U ovom članku
dropdown icon
Nove i promenjene informacije
    Nove i promenjene informacije
dropdown icon
Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca
    dropdown icon
    Pregled hibridne bezbednosti podataka sa više zakupaca
      Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka
      Ograničenja hibridne bezbednosti podataka sa više zakupaca
      Uloge u hibridnoj zaštiti podataka sa više zakupaca
    dropdown icon
    Arhitektura bezbednosnog područja
      Domeni razdvajanja (bez hibridne bezbednosti podataka)
    Sarađujte sa drugim organizacijama
    Očekivanja za primenu hibridne bezbednosti podataka
    Proces podešavanja na visokom nivou
    dropdown icon
    Model primene hibridne bezbednosti podataka
      Model primene hibridne bezbednosti podataka
    dropdown icon
    centar podataka u stanju pripravnosti za oporavak od katastrofe
      Ručno preuzimanje do centra podataka u stanju pripravnosti
    Proksi podrška
dropdown icon
Priprema okruženja
    dropdown icon
    Zahtevi za hibridnu bezbednost podataka sa više zakupaca
      Zahtevi za licencu Cisco Webex
      Zahtevi za radnu površinu Docker
      X.509 zahtevi sertifikata
      Zahtevi virtuelnog organizatora
      Zahtevi servera baze podataka
      Zahtevi za spoljno povezivanje
      Zahtevi proxy servera
    Ispunite preduslove za hibridnu bezbednost podataka
dropdown icon
Podešavanje klastera hibridne bezbednosti podataka
    Tok zadatka primene hibridne bezbednosti podataka
    Izvrši početno podešavanje i preuzmi datoteke za instalaciju
    Kreirajte ISO konfiguraciju za HDS organizatore
    Instalirajte HDS organizatora OVA
    Podešavanje hibridne bezbednosti podataka
    Otpremite i montirajte HDS konfiguraciju ISO
    Konfigurisanje HDS oglasa za integraciju proxy servera
    Registruj prvi čvor u klasteru
    Kreirajte i registrujte više čvorova
dropdown icon
Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca
    Aktivirajte HDS za više zakupaca na portalu Partner Hub
    Dodajte organizacije zakupaca u Partner Hub
    Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a
    Ukloni organizacije zakupaca
    Opozovite CMK zakupaca uklonjenih iz usluge HDS.
dropdown icon
Testirajte svoju primenu hibridne bezbednosti podataka
    Testirajte svoju primenu hibridne bezbednosti podataka
    Nadgledajte hibridnu bezbednost podataka
dropdown icon
Upravljajte primenom HDS-a
    Upravljaj HDS primenom
    Postavi raspored nadogradnje klastera
    Promeni konfiguraciju čvora
    Isključi blokirani režim spoljne DNS rezolucije
    Uklanjanje čvora
    Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti
    (Opcionalno) Uklonite ISO nakon HDS konfiguracije
dropdown icon
Rešavanje problema hibridne bezbednosti podataka
    Prikaz upozorenja i rešavanje problema
    dropdown icon
    Upozorenja
      Uobičajeni problemi i koraci za njihovo rešavanje
    Rešavanje problema hibridne bezbednosti podataka
dropdown icon
Druge napomene
    Poznati problemi za hibridnu bezbednost podataka
    Pokrenite alatku za podešavanje HDS pomoću aplikacije Podman Desktop
    Koristite OpenSSL za generisanje PKCS12 datoteke
    Saobraćaj između HDS čvorova i oblaka
    dropdown icon
    Konfigurisanje proxy servera za hibridnu bezbednost podataka
      Websocket ne može da se poveže preko proxy servera sa lignjama
dropdown icon
Deaktiviraj hibridnu bezbednost podataka sa više zakupaca
    Tok zadatka deaktivacije HDS-a sa više zakupaca
14. март 2025. | 5 prikaz/prikaza | 0 osobe/osoba misle da je ovo korisno

Vodič za primenu hibridne bezbednosti podataka sa više zakupaca (HDS) (Beta)

list-menuU ovom članku
list-menuPovratne informacije?

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

13. decembar 2024.

Prvo izdanje.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 6.5 (ili kasnije) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija konfigurisanja podešavanja mreže tokom OVA primene testirana je sa ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija konfigurisanja podešavanja mreže tokom OVA primene testirana je sa ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

15. januara 2025.

Dodata su ograničenja hibridne bezbednosti podataka sa više zakupaca.

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Ograničenja hibridne bezbednosti podataka sa više zakupaca

  • Partnerske organizacije ne smeju da imaju aktivno raspoređivanje HDS-a na portalu Control Hub.
  • Zakupac ili organizacije kupca koje žele da njime upravlja partner ne smeju da imaju postojeću primenu HDS-a u Kontrolnom čvorištu.
  • Kada partner primeni HDS sa više zakupaca, svi korisnici korisničkih organizacija kao i korisnici partnerske organizacije počinju da koriste HDS sa više zakupaca za svoje usluge šifrovanja.

    Organizacija partnera i organizacije kupca kojima upravljaju biće na istoj primeni HDS sa više zakupaca.

    Partnerska organizacija više neće koristiti KMS u oblaku nakon što se primeni HDS sa više zakupaca.

  • Ne postoji mehanizam za premeštanje ključeva nazad u Cloud KMS nakon primene HDS-a.
  • Trenutno svaka primena HDS-a sa više zakupaca može da ima samo jedan klaster, sa više čvorova ispod njega.
  • Uloge administratora imaju određena ograničenja; pogledajte odeljak ispod za detalje.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

30. januara 2025.

Verzija SQL servera 2022 je dodata na listu podržanih SQL servera u okviru odeljka Zahtevi servera baze podataka.

15. januara 2025.

Dodata su ograničenja hibridne bezbednosti podataka sa više zakupaca.

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Ograničenja hibridne bezbednosti podataka sa više zakupaca

  • Partnerske organizacije ne smeju da imaju aktivno raspoređivanje HDS-a na portalu Control Hub.
  • Zakupac ili organizacije kupca koje žele da njime upravlja partner ne smeju da imaju postojeću primenu HDS-a u Kontrolnom čvorištu.
  • Kada partner primeni HDS sa više zakupaca, svi korisnici korisničkih organizacija kao i korisnici partnerske organizacije počinju da koriste HDS sa više zakupaca za svoje usluge šifrovanja.

    Organizacija partnera i organizacije kupca kojima upravljaju biće na istoj primeni HDS sa više zakupaca.

    Partnerska organizacija više neće koristiti KMS u oblaku nakon što se primeni HDS sa više zakupaca.

  • Ne postoji mehanizam za premeštanje ključeva nazad u Cloud KMS nakon primene HDS-a.
  • Trenutno svaka primena HDS-a sa više zakupaca može da ima samo jedan klaster, sa više čvorova ispod njega.
  • Uloge administratora imaju određena ograničenja; pogledajte odeljak ispod za detalje.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017, 2019 ili 2022. (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

30. januara 2025.

Verzija SQL servera 2022 je dodata na listu podržanih SQL servera u okviru odeljka Zahtevi servera baze podataka.

15. januara 2025.

Dodata su ograničenja hibridne bezbednosti podataka sa više zakupaca.

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Ograničenja hibridne bezbednosti podataka sa više zakupaca

  • Partnerske organizacije ne smeju da imaju aktivno raspoređivanje HDS-a na portalu Control Hub.
  • Zakupac ili organizacije kupca koje žele da njime upravlja partner ne smeju da imaju postojeću primenu HDS-a u Kontrolnom čvorištu.
  • Kada partner primeni HDS sa više zakupaca, svi korisnici korisničkih organizacija kao i korisnici partnerske organizacije počinju da koriste HDS sa više zakupaca za svoje usluge šifrovanja.

    Organizacija partnera i organizacije kupca kojima upravljaju biće na istoj primeni HDS sa više zakupaca.

    Partnerska organizacija više neće koristiti KMS u oblaku nakon što se primeni HDS sa više zakupaca.

  • Ne postoji mehanizam za premeštanje ključeva nazad u Cloud KMS nakon primene HDS-a.
  • Trenutno svaka primena HDS-a sa više zakupaca može da ima samo jedan klaster, sa više čvorova ispod njega.
  • Uloge administratora imaju određena ograničenja; pogledajte odeljak ispod za detalje.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017, 2019 ili 2022. (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 ili 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxVeličina: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker mi ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker mi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker-у hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker vuče ciscocitg/hds-podešavanje:stabilno

U FedRAMP okruženjima:

docker vuče ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker mi ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker mi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker-у hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker vuče ciscocitg/hds-podešavanje:stabilno

    U FedRAMP okruženjima:

    docker vuče ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, ukucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. укључен pkcs12 - hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

    Primer:

    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve

Nove i promenjene informacije

Nove i promenjene informacije

Ova tabela pokriva nove funkcije ili funkcionalnost, promene postojećeg sadržaja i sve velike greške koje su otklonjene u Vodiču za primenu za hibridnu bezbednost podataka sa više zakupaca.

Datum

Izvršene promene

04. mart 2025.

30. januara 2025.

Verzija SQL servera 2022 je dodata na listu podržanih SQL servera u okviru odeljka Zahtevi servera baze podataka.

15. januara 2025.

Dodata su ograničenja hibridne bezbednosti podataka sa više zakupaca.

јул 08, 2025

Dodata je napomena u odeljku Izvrši početno podešavanje i preuzmi datoteke za instalaciju navodeći da je klikom na Postavi na HDS kartici u partnerskom čvorištu važan korak procesa instalacije.

07. januara 2025.

Ažurirani su zahtevi virtuelnog hosta, tok zadatka primene hibridne bezbednosti podataka i Instalirajte HDS organizatora OVA da biste prikazali nove zahteve za ESXi 7.0.

13. decembar 2024.

Prvi put objavljen.

Deaktiviraj hibridnu bezbednost podataka sa više zakupaca

Tok zadatka deaktivacije HDS-a sa više zakupaca

Pratite ove korake da biste u potpunosti deaktivirali HDS sa više zakupaca.

Pre nego što počnete

Ovaj zadatak treba da izvrši samo potpuni administrator partnera.
1

Uklonite sve kupce iz svih klastera, kao što je pomenuto u odeljku Ukloni organizacije zakupaca.

2

Opozovite CMK-ove svih kupaca, kao što je pomenuto u odeljku Opozovi CMK-ove zakupaca uklonjenih iz kompanije HDS..

3

Uklonite sve čvorove iz svih klastera, kao što je pomenuto u odeljku Ukloni čvor.

4

Izbrišite sve klastere iz Partner Hub-a na jedan od sledećih dva načina.

  • Kliknite na klaster koji želite da izbrišete i izaberite Izbriši ovaj klaster u gornjem desnom uglu stranice sa pregledom.
  • Na stranici „Resursi“ kliknite na desnoj strani klastera i izaberite Ukloni klaster.
5

Kliknite na karticu Podešavanja na stranici pregled hibridne bezbednosti podataka i kliknite na Deaktiviraj HDS na kartici statusa HDS.

Prvi koraci pri hibridnoj zaštiti podataka sa više zakupaca

Pregled hibridne bezbednosti podataka sa više zakupaca

Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

Hibridna bezbednost podataka sa više zakupaca omogućava organizacijama da iskoriste HDS preko pouzdanog lokalnog partnera, koji može da deluje kao pružalac usluga i upravlja lokalnim šifrovanjem i drugim bezbednosnim uslugama. Ovo podešavanje omogućava partnerskoj organizaciji da ima potpunu kontrolu nad primenom i upravljanjem ključevima za šifrovanje i obezbeđuje da podaci korisnika organizacija kupca budu bezbedni od spoljnog pristupa. Partnerske organizacije podešavaju HDS instance i po potrebi kreiraju HDS klastere. Svaka instanca može da podrži više organizacija kupca za razliku od regularnog HDS-a koji je ograničen na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad primenom i upravljanjem, one nemaju pristup podacima i sadržaju koje generišu kupci. Ovaj pristup je ograničen na organizacije kupaca i njihove korisnike.

Ovo takođe omogućava manjim organizacijama da iskoriste HDS, jer su usluge upravljanja ključevima i bezbednosna infrastruktura kao što su centri podataka u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna bezbednost podataka sa više zakupaca obezbeđuje suverenitet podataka i kontrolu podataka

  • Sadržaj koji generišu korisnici je zaštićen od spoljnog pristupa, kao i od pružaoca usluga u oblaku.
  • Lokalni pouzdani partneri upravljaju ključevima za šifrovanje kupaca sa kojima već imaju uspostavljen odnos.
  • Opcija lokalne tehničke podrške, ako ju je obezbedio partner.
  • Podržava sadržaj za sastanke, razmenu poruka i pozivanje.

Ovaj dokument ima za cilj da se pomogne partnerskim organizacijama da podese kupce i upravljaju njima u okviru sistema hibridne bezbednosti podataka sa više zakupaca.

Ograničenja hibridne bezbednosti podataka sa više zakupaca

  • Partnerske organizacije ne smeju da imaju aktivno raspoređivanje HDS-a na portalu Control Hub.
  • Zakupac ili organizacije kupca koje žele da njime upravlja partner ne smeju da imaju postojeću primenu HDS-a u Kontrolnom čvorištu.
  • Kada partner primeni HDS sa više zakupaca, svi korisnici korisničkih organizacija kao i korisnici partnerske organizacije počinju da koriste HDS sa više zakupaca za svoje usluge šifrovanja.

    Organizacija partnera i organizacije kupca kojima upravljaju biće na istoj primeni HDS sa više zakupaca.

    Partnerska organizacija više neće koristiti KMS u oblaku nakon što se primeni HDS sa više zakupaca.

  • Ne postoji mehanizam za premeštanje ključeva nazad u Cloud KMS nakon primene HDS-a.
  • Trenutno svaka primena HDS-a sa više zakupaca može da ima samo jedan klaster, sa više čvorova ispod njega.
  • Uloge administratora imaju određena ograničenja; pogledajte odeljak ispod za detalje.

Uloge u hibridnoj zaštiti podataka sa više zakupaca

  • Potpuni administrator partnera – možete da upravljate podešavanjima za sve kupce kojima partner upravlja. Mogu i da dodele uloge administratora postojećim korisnicima u organizaciji i da dodele da određenim korisnicima upravljaju administratori partnera.
  • Administrator partnera – možete da upravljate podešavanjima za kupce koje je administrator obezbedio ili koji su dodeljeni korisniku.
  • Potpuni administrator – Administrator partnerske organizacije koja je ovlašćena za obavljanje zadataka kao što su izmena podešavanja organizacije, upravljanje licencama i dodeljivanje uloga.
  • Potpuno podešavanje HDS sa više zakupaca i upravljanje svim organizacijama kupca – potrebna su puna administratorska prava partnera i potpuna administratorska prava.
  • Upravljanje dodeljenim organizacijama zakupaca – potrebna su administratorska prava partnera i potpuna administratorska prava.

Arhitektura bezbednosnog područja

Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

Domeni razdvajanja (bez hibridne bezbednosti podataka)

Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

  4. Šifrovana poruka se čuva u domenu skladišta.

Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

Sarađujte sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite svoje okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka sa više zakupaca.

Očekivanja za primenu hibridne bezbednosti podataka

Primena hibridne bezbednosti podataka zahteva značajnu posvećenost i svesnost o rizicima koji dolaze sa ključevima za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate da navedete:

Potpuni gubitak ISO konfiguracije koju kreirate za hibridnu bezbednost podataka ili baze podataka koju obezbedite rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to dogodi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate da:

  • Upravljajte rezervom i oporavkom baze podataka i ISO konfiguracije.

  • Pripremite se za brzo oporavak od katastrofe ako dođe do katastrofe, kao što je greška diska baze podataka ili katastrofa centra podataka.

Ne postoji mehanizam za premeštanje ključeva nazad u Oblak nakon primene HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka sa više zakupaca:

  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima kupaca (CMK-ovi). Ovo će omogućiti svim korisnicima u vašim organizacijama kupca da koriste vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

    Faze podešavanja, aktivacije i upravljanja su detaljno obuhvaćene u sledeća tri poglavlja.

  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti u čvorištu partnera.

  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

Model primene hibridne bezbednosti podataka

U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

Model primene hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

Čvorovi postaju aktivni kada ih registrujete na portalu Partner Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

centar podataka u stanju pripravnosti za oporavak od katastrofe

Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
Ručno preuzimanje do centra podataka u stanju pripravnosti

Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema.

Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtevi za hibridnu bezbednost podataka sa više zakupaca

Zahtevi za licencu Cisco Webex

Da biste primenili hibridnu bezbednost podataka sa više zakupaca:

  • Partnerske organizacije: Obratite se Cisco partneru ili menadžeru naloga i uverite se da je omogućena funkcija za više zakupaca.

  • Organizacije zakupaca: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Zahtevi za radnu površinu Docker

Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

Kupci bez licence za Docker Desktop mogu da koriste alatku za upravljanje kontejnerima otvorenog izvora kao što je Podman Desktop za pokretanje i kreiranje kontejnera. Detaljnije informacije potražite u članku Pokretanje alatke za podešavanje HDS pomoću aplikacije Podman Desktop .

X.509 zahtevi sertifikata

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

Uslov

Detalji

  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

  • Nije džoker sertifikat

CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer hds.company.com.

CN ne sme da sadrži * (džoker znak).

CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena.

  • Potpis za ne-SHA1

KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

  • Koristite prijateljsko ime kms-private-key za označavanje sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

Zahtevi virtuelnog organizatora

Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

  • VMware ESXi 7.0 (ili noviji) je instaliran i pokrenut.

    Morate da nadogradite ako imate raniju verziju ESXi.

  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

Zahtevi servera baze podataka

Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

Послови

Microsoft SQL server

  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

  • Instaliran je SQL server 2016, 2017, 2019 ili 2022. (Velika preduzeća ili Standard).

    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

Послови

Microsoft SQL server

Postgres JDBC drajver 42.2.5

SQL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

Zahtevi za spoljno povezivanje

Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

Aplikacija

Protokol

Port

Upravljanje iz aplikacije

Odredište

Čvorovi za hibridnu bezbednost podataka

TCP

443

Odlazni HTTPS i WSS

  • Webex serveri:

    • *.wbx2.com

    • *.ciscospark.com

  • Svi organizatori zajedničkog identiteta

  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

Alatka za podešavanje HDS-a

TCP

443

Odlazni HTTPS

  • *.wbx2.com

  • Svi organizatori zajedničkog identiteta

  • hub.docker.com

Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

Region

URL adrese hosta zajedničkog identiteta

Amerike

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropska unija

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Ujedinjeni Arapski Emirati

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne inspekciju) saobraćaj ka wbx2.com i ciscospark.com rešiće problem.

Ispunite preduslove za hibridnu bezbednost podataka

Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
1

Uverite se da vaša partnerska organizacija ima omogućenu funkciju HDS sa više zakupaca i da dobijete akreditive naloga sa potpunim administratorom i potpunim administratorskim pravima. Uverite se da je vaša Webex organizacija kupca omogućena za Pro Pack za Cisco Webex Control Hub. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

Organizacije kupca ne bi trebalo da imaju postojeću primenu HDS-a.

2

Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

3

Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

4

Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

    • ime organizatora ili IP adresu (organizator) i port

    • ime baze podataka (dbname) za skladište ključa

    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

5

Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

6

Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

7

Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

8

Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

9

Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda vam treba Docker Desktop licenca. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

10

Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

Podešavanje klastera hibridne bezbednosti podataka

Tok zadatka primene hibridne bezbednosti podataka

Pre nego što počnete

1

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

2

Kreirajte ISO konfiguraciju za HDS organizatore

Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

3

Instalirajte HDS organizatora OVA

Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

4

Podešavanje hibridne bezbednosti podataka

Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

5

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

6

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

7

Registruj prvi čvor u klasteru

Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

8

Kreirajte i registrujte više čvorova

Dovršite podešavanje klastera.

9

Aktivirajte HDS za više zakupaca na portalu Partner Hub.

Aktivirajte HDS i upravljajte organizacijama zakupaca na portalu Partner Hub.

Izvrši početno podešavanje i preuzmi datoteke za instalaciju

U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.

1

Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

2

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

Klikom na Podešavanje na portalu Partner Hub od ključnog je značaja za proces primene. Nemojte da nastavite sa instalacijom bez završavanja ovog koraka.

3

Kliknite na Dodaj resurs i kliknite na Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriši softver .

Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

OVA možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć . Kliknite na Podešavanja > Pomoć > Preuzmi softver za hibridnu bezbednost podataka.

OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
4

Opcionalno kliknite na Pogledajte vodič za primenu hibridne bezbednosti podataka da biste proverili da li je dostupna novija verzija ovog vodiča.

Kreirajte ISO konfiguraciju za HDS organizatore

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

Pre nego što počneš
1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz imate sledeće opcije:

  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
10

Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
11

Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMAIN u polju Username .

  3. Unesite adresu servera baze podataka u obrazac : ili :.

    Primer:
    dbhost.example.org:1433 Вијести 198.51.100.17:1433

    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno određeno ime domena u formatu dbhost.example.org:1433

  4. Unesite ime baze podataka.

  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

12

Izaberite režim veze sa bazom podataka:

Režim

Opis

Poželjna je TLS (podrazumevana opcija)

HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

Zahtevaj TLS

HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

Zahtevajte TLS i verifikujte potpisnika sertifikata

Ovaj režim nije primenljiv za SQL server baze podataka.

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

13

Na stranici Evidencije sistema, konfigurišite Syslogd server:

  1. Unesite URL adresu syslog servera.

    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

    Primer:
    udp://10.92.43.23:514 označava prijavljivanje na Syslogd host 10.92.43.23 na UDP portu 514.

  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

    Ako označite ovo polje za potvrdu, uverite se da unesete TCP URL kao što je tcp://10.92.43.23:514.

  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

    • Bajt bez vrednosti -- \x00

    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

  4. Kliknite na dugme Nastavi.

14

(Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

app_datasource_connection_pool_maxSize: 10
15

Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

16

Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

17

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

18

Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

Šta je sledeće

Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS organizatora OVA

Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
1

Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

2

Izaberite stavku Datoteka > Primeni OVF šablon.

3

U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

4

Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

5

Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

6

Proverite detalje šablona i zatim kliknite na Dalje.

7

Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

8

Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

9

Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

10

Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

  • IP adresa– Unesite IP adresu za interni interfejs čvora.

    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.

  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

Opcija za konfigurisanje podešavanja mreže tokom OVA primene testirana je na ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.

11

Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

Saveti za rešavanje problema

Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

Podešavanje hibridne bezbednosti podataka

Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

1

U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
2

Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

  1. Дојење: admin

  2. Lozinka: cisco

Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

3

Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

4

Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

5

(Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

6

Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

Pre nego što počnete

Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

1

Otpremite ISO datoteku sa svog računara:

  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

2

Montirajte ISO datoteku:

  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

  3. Kliknite CD/DVD Drive 1na dugme , izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

  4. Označite opciju Povezano i Poveži kada je uključeno.

  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta je sledeće

Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL za podešavanje HDS čvora https://[HDS Node IP or FQDN]/setup u veb-pregledač, unesite akreditive administratora koje ste podesili za čvor, a zatim kliknite na Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Registruj prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Podesi.

4

Na stranici koja se otvara kliknite na Dodaj resurs.

5

U prvom polju kartice Dodaj čvor unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

6

U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dodaj pri dnu ekrana.

Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
7

Kliknite na Idi u čvor.

Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.

8

Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
9

Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

Na stranici Hibridna bezbednost podataka novi klaster koji sadrži čvor koji ste registrovali prikazuje se na kartici Resursi . Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

Pre nego što počnete

  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

1

Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

2

Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

3

Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

4

Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

5

Registrujte čvor.

  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

  2. U odeljku Usluge u oblaku pronađite karticu hibridne bezbednosti podataka i kliknite na Prikaži sve.

    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.

  3. Novi kreirani klaster će se pojaviti na stranici Resursi .

  4. Kliknite na klaster da biste prikazali čvorove dodeljene klasteru.

  5. Kliknite na Dodaj čvor na desnoj strani ekrana.

  6. Unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) svog čvora i kliknite na Dodaj.

    Otvoriće se stranica sa porukom koja pokazuje da možete da registrujete svoj čvor na Webex oblaku. Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.

  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.

  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka platforme Partner Hub.

    Iskačuća poruka koju je dodao čvor se takođe pojavljuje na dnu ekrana u partnerskom čvorištu.

    Vaš čvor je registrovan.

Upravljajte organizacijama zakupaca u okviru hibridne bezbednosti podataka sa više zakupaca

Aktivirajte HDS za više zakupaca na portalu Partner Hub

Ovaj zadatak osigurava da svi korisnici u organizacijama kupca mogu da počnu da koriste HDS za lokalne ključeve za šifrovanje i druge bezbednosne usluge.

Pre nego što počnete

Uverite se da ste završili podešavanje HDS klastera sa više zakupaca sa potrebnim brojem čvorova.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

4

Kliknite na Aktiviraj HDS na kartici HDS status .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodeljujete organizacije kupaca svom klasteru hibridne bezbednosti podataka.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Kliknite na klaster kojem želite da bude dodeljen kupac.

5

Idite na karticu Dodeljeni korisnici .

6

Kliknite na Dodaj kupce.

7

Izaberite kupca kog želite da dodate u padajućem meniju.

8

Kliknite na Dodaj, kupac će se dodati klasteru.

9

Ponovite korake od 6 do 8 da biste dodali više kupaca u klaster.

10

Kliknite na Gotovo na dnu ekrana kada dodate kupce.

Šta je sledeće

Pokrenite alatku za podešavanje HDS-a kao što je opisano u odeljku Kreiranje glavnih ključeva kupaca (CMK) pomoću alatke za podešavanje HDS da biste dovršili proces podešavanja.

Kreirajte glavne tastere za kupca (CMK) pomoću alatke za podešavanje HDS-a

Pre nego što počnete

Dodelite kupce odgovarajućem klasteru kao što je opisano u opciji Dodaj organizacije zakupaca na platformi Partner Hub. Pokrenite alatku za podešavanje HDS-a da biste dovršili proces podešavanja za novododate organizacije kupaca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

Obezbedite povezanost sa bazom podataka da biste izvršili CMK upravljanje.
11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Kreirajte CMK za sve ORGANIZACIJE ili Kreiraj CMK – Kliknite na ovo dugme na traci na vrhu ekrana da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Kreiraj CMK da biste kreirali CMK za sve novododate organizacije.
  • Kliknite na blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju i kliknite na Kreiraj CMK da biste kreirali CMK za tu organizaciju.
12

Kada kreiranje CMK-a bude uspešno, status u tabeli će se promeniti iz CMK upravljanja na čekanju u CMK upravljane.

13

Ako kreiranje CMK nije uspelo, prikazaće se greška.

Ukloni organizacije zakupaca

Pre nego što počnete

Kada se uklone, korisnici organizacija kupca neće moći da koriste HDS za svoje potrebe za šifrovanjem i izgubiće sve postojeće prostore. Pre nego što uklonite organizacije kupca, obratite se Cisco partneru ili menadžeru naloga.

1

Prijavite se u https://admin.webex.com.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Prikaži sve.

4

Na kartici Resursi kliknite na klaster iz kog želite da uklonite organizacije kupca.

5

Na stranici koja se otvara kliknite na Dodeljeni korisnici.

6

Sa liste organizacija kupca koje su prikazane kliknite na ... na desnoj strani organizacije kupca koju želite da uklonite i kliknite na Ukloni iz klastera.

Šta je sledeće

Dovršite proces uklanjanja opozivanjem CMK-ova organizacija kupca kao što je opisano u odeljku Opozovi CMK zakupaca uklonjenih iz HDS-a.

Opozovite CMK zakupaca uklonjenih iz usluge HDS.

Pre nego što počnete

Uklonite kupce iz odgovarajućeg klastera kao što je opisano u odeljku Ukloni organizacije zakupaca. Pokrenite alatku za podešavanje HDS-a da biste završili proces uklanjanja za uklonjene organizacije kupca.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

docker login -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

6

Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora za partnerski čvorište na upit.

Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

7

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora na portalu Partner Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

8

Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

9

Na stranici ISO uvoz kliknite na Da.

10

Izaberite ISO datoteku u pregledaču i otpremite je.

11

Idite na karticu Upravljanje CMK zakupcima, na kojoj možete da pronađete sledeća tri načina za upravljanje CMK zakupcima.

  • Opozovi CMK za sve ORGANIZACIJE ili Opozovi CMK – Kliknite na ovo dugme na baneru na vrhu ekrana da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na dugme Upravljanje CMK na desnoj strani ekrana i kliknite na Opozovi CMK da biste opozvali CMK-ove svih organizacija koje su uklonjene.
  • Kliknite na u blizini CMK da biste opozvali status određene organizacije u tabeli i kliknite na Opozovi CMK da biste opozvali CMK za tu određenu organizaciju.
12

Kada CMK opoziv bude uspešno, organizacija kupca se više neće pojavljivati u tabeli.

13

Ako opozivanje CMK ne uspe, prikazaće se greška.

Testirajte svoju primenu hibridne bezbednosti podataka

Testirajte svoju primenu hibridne bezbednosti podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka sa više zakupaca.

Pre nego što počnete

  • Podesite primenu hibridne bezbednosti podataka sa više zakupaca.

  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka sa više zakupaca.

1

Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije kupca, a zatim kreirajte prostor.

Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje korisnici kreiraju više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

2

Pošaljite poruke novom prostoru.

3

Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS-u, filtrirajte kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

    Trebalo bi da pronađete unos kao što je:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

    Trebalo bi da pronađete unos kao što je: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridnu bezbednost podataka

Indikator statusa u okviru Partner Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka sa više zakupaca. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
1

U partnerskom čvorištu izaberite stavku Usluge u meniju sa leve strane ekrana.

2

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Uredi podešavanja.

Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
3

U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

Upravljajte primenom HDS-a

Upravljaj HDS primenom

Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

Da biste podesili raspored nadogradnje:

1

Prijavite se u čvorište partnera.

2

U meniju na levoj strani ekrana izaberite stavku Usluge.

3

U odeljku Usluge u oblaku pronađite hibridnu bezbednost podataka i kliknite na Podesi

4

Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

5

Kliknite na karticu Podešavanja klastera.

6

Na stranici Podešavanja klastera, u okviru Raspored nadogradnje izaberite vreme i vremensku zonu za raspored nadogradnje.

Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži za 24 sata.

Promeni konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:

  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

  • Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

Pre nego što počneš

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Partner Hub sa potpunim administratorskim pravima partnera.

    Ako nemate licencu za Docker Desktop, možete da koristite aplikaciju Podman Desktop da biste pokrenuli alatku za podešavanje HDS-a za korake 1.a do 1.e u nastavku. Detaljnije informacije potražite u članku Pokretanje alatke za podešavanje HDS pomoću aplikacije Podman Desktop .

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

1

Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

    U redovnim sredinama:

    docker rmi ciscocitg/hds-setup:stable

    U FedRAMP okruženjima:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

    docker login -u hdscustomersro

  3. Na poziv za lozinku unesite ovaj heš:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

    U redovnim sredinama:

    docker pull ciscocitg/hds-setup:stable

    U FedRAMP okruženjima:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

    • U redovnim okruženjima bez punomoćnika:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U redovnim okruženjima sa HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • U FedRAMP okruženjima bez proksija:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa http proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • U FedRAMP okruženjima sa HTTPS proksi:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

  7. Unesite akreditive za prijavljivanje kupca na Partner Hub, a zatim kliknite na Prihvati da biste nastavili.

  8. Uvezite trenutnu konfiguraciju ISO datoteke.

  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

    Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

2

Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

  1. Instalirajte HDS host JAJAŠCA.

  2. Podesite HDS VM.

  3. Montirajte ažuriranu konfiguracionu datoteku.

  4. Registrujte novi čvor u čvorištu partnera.

3

Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

  1. Isključi virtuelnu mašinu.

  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

  3. Kliknite CD/DVD Drive 1na dugme , izaberite opciju za montiranje iz ISO datoteke i pregledajte lokaciju na kojoj ste preuzeli novu ISO datoteku za konfiguraciju.

  4. Proverite Connect na napajanju.

  5. Sačuvajte promene i uključite virtuelnu mašinu.

4

Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Uklanjanje čvora

Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
1

Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

2

Ukloni čvor:

  1. Prijavite se u Partner Hub, a zatim izaberite stavku Usluge.

  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

  3. Izaberite klaster da biste prikazali panel sa pregledom.

  4. Kliknite na čvor koji želite da uklonite.

  5. Kliknite na opciju Odjavi ovaj čvor na tabli koja se pojavljuje na desnoj strani

  6. Takođe možete da odjavite čvor tako što ćete kliknuti na na desnoj strani čvora i izabrati stavku Ukloni ovaj čvor.

3

U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

Pre nego što počnete

Opozovite registraciju svih čvorova iz partnerskog čvorišta kao što je navedeno u odeljku Ukloni čvor. Koristite najnoviju ISO datoteku koja je bila konfigurisana protiv čvorova klastera koji je prethodno bio aktivan, da biste izvršili proceduru preuzimanja podataka navedenu u nastavku.
1

Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

2

Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

3

Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

4

U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

5

Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

6

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

7

Registrujte čvor u čvorištu partnera. Pogledajte članak Registruj prvi čvor u klasteru.

8

Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

Šta je sledeće

Nakon greške, ako primarni centar podataka ponovo postane aktivan, opozovite registraciju čvorova centra podataka u stanju pripravnosti i ponovite proces konfigurisanja ISO i registracije čvorova primarnog centra podataka kao što je gore pomenuto.

(Opcionalno) Uklonite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

Pre nego što počnete

Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1

Zatvorite jedan od HDS čvorova.

2

U vCenter serveru izaberite HDS čvor.

3

Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

4

Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

5

Ponovi za svaki HDS čvor.

Rešavanje problema hibridne bezbednosti podataka

Prikaz upozorenja i rešavanje problema

Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

  • Dešifrovanje poruka i naslova prostora nije uspelo za:

    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

Upozorenje

Radnja

Otkazivanje pristupa lokalnoj bazi podataka.

Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

Lokalna veza baze podataka nije uspela.

Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

Pristup usluzi u oblaku nije uspeo.

Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

Obnavljanje registracije usluge u oblaku.

Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

Registracija usluge u oblaku je opala.

Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

Usluga još nije aktivirana.

Aktivirajte HDS na portalu Partner Hub.

Konfigurisani domen se ne podudara sa sertifikatom servera.

Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

Potvrda identiteta za usluge u oblaku nije uspela.

Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

Otvaranje datoteke lokalne tastature nije uspelo.

Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

Sertifikat lokalnog servera je nevažeći.

Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

Nije moguće objaviti metriku.

Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

/media/configdrive/hds direktorijum ne postoji.

Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

Podešavanje organizacije zakupca nije završeno za dodate organizacije

Dovršite podešavanje kreiranjem CMK-ova za novododate organizacije zakupaca pomoću alatke za podešavanje HDS-a.

Podešavanje organizacije zakupca nije završeno za uklonjene organizacije

Dovršite podešavanje opozivanjem CMK-ova organizacija zakupaca koji su uklonjeni pomoću alatke za podešavanje HDS-a.

Rešavanje problema hibridne bezbednosti podataka

Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
1

Pregledajte partnersko čvorište da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze. Za referencu pogledajte sliku ispod.

2

Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka. Filter za reči kao što su „Upozorenje” i „Greška” koji će pomoći u rešavanju problema.

3

Obratite se podršci kompanije Cisco.

Druge napomene

Poznati problemi za hibridnu bezbednost podataka

  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na čvorištu partnera ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex neće više moći da koriste prostore u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat).

Pokrenite alatku za podešavanje HDS pomoću aplikacije Podman Desktop

Podman je besplatna i otvorena alatka za upravljanje kontejnerima koja obezbeđuje način za pokretanje i kreiranje kontejnera. Podman Desktop se može preuzeti sa lokacije https://podman-desktop.io/downloads.

  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Da biste mu pristupili, preuzmite i pokrenite Podman na toj mašini. Proces instalacije zahteva akreditive naloga kontrolnog čvorišta sa punim administratorskim pravima za vašu organizaciju.

    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

    Opis

    Promenljiva

    Http proksi bez provere autentičnosti

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proksi bez autentifikacije

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proksi sa autentifikacijom

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proksi sa autentifikacijom

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

    • Akreditivi za bazu podataka

    • Ažuriranja sertifikata

    • Promene politike autorizacije

  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

1

Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

U redovnim sredinama:

podman rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

podman rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

2

Da biste se prijavili u Docker registar slika, unesite sledeće:

podman login docker.io -u hdscustomersro
3

Na poziv za lozinku unesite ovaj heš:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovnim sredinama:

podman pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

  • U redovnim okruženjima bez punomoćnika:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • U redovnim okruženjima sa http proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U regularnim okruženjima sa HTTPS proxy serverom:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • U FedRAMP okruženjima bez proksija:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa http proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • U FedRAMP okruženjima sa HTTPS proksi:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

Šta je sledeće

Pratite preostale korake u odeljku Kreiranje konfiguracije ISO za HDS organizatore ili Promenite konfiguraciju čvora da biste kreirali ili promenili ISO konfiguraciju.

Koristite OpenSSL za generisanje PKCS12 datoteke

Pre nego što počnete

  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

  • Kreirajte privatni ključ.

  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

1

Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

2

Prikažite sertifikat kao tekst i proverite detalje.

openssl x509 -text -noout -in hdsnode.pem

3

Koristite uređivač teksta da biste kreirali komplet sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Kreirajte .p12 datoteku sa prijateljskim imenom kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Proverite detalje sertifikata servera.

  1. openssl pkcs12 -in hdsnode.p12

  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat sadrže linije friendlyName: kms-private-key.

    Primer:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Šta je sledeće

Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Datoteku hdsnode.p12 i lozinku koju ste za nju podesili ćete koristiti u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

  • Nadogradnje na softver čvora

Konfigurisanje proxy servera za hibridnu bezbednost podataka

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije skida tako da ignorišu wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu u squid.conf:

on_unsupported_protocol tunnel all

Lignje 3.5.27

Uspešno smo testirali hibridnu bezbednost podataka uz dodata sledeća pravila. squid.conf Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Da li je ovaj članak bio koristan?
Da li je ovaj članak bio koristan?
CeneAplikacija WebexSastanciCallingRazmena porukaDeljenje ekrana
Webex SuiteCallingSastanciRazmena porukaSlidoVebinariDogađajiContact CenterCPaaSBezbednostControl Hub
Slušalice sa mikrofonomKamereSerija radnih stolovaSerija RoomSerija BoardSerija telefonaDodatna oprema
ObrazovanjeZdravstvoUpravaFinansijeSport i zabavaPrva linijaNeprofitne organizacijeStartapoviHibridni rad
PreuzimanjaPridružite se probnom sastankuČasovi na mrežiIntegracijePristupačnostInkluzivnostVebinari uživo i na zahtevWebex zajednicaWebex za programereVesti i inovacije
CiscoObratite se podršciObratite se timu za prodajuWebex BlogWebex ideja liderstvaProdavnica Webex proizvodaKarijera
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
Uslovi i odredbeIzjava o privatnostiKolačićiZaštitni znakovi
©2025 Cisco i/ili povezana pravna lica. Sva prava zadržana.
Uslovi i odredbeIzjava o privatnostiKolačićiZaštitni znakovi