-ова организација закупаца које су уклоњене помоћу алатке за подешавање HDS-а.

Решавање проблема са безбедношћу хибридних података

Користите следеће опште смернице приликом решавања проблема са хибридном безбедношћу података.
1

Прегледајте Чвориште за партнере за евентуална упозорења и исправите све ставке које тамо пронађете. Погледајте слику испод за референцу.

2

Прегледајте излаз syslog сервера за активности из имплементације хибридне безбедности података. Филтрирајте речи попут „Упозорење“ и „Грешка“ да бисте лакше решили проблем.

3

Контактирајте подршку компаније Cisco.

Остале напомене

Познати проблеми са безбедношћу хибридних података

  • Ако искључите свој кластер за хибридну безбедност података (брисањем у Partner Hub-у или искључивањем свих чворова), изгубите ISO датотеку конфигурације или изгубите приступ бази података складишта кључева, корисници Webex апликације организација клијената више не могу да користе просторе на својој листи људи који су креирани помоћу кључева из вашег KMS-а. Тренутно немамо заобилазно решење или исправку за овај проблем и позивамо вас да не искључујете своје HDS услуге када почну да обрађују активне корисничке налоге.

  • Клијент који има постојећу ECDH везу са KMS-ом одржава ту везу током одређеног временског периода (вероватно један сат).

Покрените алатку за подешавање HDS-а помоћу Podman Desktop-а

Подман је бесплатан алат за управљање контејнерима отвореног кода који пружа начин за покретање, управљање и креирање контејнера. Подман Десктоп се може преузети са https://podman-desktop.io/downloads.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Да бисте му приступили, преузмите и покрените Подман на тој машини. Proces instalacije zahteva akreditive naloga kontrolnog čvorišta sa punim administratorskim pravima za vašu organizaciju.

    Ако алатка за подешавање HDS-а ради иза проксија у вашем окружењу, наведите подешавања проксија (сервер, порт, акредитиве) путем Docker променљивих окружења када покрећете Docker контејнер у кораку 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO датотека конфигурације коју генеришете садржи главни кључ који шифрује PostgreSQL или Microsoft SQL Server базу података. Потребна вам је најновија копија ове датотеке сваки пут када правите измене конфигурације, као што су ове:

    • Акредитиви базе података

    • Ажурирања сертификата

    • Промене у политици овлашћења

  • Ако планирате да шифрујете везе са базом података, подесите имплементацију PostgreSQL-а или SQL Server-а за TLS.

Процес подешавања хибридне безбедности података креира ISO датотеку. Затим користите ISO да бисте конфигурисали свој Hybrid Data Security хост.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

podman rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

podman rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

podman login docker.io -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

podman pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У редовним окружењима са HTTPS проксијем:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

Šta je sledeće

Пратите преостале кораке у Креирајте ISO конфигурацију за HDS хостове или Промените конфигурацију чвора да бисте креирали или променили ISO конфигурацију.

Преместите постојеће HDS распоређивање за једног закупца партнерске организације у Control Hub-у у HDS подешавање за више закупаца у Partner Hub-у

Конверзија из постојећег HDS распоређивања са једним закупцем партнерске организације којим се управља у Control Hub-у у HDS распоређивање са више закупаца којим се управља у Partner Hub-у првенствено укључује деактивирање HDS услуге у Control Hub-у, одјаву чворова и брисање кластера. Затим се можете пријавити у Partner Hub, регистровати чворове, активирати Multi-Tenant HDS и додати кориснике у свој кластер.

Термин „једнозакупац“ се једноставно односи на постојеће HDS распоређивање у Control Hub-у.

Деактивирајте HDS, одјавите чворове и обришите кластер у Control Hub-у

1

Пријавите се на Контролни центар. У левом окну кликните на Хибрид. На картици Хибридна безбедност података кликните на Измени подешавања.

2

На страници са подешавањима, скролујте надоле до одељка Деактивирај и кликните на Деактивирај.

3

Након деактивације, кликните на картицу Ресурси.

4

Страница Ресурси приказује кластере у вашем HDS распоређивању. Кликните на кластер, отвара се страница са свим чворовима у оквиру тог кластера.

5

Кликните на ... са десне стране и кликните на Одјави чвор. Поновите поступак за све чворове у кластеру.

6

Ако ваше распоређивање има више кластера, поновите корак 4 и корак 5 док се сви чворови не одјаве.

7

Кликните на Подешавања кластера > Уклони.

8

Кликните на Потврди уклањање да бисте одјавили кластер.

9

Поновите поступак за све кластере у вашем HDS распоређивању.

Након деактивације HDS-а, одјаве чворова и уклањања кластера, картица Hybrid Data Service на Control Hub-у ће на дну имати поруку Подешавање није завршено.

Активирајте Multi-Tenant HDS за партнерску организацију на Partner Hub-у и додајте клијенте

Pre nego što počnete

Сви предуслови поменути у Захтеви за безбедност података хибридних система са више закупаца важе овде. Поред тога, осигурајте да се иста база података и сертификати користе током преласка на Multi-Tenant HDS.

1

Пријавите се на партнерски центар. Кликните на Услуге у левом окну.

Користите исти ISO из претходног HDS распоређивања да бисте конфигурисали чворове. Ово ће осигурати да поруке и садржај које су генерисали корисници у претходном постојећем HDS распоређивању буду и даље доступни у новом подешавању за више закупаца.

2

У одељку Услуге у облаку пронађите картицу Хибридна безбедност података и кликните на Подешавање.

3

На страници која се отвори кликните на Додај ресурс.

4

У прво поље картице Додај чвор унесите назив кластера којем желите да доделите свој чвор хибридне безбедности података.

Препоручујемо да кластер назовете на основу географске локације чворова кластера. Примери: „Сан Франциско“ или „Њујорк“ или „Далас“

5

У друго поље унесите интерну IP адресу или потпуно квалификовано име домена (FQDN) вашег чвора и кликните на Додај на дну екрана.

Ова IP адреса или FQDN треба да се подудара са IP адресом или именом хоста и доменом које сте користили у Подешавање хибридне виртуелне машине за безбедност података.

Појављује се порука која показује да можете регистровати свој чвор на Webex-у.
6

Кликните на Иди на чвор.

Након неколико тренутака, бићете преусмерени на тестове повезивања чворова за Webex услуге. Ако су сви тестови успешни, појављује се страница Дозволи приступ хибридном чвору безбедности података. Тамо потврђујете да желите да дате дозволе својој Webex организацији за приступ вашем чвору.

7

Означите поље за потврду Дозволи приступ вашем хибридном чвору за безбедност података, а затим кликните на Настави.

Ваш налог је потврђен и порука „Регистрација је завршена“ означава да је ваш чвор сада регистрован у Webex облаку. На страници Хибридна безбедност података, нови кластер који садржи чвор који сте регистровали приказан је на картици Ресурси. Чвор ће аутоматски преузети најновији софтвер из облака.
8

Идите на картицу Подешавања и кликните на Активирај на картици Статус HDS-а.

ПорукаАктивиран HDS ће се појавити на дну екрана.
9

У одељку Ресурсикликните на новокреирани кластер.

10

На страници која се отвори кликните на картицу Додељени клијенти.

11

Кликните на Додај купце.

12

Изаберите купца кога желите да додате из падајућег менија.

13

Кликните на Додај, купац ће бити додат у кластер.

14

Поновите кораке од 11 до 13 да бисте додали више купаца у кластер.

15

Кликните на Готово на дну екрана када додате купце.

Šta je sledeće

Покрените алатку за подешавање HDS-а као што је детаљно описано у Креирајте главне кључеве корисника (CMK) помоћу алатке за подешавање HDS-а да бисте завршили процес подешавања.

Користите OpenSSL за генерисање PKCS12 датотеке

Pre nego što počnete

  • OpenSSL је један алат који се може користити за прављење PKCS12 датотеке у одговарајућем формату за учитавање у HDS Setup Tool. Постоје и други начини да се ово уради, и ми не подржавамо нити промовишемо један начин у односу на други.

  • Ако се одлучите за коришћење OpenSSL-а, ову процедуру пружамо као смерницу која ће вам помоћи да креирате датотеку која испуњава захтеве X.509 сертификата у X.509 захтеви за сертификат. Разумите те захтеве пре него што наставите.

  • Инсталирајте OpenSSL у подржаном окружењу. Погледајте https://www.openssl.org за софтвер и документацију.

  • Направите приватни кључ.

  • Покрените ову процедуру када примите сертификат сервера од вашег ауторитета за сертификате (CA).

1

Када примите сертификат сервера од вашег CA, сачувајте га као hdsnode.pem.

2

Прикажите сертификат као текст и проверите детаље.

openssl x509 -text -noout -in hdsnode.pem

3

Користите уређивач текста да бисте креирали датотеку пакета сертификата под називом hdsnode-bundle.pem. Пакетна датотека мора да садржи сертификат сервера, све средње CA сертификате и коренске CA сертификате, у формату испод:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Направите .p12 датотеку са пријатељским именом kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Проверите детаље сертификата сервера.

  1. openssl pkcs12 -in hdsnode.p12

  2. Унесите лозинку на захтев да бисте шифровали приватни кључ тако да буде наведен у излазу. Затим, проверите да ли приватни кључ и први сертификат садрже линије friendlyName: kms-private-key.

    Primer:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Šta je sledeće

Вратите се на Завршите предуслове за хибридну безбедност података. Користићете датотеку hdsnode.p12 и лозинку коју сте за њу поставили у Креирање ISO датотеке за конфигурацију за HDS хостове.

Можете поново користити ове датотеке да бисте захтевали нови сертификат када оригинални сертификат истекне.

Саобраћај између HDS чворова и облака

Одлазни саобраћај прикупљања метрика

Чворови хибридне безбедности података шаљу одређене метрике у Webex облак. То укључује системске метрике за максималну снагу хипа, искоришћеност хипа, оптерећење процесора и број нити; метрике о синхроним и асинхроним нитима; метрике о упозорењима која укључују праг шифрованих веза, латенцију или дужину реда захтева; метрике о складишту података; и метрике шифрованих веза. Чворови шаљу шифровани кључни материјал преко ванпојасног (одвојеног од захтева) канала.

Долазни саобраћај

Чворови хибридне безбедности података примају следеће типове долазног саобраћаја из Webex облака:

  • Захтеви за шифровање од клијената, које усмерава сервис за шифровање

  • Надоградње софтвера чвора

Конфигуришите Squid проксије за хибридну безбедност података

Websocket ne može da se poveže preko proxy servera sa lignjama

Squid проксији који инспектирају HTTPS саобраћај могу ометати успостављање websocket (wss:) веза које захтева Hybrid Data Security. Ови одељци дају смернице о томе како конфигурисати различите верзије Squid-а да игноришу wss: саобраћај ради правилног рада сервиса.

Lignje 4 i 5

Додајте директиву on_unsupported_protocol у squid.conf:

on_unsupported_protocol tunnel all

Lignje 3.5.27

Успешно смо тестирали хибридну безбедност података са следећим правилима додатим у squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Da li je ovaj članak bio koristan?
Da li je ovaj članak bio koristan?
CeneAplikacija WebexSastanciCallingRazmena porukaDeljenje ekrana
Webex SuiteCallingSastanciRazmena porukaSlidoVebinariDogađajiContact CenterCPaaSBezbednostControl Hub
Slušalice sa mikrofonomKamereSerija radnih stolovaSerija RoomSerija BoardSerija telefonaDodatna oprema
ObrazovanjeZdravstvoUpravaFinansijeSport i zabavaPrva linijaNeprofitne organizacijeStartapoviHibridni rad
PreuzimanjaPridružite se probnom sastankuČasovi na mrežiIntegracijePristupačnostInkluzivnostVebinari uživo i na zahtevWebex zajednicaWebex za programereVesti i inovacije
CiscoObratite se podršciObratite se timu za prodajuWebex BlogWebex ideja liderstvaProdavnica Webex proizvodaKarijera
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
Uslovi i odredbeIzjava o privatnostiKolačićiZaštitni znakovi
©2025 Cisco i/ili povezana pravna lica. Sva prava zadržana.
Uslovi i odredbeIzjava o privatnostiKolačićiZaštitni znakovi