- Start
- /
- Artikel
Distributionsguide för Webex Hybrid-datasäkerhet
Ny och ändrad information
Datum | Ändringar som gjorts | ||
---|---|---|---|
20 oktober 2023 |
| ||
07 augusti 2023 |
| ||
23 maj 2023 |
| ||
06 december 2022 |
| ||
23 november 2022 |
| ||
13 oktober 2021 | Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet. | ||
24 juni 2021 | Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil. | ||
30 april 2021 | Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information. | ||
24 februari 2021 | HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information. | ||
2 februari 2021 | HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information. | ||
11 januari 2021 | Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna. | ||
13 oktober 2020 | Uppdaterade Hämta installationsfiler. | ||
8 oktober 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer. | ||
14 augusti 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen. | ||
5 augusti 2020 | Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden. Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar. | ||
16 juni 2020 | Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet. | ||
4 juni 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in. | ||
29 maj 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden. | ||
5 maj 2020 | Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5. | ||
21 april 2020 | Uppdaterade Externa anslutningskrav med nya Americas CI-värdar. | ||
1 april 2020 | Uppdaterade Externa anslutningskrav med information om regionala CI-värdar. | ||
20 februari 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget. | ||
4 februari 2020 | Uppdaterade Proxyserverkrav. | ||
16 december 2019 | Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav. | ||
19 november 2019 | Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt: | ||
8 november 2019 | Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt. Följande avsnitt har uppdaterats i enlighet med detta:
| ||
6 september 2019 | Lade till SQL-serverstandard till krav på databasserver. | ||
29:e augusti 2019 | Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift. | ||
20 augusti 2019 | Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet. För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät. | ||
13 juni 2019 | Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering. | ||
6 mars 2019 |
| ||
28 februari 2019 |
| ||
26 februari 2019 |
| ||
24 januari 2019 |
| ||
5 november 2018 |
| ||
19 oktober 2018 |
| ||
31 juli 2018 |
| ||
21 maj 2018 | Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:
| ||
11 april 2018 |
| ||
22 februari 2018 |
| ||
15 februari 2018 |
| ||
18 januari 2018 |
| ||
2 november 2017 |
| ||
18 augusti 2017 | Publicerad första gången |
Översikt över Hybrid-datasäkerhet
Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklar som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdata datacenter, så att ingen annan än du har nycklarna till ditt krypterade innehåll.
Arkitektur för säkerhetssfär
Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.
För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.
KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.
Förväntningar på distribution av Hybrid-datasäkerhet
En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
Den utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.
Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution. |
Konfigurationsprocess på hög nivå
Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:
Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.
Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.
Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för hybrid-datasäkerhet
I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.
Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)
Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)
Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.
Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.
Vi stöder endast ett kluster per organisation.
Testläge för hybrid-datasäkerhet
När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.
Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.
Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.
Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.
De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern. |
Konfigurera Standby-datacenter för katastrofåterställning
Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:
Innan du börjar
Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)
Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.
1 | Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.
| ||
2 | När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar | ||
3 | På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.
| ||
4 | Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. | ||
5 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||
6 | I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar.. | ||
7 | Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.
| ||
8 | Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. | ||
9 | Upprepa processen för varje nod i standby-datacentret.
|
Nästa steg
Efter konfiguration passiveMode
i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode
konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode
konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.
Support för proxy
Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministrationsgränssnitt på noderna för certifikathantering och för att kontrollera den övergripande anslutningsstatusen när du har konfigurerat proxyn på noderna.
Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:
Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.
Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.
Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:
HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.
HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.
Autentiseringstyp – Välj bland följande autentiseringstyper:
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.
Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.
Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.
Kräver att du anger användarnamn och lösenord på varje nod.
Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.
Endast tillgängligt om du väljer HTTPS som proxyprotokoll.
Kräver att du anger användarnamn och lösenord på varje nod.
Exempel på hybrid-datasäkerhetsnoder och proxy
Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.
Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)
När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.
Krav för hybrid-datasäkerhet
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet:
Du måste ha Pro Pack för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Krav på Docker-skrivbord
Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en avgiftsbelagd prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget ” Docker uppdaterar och utökar våra produktprenumerationer ”.
X.509 certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav | Detaljer |
---|---|
| Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (wildcard). CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner. |
| KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS. |
| Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav på virtuell värd
De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter
VM-programvara ESXi 6.5 (eller senare) installerad och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade. |
Det finns två alternativ för databasserver. Kraven för var och en är följande:
Postra SQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet) | Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:
Postra SQL | Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 | SQL-server JDBC-drivrutin 4.6 Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.
Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.
DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.
HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:
Program | Protokoll | Port | Riktning från appen | Destination |
---|---|---|---|---|
Hybrid-datasäkerhetsnoder | TCP | 443 | Utgående HTTPS och WSS |
|
HDS-konfigurationsverktyg | TCP | 443 | Utgående HTTPS |
|
Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål. |
URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:
Region | Gemensamma URL:er för identitetsvärd |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Krav på proxyserver
Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.
Transparent proxy – Cisco Web Security Appliance (WSA).
Explicit proxy – Squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.
Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:
Ingen autentisering med HTTP eller HTTPS
Grundläggande autentisering med HTTP eller HTTPS
Smälta autentisering endast med HTTPS
För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.
Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.
Proxyservrar som inspekterar webbtrafik kan störa webbsocketanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till
wbx2.com
ochciscospark.com
löser problemet.
Slutför förutsättningarna för Hybrid-datasäkerhet
1 | Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen. | ||
2 | Välj ett domännamn för din HDS-distribution (till exempel | ||
3 | Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements. | ||
4 | Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna. | ||
5 | Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. | ||
6 | Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514). | ||
7 | Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.
Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar. | ||
8 | Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav. | ||
9 | Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav. | ||
10 | Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven. | ||
11 | Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas
|
Datasäkerhetsdistributionsflöde för hybrid
Innan du börjar
1 |
Hämta OVA-filen till din lokala dator för senare användning. | ||
2 | Skapa en konfigurations-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna. | ||
3 |
Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.
| ||
4 | Konfigurera VM för hybrid-datasäkerhet Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. | ||
5 | Ladda upp och montera HDS-konfigurationens ISO Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget. | ||
6 | Konfigurera HDS-noden för proxyintegrering Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs. | ||
7 | Registrera den första noden i klustret Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. | ||
8 | Skapa och registrera fler noder Slutför klusterkonfigurationen. | ||
9 | Kör en provperiod och flytta till produktion (nästa kapitel) Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad. |
Hämta installationsfiler
1 | Logga in på https://admin.webex.com och klicka sedan på Tjänster. | ||||
2 | I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera. Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.
| ||||
3 | Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa. OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
| ||||
4 | Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden. |
Skapa en konfigurations-ISO för HDS-värdarna
Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxy utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:
Inloggningsuppgifter för databas
Certifikatuppdateringar
Ändringar i behörighetspolicy
Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.
1 | På datorns kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer:
I FedRAMP-miljöer:
| ||||||||||||
2 | För att logga in på Docker-avbildningsregistret anger du följande:
| ||||||||||||
3 | Vid lösenordsuppmaningen anger du denna hash:
| ||||||||||||
4 | Hämta den senaste stabila bilden för din miljö: I vanliga miljöer:
I FedRAMP-miljöer:
| ||||||||||||
5 | När pull-funktionen är klar anger du lämpligt kommando för din miljö:
När behållaren körs visas ”Expressservern lyssnar på port 8080”. | ||||||||||||
6 |
Använd en webbläsare för att gå till lokaliseringsvärden Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning. | ||||||||||||
7 | När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||||
8 | Klicka på Kom igång på översiktssidan Konfigurationsverktyg. | ||||||||||||
9 | På sidan ISO-import har du följande alternativ:
| ||||||||||||
10 | Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.
| ||||||||||||
11 | Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank: | ||||||||||||
12 | Välj ett TLS-databasanslutningsläge:
När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatundertecknaren och värdnamnet, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||||
13 | Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||||
14 | (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:
| ||||||||||||
15 | Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton . Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer. | ||||||||||||
16 | Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||||
17 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||||||||||||
18 | För att stänga av installationsverktyget skriver du |
Nästa steg
Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.
Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den. |
Installera HDS-värd-OVA
1 | Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi. | ||||||
2 | Välj Fil > Distribuera OVF-mall. | ||||||
3 | I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa. | ||||||
4 | På Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa. | ||||||
5 | På Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. | ||||||
6 | Verifiera mallinformationen och klicka sedan på Nästa. | ||||||
7 | Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa. | ||||||
8 | På Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy. | ||||||
9 | På Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM. | ||||||
10 | På sidan Anpassa mall konfigurerar du följande nätverksinställningar:
Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.
| ||||||
11 | Högerklicka på nodens VM och välj sedan .Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in. |
Konfigurera VM för hybrid-datasäkerhet
Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 | I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol. VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
|
2 | Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 | Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn. |
4 | Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 | (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn. Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 | Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft. |
Ladda upp och montera HDS-konfigurationens ISO
Innan du börjar
Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.
1 | Ladda upp ISO-filen från datorn: |
2 | Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxyintegrering
Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.
Innan du börjar
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 | Ange URL för konfiguration av HDS-nod |
2 | Gå till Trust Store och Proxy och välj sedan ett alternativ:
Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy. |
3 | Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn. Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen. |
4 | Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn. Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet. Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge. |
5 | När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft. |
6 | Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo. Noden startas om inom några minuter. |
7 | När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status. Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.
Innan du börjar
När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.
Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 | Logga in på https://admin.webex.com. |
2 | I menyn till vänster på skärmen väljer du Tjänster. |
3 | I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera. Sidan Registrera datasäkerhetsnod för hybrid visas.
|
4 | Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa. |
5 | I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till. Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa. Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet. Ett meddelande visas som visar att du kan registrera din nod i Webex.
|
7 | Klicka på Gå till nod. |
8 | Klicka på Fortsätt i varningsmeddelandet. Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
|
9 | Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
10 | Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center. |
Innan du börjar
När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.
Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 | Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 | Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet. |
3 | På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO. |
4 | Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 | Registrera noden. Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.
|
Nästa steg
Provperiod till produktionsflöde
När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.
Innan du börjar
1 | Synkronisera om tillämpligt Om din organisation använder katalogsynkronisering för användare måste du välja |
2 |
Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad. |
3 | Testa din distribution av hybrid-datasäkerhet Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet. |
4 | Övervaka datasäkerhet för hybrid Kontrollera status och konfigurera e-postaviseringar för larm. |
5 | |
6 | Slutför provfasen med någon av följande åtgärder: |
Aktivera provperiod
Innan du börjar
Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup
gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.
1 | Logga in på https://admin.webex.com och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Starta provperiod i avsnittet Tjänstestatus. Tjänstens status ändras till provläge.
|
4 | Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster. (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, |
Testa din distribution av hybrid-datasäkerhet
Innan du börjar
Konfigurera din distribution av hybrid-datasäkerhet.
Aktivera provperioden och lägg till flera provanvändare.
Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.
1 | Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.
| ||
2 | Skicka meddelanden till det nya utrymmet. | ||
3 | Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 | I Control Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 | I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar. Sidan Hybrid-datasäkerhetsinställningar visas.
|
3 | I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Lägg till eller ta bort användare från din provperiod
Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.
Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup
; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden. |
4 | Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara . |
Flytta från provperiod till produktion
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Flytta till produktion i avsnittet Tjänstestatus. |
4 | Bekräfta att du vill flytta alla dina användare till produktion. |
Avsluta din provperiod utan att gå till produktion
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Inaktivera i avsnittet Inaktivera. |
4 | Bekräfta att du vill inaktivera tjänsten och avsluta provperioden. |
Hantera HDS-distribution
Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 | Logga in på Control Hub. |
2 | Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt. |
3 | Välj klustret på sidan Resurser för datasäkerhet för hybrid. |
4 | Välj klusternamnet under Klusterinställningar i panelen Översikt till höger. |
5 | Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering. Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga. |
Ändra nodkonfigurationen
Ändra x.509-certifikat på grund av utgångsdatum eller av andra orsaker.
Vi har inte stöd för att ändra CN domännamn för ett certifikat. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
Uppdatera databasinställningar för att ändra till en replik av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har inte stöd för migrering av data från PostgreSQL till Microsoft SQL Server, eller på motsatt sätt. Om du vill byta databasmiljö startar du en ny distribution av Hybrid Data Security.
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder tjänsten Hybrid-datasäkerhet kontolösenord som är giltiga i nio månader. HDS-konfigurationsverktyget skapar dessa lösenord och du distribuerar dem till var och en av dina HDS-noder som en del av ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande om utgående lösenord från Webex-teamet, där du ombeds återställa lösenordet för datorns konto. (E-postmeddelandet innehåller texten ”Använd maskinkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har upphört att gälla ännu har du två alternativ i verktyget:
Mjuk återställning – Det gamla och det nya lösenordet fungerar båda i upp till 10 dagar. Använd den här perioden för att gradvis ersätta ISO-filen på noderna.
Hård återställning – De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan en återställning påverkar det din HDS-tjänst, vilket kräver en omedelbar hård återställning och byte av ISO-filen på alla noder.
Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxy utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar av behörighetsprincip.
1 | Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 | Om du bara har en HDS-nod igång skapar du en ny virtuell dator för noder och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 | För befintliga HDS-noder som kör den äldre konfigurationsfil du montera ISO-filen. Utför följande procedur på varje nod i tur och ordning, uppdatera varje nod innan du stänger av nästa nod: |
4 | Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Stäng av blockerat externt DNS-upplösningsläge
När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.
Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.
Innan du börjar
1 | I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in. |
2 | Gå till Översikt (standardsidan). När den är aktiverad Blockerad extern DNS-upplösning är inställd på Ja . |
3 | Gå till sidan Trust Store och Proxy. |
4 | Klicka på Kontrollera proxyanslutning. Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej. |
Nästa steg
Ta bort en nod
1 | Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 | Ta bort noden: |
3 | I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.) Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata. |
Katastrofåterställning med väntedatacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.
1 | Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. | ||
2 | När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar | ||
3 | På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort
| ||
4 | Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. | ||
5 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||
6 | I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar.. | ||
7 | Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.
| ||
8 | Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. | ||
9 | Upprepa processen för varje nod i standby-datacentret.
|
Nästa steg
(Valfritt) Ta bort ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 | Stäng av en av dina HDS-noder. |
2 | Välj HDS-noden i vCenter-serverenheten. |
3 | Välj Datastore ISO-fil. och avmarkera |
4 | Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter. |
5 | Upprepa för varje HDS-nod i tur och ordning. |
Visa aviseringar och felsökning
En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:
Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)
Meddelanden och utrymmestilar kan inte avkrypteras för:
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)
Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.
Aviseringar
Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.
Varning | Åtgärd |
---|---|
Åtkomst till lokal databas misslyckades. |
Kontrollera om det finns databasfel eller problem i det lokala nätverket. |
Det gick inte att ansluta till den lokala databasen. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen. |
Åtkomst till molntjänsten misslyckades. |
Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning. |
Förnyar molntjänstregistrering. |
Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår. |
Molntjänsternas registrering avbröts. |
Registreringen till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är inte aktiverad än. |
Aktivera en provperiod eller avsluta att flytta provperioden till produktion. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna filen för lokal keystore. |
Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet. |
Det gick inte att posta värden. |
Kontrollera åtkomst till det lokala nätverket till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats. |
Felsöka Hybrid-datasäkerhet
1 | Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där. |
2 | Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet. |
3 | Kontakta Ciscos support. |
Kända problem med Hybrid-datasäkerhet
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.
Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.
Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.
Skapa en privat nyckel.
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 | När du tar emot servercertifikatet från din CA sparar du det som |
2 | Visa certifikatet som text och verifiera informationen.
|
3 | Använd en textredigerare för att skapa en certifikatpaket som kallas
|
4 | Skapa .p12-filen med det vänliga namnet
|
5 | Kontrollera servercertifikatinformationen. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12
filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör. |
Trafik mellan HDS-noderna och molnet
Samlingstrafik för utgående mätvärden
Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
Uppgraderar till nodprogramvaran
Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet
Websocket kan inte ansluta via Squid-proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:
) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss:
trafik för att tjänsterna skall fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktiv till squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Ny och ändrad information
Datum | Ändringar som gjorts | ||
---|---|---|---|
20 oktober 2023 |
| ||
07 augusti 2023 |
| ||
23 maj 2023 |
| ||
06 december 2022 |
| ||
23 november 2022 |
| ||
13 oktober 2021 | Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet. | ||
24 juni 2021 | Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil. | ||
30 april 2021 | Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information. | ||
24 februari 2021 | HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information. | ||
2 februari 2021 | HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information. | ||
11 januari 2021 | Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna. | ||
13 oktober 2020 | Uppdaterade Hämta installationsfiler. | ||
8 oktober 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer. | ||
14 augusti 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen. | ||
5 augusti 2020 | Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden. Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar. | ||
16 juni 2020 | Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet. | ||
4 juni 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in. | ||
29 maj 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden. | ||
5 maj 2020 | Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5. | ||
21 april 2020 | Uppdaterade Externa anslutningskrav med nya Americas CI-värdar. | ||
1 april 2020 | Uppdaterade Externa anslutningskrav med information om regionala CI-värdar. | ||
20 februari 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget. | ||
4 februari 2020 | Uppdaterade Proxyserverkrav. | ||
16 december 2019 | Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav. | ||
19 november 2019 | Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt: | ||
8 november 2019 | Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt. Följande avsnitt har uppdaterats i enlighet med detta:
| ||
6 september 2019 | Lade till SQL-serverstandard till krav på databasserver. | ||
29:e augusti 2019 | Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift. | ||
20 augusti 2019 | Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet. För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät. | ||
13 juni 2019 | Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering. | ||
6 mars 2019 |
| ||
28 februari 2019 |
| ||
26 februari 2019 |
| ||
24 januari 2019 |
| ||
5 november 2018 |
| ||
19 oktober 2018 |
| ||
31 juli 2018 |
| ||
21 maj 2018 | Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:
| ||
11 april 2018 |
| ||
22 februari 2018 |
| ||
15 februari 2018 |
| ||
18 januari 2018 |
| ||
2 november 2017 |
| ||
18 augusti 2017 | Publicerad första gången |
Översikt över Hybrid-datasäkerhet
Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklar som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdata datacenter, så att ingen annan än du har nycklarna till ditt krypterade innehåll.
Arkitektur för säkerhetssfär
Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.
För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.
KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.
Förväntningar på distribution av Hybrid-datasäkerhet
En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
Den utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.
Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution. |
Konfigurationsprocess på hög nivå
Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:
Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.
Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.
Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för hybrid-datasäkerhet
I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.
Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)
Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)
Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.
Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.
Vi stöder endast ett kluster per organisation.
Testläge för hybrid-datasäkerhet
När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.
Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.
Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.
Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.
De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern. |
Konfigurera Standby-datacenter för katastrofåterställning
Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:
Innan du börjar
Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)
Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.
1 | Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.
| ||
2 | När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar | ||
3 | På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.
| ||
4 | Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. | ||
5 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||
6 | I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar.. | ||
7 | Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.
| ||
8 | Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. | ||
9 | Upprepa processen för varje nod i standby-datacentret.
|
Nästa steg
Efter konfiguration passiveMode
i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode
konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode
konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.
Support för proxy
Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministrationsgränssnitt på noderna för certifikathantering och för att kontrollera den övergripande anslutningsstatusen när du har konfigurerat proxyn på noderna.
Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:
Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.
Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.
Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:
HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.
HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.
Autentiseringstyp – Välj bland följande autentiseringstyper:
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.
Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.
Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.
Kräver att du anger användarnamn och lösenord på varje nod.
Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.
Endast tillgängligt om du väljer HTTPS som proxyprotokoll.
Kräver att du anger användarnamn och lösenord på varje nod.
Exempel på hybrid-datasäkerhetsnoder och proxy
Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.
Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)
När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.
Krav för hybrid-datasäkerhet
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet:
Du måste ha Pro Pack för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Krav på Docker-skrivbord
Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en avgiftsbelagd prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget ” Docker uppdaterar och utökar våra produktprenumerationer ”.
X.509 certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav | Detaljer |
---|---|
| Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (wildcard). CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner. |
| KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS. |
| Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav på virtuell värd
De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter
VM-programvara ESXi 6.5 (eller senare) installerad och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade. |
Det finns två alternativ för databasserver. Kraven för var och en är följande:
Postra SQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet) | Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:
Postra SQL | Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 | SQL-server JDBC-drivrutin 4.6 Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.
Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.
DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.
HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:
Program | Protokoll | Port | Riktning från appen | Destination |
---|---|---|---|---|
Hybrid-datasäkerhetsnoder | TCP | 443 | Utgående HTTPS och WSS |
|
HDS-konfigurationsverktyg | TCP | 443 | Utgående HTTPS |
|
Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål. |
URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:
Region | Gemensamma URL:er för identitetsvärd |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Krav på proxyserver
Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.
Transparent proxy – Cisco Web Security Appliance (WSA).
Explicit proxy – Squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.
Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:
Ingen autentisering med HTTP eller HTTPS
Grundläggande autentisering med HTTP eller HTTPS
Smälta autentisering endast med HTTPS
För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.
Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.
Proxyservrar som inspekterar webbtrafik kan störa webbsocketanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till
wbx2.com
ochciscospark.com
löser problemet.
Slutför förutsättningarna för Hybrid-datasäkerhet
1 | Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen. | ||
2 | Välj ett domännamn för din HDS-distribution (till exempel | ||
3 | Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements. | ||
4 | Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna. | ||
5 | Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. | ||
6 | Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514). | ||
7 | Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.
Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar. | ||
8 | Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav. | ||
9 | Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav. | ||
10 | Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven. | ||
11 | Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas
|
Datasäkerhetsdistributionsflöde för hybrid
Innan du börjar
1 |
Hämta OVA-filen till din lokala dator för senare användning. | ||
2 | Skapa en konfigurations-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna. | ||
3 |
Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.
| ||
4 | Konfigurera VM för hybrid-datasäkerhet Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. | ||
5 | Ladda upp och montera HDS-konfigurationens ISO Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget. | ||
6 | Konfigurera HDS-noden för proxyintegrering Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs. | ||
7 | Registrera den första noden i klustret Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. | ||
8 | Skapa och registrera fler noder Slutför klusterkonfigurationen. | ||
9 | Kör en provperiod och flytta till produktion (nästa kapitel) Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad. |
Hämta installationsfiler
1 | Logga in på https://admin.webex.com och klicka sedan på Tjänster. | ||||
2 | I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera. Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.
| ||||
3 | Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa. OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
| ||||
4 | Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden. |
Skapa en konfigurations-ISO för HDS-värdarna
Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxy utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:
Inloggningsuppgifter för databas
Certifikatuppdateringar
Ändringar i behörighetspolicy
Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.
1 | På datorns kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer:
I FedRAMP-miljöer:
| ||||||||||||
2 | För att logga in på Docker-avbildningsregistret anger du följande:
| ||||||||||||
3 | Vid lösenordsuppmaningen anger du denna hash:
| ||||||||||||
4 | Hämta den senaste stabila bilden för din miljö: I vanliga miljöer:
I FedRAMP-miljöer:
| ||||||||||||
5 | När pull-funktionen är klar anger du lämpligt kommando för din miljö:
När behållaren körs visas ”Expressservern lyssnar på port 8080”. | ||||||||||||
6 |
Använd en webbläsare för att gå till lokaliseringsvärden Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning. | ||||||||||||
7 | När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||||
8 | Klicka på Kom igång på översiktssidan Konfigurationsverktyg. | ||||||||||||
9 | På sidan ISO-import har du följande alternativ:
| ||||||||||||
10 | Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.
| ||||||||||||
11 | Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank: | ||||||||||||
12 | Välj ett TLS-databasanslutningsläge:
När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatundertecknaren och värdnamnet, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||||
13 | Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||||
14 | (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:
| ||||||||||||
15 | Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton . Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer. | ||||||||||||
16 | Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||||
17 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||||||||||||
18 | För att stänga av installationsverktyget skriver du |
Nästa steg
Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.
Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den. |
Installera HDS-värd-OVA
1 | Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi. | ||||||
2 | Välj Fil > Distribuera OVF-mall. | ||||||
3 | I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa. | ||||||
4 | På Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa. | ||||||
5 | På Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. | ||||||
6 | Verifiera mallinformationen och klicka sedan på Nästa. | ||||||
7 | Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa. | ||||||
8 | På Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy. | ||||||
9 | På Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM. | ||||||
10 | På sidan Anpassa mall konfigurerar du följande nätverksinställningar:
Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.
| ||||||
11 | Högerklicka på nodens VM och välj sedan .Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in. |
Konfigurera VM för hybrid-datasäkerhet
Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 | I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol. VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
|
2 | Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 | Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn. |
4 | Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 | (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn. Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 | Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft. |
Ladda upp och montera HDS-konfigurationens ISO
Innan du börjar
Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.
1 | Ladda upp ISO-filen från datorn: |
2 | Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxyintegrering
Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.
Innan du börjar
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 | Ange URL för konfiguration av HDS-nod |
2 | Gå till Trust Store och Proxy och välj sedan ett alternativ:
Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy. |
3 | Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn. Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen. |
4 | Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn. Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet. Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge. |
5 | När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft. |
6 | Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo. Noden startas om inom några minuter. |
7 | När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status. Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.
Innan du börjar
När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.
Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 | Logga in på https://admin.webex.com. |
2 | I menyn till vänster på skärmen väljer du Tjänster. |
3 | I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera. Sidan Registrera datasäkerhetsnod för hybrid visas.
|
4 | Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa. |
5 | I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till. Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa. Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet. Ett meddelande visas som visar att du kan registrera din nod i Webex.
|
7 | Klicka på Gå till nod. |
8 | Klicka på Fortsätt i varningsmeddelandet. Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
|
9 | Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
10 | Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center. |
Innan du börjar
När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.
Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 | Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 | Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet. |
3 | På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO. |
4 | Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 | Registrera noden. Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.
|
Nästa steg
Provperiod till produktionsflöde
När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.
Innan du börjar
1 | Synkronisera om tillämpligt Om din organisation använder katalogsynkronisering för användare måste du välja |
2 |
Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad. |
3 | Testa din distribution av hybrid-datasäkerhet Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet. |
4 | Övervaka datasäkerhet för hybrid Kontrollera status och konfigurera e-postaviseringar för larm. |
5 | |
6 | Slutför provfasen med någon av följande åtgärder: |
Aktivera provperiod
Innan du börjar
Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup
gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.
1 | Logga in på https://admin.webex.com och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Starta provperiod i avsnittet Tjänstestatus. Tjänstens status ändras till provläge.
|
4 | Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster. (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, |
Testa din distribution av hybrid-datasäkerhet
Innan du börjar
Konfigurera din distribution av hybrid-datasäkerhet.
Aktivera provperioden och lägg till flera provanvändare.
Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.
1 | Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.
| ||
2 | Skicka meddelanden till det nya utrymmet. | ||
3 | Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 | I Control Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 | I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar. Sidan Hybrid-datasäkerhetsinställningar visas.
|
3 | I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Lägg till eller ta bort användare från din provperiod
Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.
Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup
; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden. |
4 | Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara . |
Flytta från provperiod till produktion
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Flytta till produktion i avsnittet Tjänstestatus. |
4 | Bekräfta att du vill flytta alla dina användare till produktion. |
Avsluta din provperiod utan att gå till produktion
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Inaktivera i avsnittet Inaktivera. |
4 | Bekräfta att du vill inaktivera tjänsten och avsluta provperioden. |
Hantera HDS-distribution
Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 | Logga in på Control Hub. |
2 | Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt. |
3 | Välj klustret på sidan Resurser för datasäkerhet för hybrid. |
4 | Välj klusternamnet under Klusterinställningar i panelen Översikt till höger. |
5 | Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering. Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga. |
Ändra nodkonfigurationen
Ändra x.509-certifikat på grund av utgångsdatum eller av andra orsaker.
Vi har inte stöd för att ändra CN domännamn för ett certifikat. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
Uppdatera databasinställningar för att ändra till en replik av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har inte stöd för migrering av data från PostgreSQL till Microsoft SQL Server, eller på motsatt sätt. Om du vill byta databasmiljö startar du en ny distribution av Hybrid Data Security.
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder tjänsten Hybrid-datasäkerhet kontolösenord som är giltiga i nio månader. HDS-konfigurationsverktyget skapar dessa lösenord och du distribuerar dem till var och en av dina HDS-noder som en del av ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande om utgående lösenord från Webex-teamet, där du ombeds återställa lösenordet för datorns konto. (E-postmeddelandet innehåller texten ”Använd maskinkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har upphört att gälla ännu har du två alternativ i verktyget:
Mjuk återställning – Det gamla och det nya lösenordet fungerar båda i upp till 10 dagar. Använd den här perioden för att gradvis ersätta ISO-filen på noderna.
Hård återställning – De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan en återställning påverkar det din HDS-tjänst, vilket kräver en omedelbar hård återställning och byte av ISO-filen på alla noder.
Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxy utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar av behörighetsprincip.
1 | Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 | Om du bara har en HDS-nod igång skapar du en ny virtuell dator för noder och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 | För befintliga HDS-noder som kör den äldre konfigurationsfil du montera ISO-filen. Utför följande procedur på varje nod i tur och ordning, uppdatera varje nod innan du stänger av nästa nod: |
4 | Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Stäng av blockerat externt DNS-upplösningsläge
När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.
Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.
Innan du börjar
1 | I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in. |
2 | Gå till Översikt (standardsidan). När den är aktiverad Blockerad extern DNS-upplösning är inställd på Ja . |
3 | Gå till sidan Trust Store och Proxy. |
4 | Klicka på Kontrollera proxyanslutning. Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej. |
Nästa steg
Ta bort en nod
1 | Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 | Ta bort noden: |
3 | I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.) Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata. |
Katastrofåterställning med väntedatacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.
1 | Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. | ||
2 | När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar | ||
3 | På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort
| ||
4 | Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. | ||
5 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||
6 | I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar.. | ||
7 | Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.
| ||
8 | Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. | ||
9 | Upprepa processen för varje nod i standby-datacentret.
|
Nästa steg
(Valfritt) Ta bort ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 | Stäng av en av dina HDS-noder. |
2 | Välj HDS-noden i vCenter-serverenheten. |
3 | Välj Datastore ISO-fil. och avmarkera |
4 | Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter. |
5 | Upprepa för varje HDS-nod i tur och ordning. |
Visa aviseringar och felsökning
En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:
Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)
Meddelanden och utrymmestilar kan inte avkrypteras för:
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)
Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.
Aviseringar
Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.
Varning | Åtgärd |
---|---|
Åtkomst till lokal databas misslyckades. |
Kontrollera om det finns databasfel eller problem i det lokala nätverket. |
Det gick inte att ansluta till den lokala databasen. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen. |
Åtkomst till molntjänsten misslyckades. |
Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning. |
Förnyar molntjänstregistrering. |
Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår. |
Molntjänsternas registrering avbröts. |
Registreringen till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är inte aktiverad än. |
Aktivera en provperiod eller avsluta att flytta provperioden till produktion. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna filen för lokal keystore. |
Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet. |
Det gick inte att posta värden. |
Kontrollera åtkomst till det lokala nätverket till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats. |
Felsöka Hybrid-datasäkerhet
1 | Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där. |
2 | Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet. |
3 | Kontakta Ciscos support. |
Kända problem med Hybrid-datasäkerhet
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.
Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.
Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.
Skapa en privat nyckel.
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 | När du tar emot servercertifikatet från din CA sparar du det som |
2 | Visa certifikatet som text och verifiera informationen.
|
3 | Använd en textredigerare för att skapa en certifikatpaket som kallas
|
4 | Skapa .p12-filen med det vänliga namnet
|
5 | Kontrollera servercertifikatinformationen. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12
filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör. |
Trafik mellan HDS-noderna och molnet
Samlingstrafik för utgående mätvärden
Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
Uppgraderar till nodprogramvaran
Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet
Websocket kan inte ansluta via Squid-proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:
) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss:
trafik för att tjänsterna skall fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktiv till squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Ny och ändrad information
Datum | Ändringar som gjorts | ||
---|---|---|---|
20 oktober 2023 |
| ||
07 augusti 2023 |
| ||
23 maj 2023 |
| ||
06 december 2022 |
| ||
23 november 2022 |
| ||
13 oktober 2021 | Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet. | ||
24 juni 2021 | Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil. | ||
30 april 2021 | Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information. | ||
24 februari 2021 | HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information. | ||
2 februari 2021 | HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information. | ||
11 januari 2021 | Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna. | ||
13 oktober 2020 | Uppdaterade Hämta installationsfiler. | ||
8 oktober 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer. | ||
14 augusti 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen. | ||
5 augusti 2020 | Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden. Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar. | ||
16 juni 2020 | Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet. | ||
4 juni 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in. | ||
29 maj 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden. | ||
5 maj 2020 | Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5. | ||
21 april 2020 | Uppdaterade Externa anslutningskrav med nya Americas CI-värdar. | ||
1 april 2020 | Uppdaterade Externa anslutningskrav med information om regionala CI-värdar. | ||
20 februari 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget. | ||
4 februari 2020 | Uppdaterade Proxyserverkrav. | ||
16 december 2019 | Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav. | ||
19 november 2019 | Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt: | ||
8 november 2019 | Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt. Följande avsnitt har uppdaterats i enlighet med detta:
| ||
6 september 2019 | Lade till SQL-serverstandard till krav på databasserver. | ||
29:e augusti 2019 | Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift. | ||
20 augusti 2019 | Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet. För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät. | ||
13 juni 2019 | Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering. | ||
6 mars 2019 |
| ||
28 februari 2019 |
| ||
26 februari 2019 |
| ||
24 januari 2019 |
| ||
5 november 2018 |
| ||
19 oktober 2018 |
| ||
31 juli 2018 |
| ||
21 maj 2018 | Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:
| ||
11 april 2018 |
| ||
22 februari 2018 |
| ||
15 februari 2018 |
| ||
18 januari 2018 |
| ||
2 november 2017 |
| ||
18 augusti 2017 | Publicerad första gången |
Översikt över Hybrid-datasäkerhet
Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklar som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdata datacenter, så att ingen annan än du har nycklarna till ditt krypterade innehåll.
Arkitektur för säkerhetssfär
Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.
För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.
KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.
Förväntningar på distribution av Hybrid-datasäkerhet
En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
Den utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.
Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution. |
Konfigurationsprocess på hög nivå
Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:
Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.
Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.
Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för hybrid-datasäkerhet
I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.
Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)
Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)
Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.
Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.
Vi stöder endast ett kluster per organisation.
Testläge för hybrid-datasäkerhet
När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.
Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.
Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.
Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.
De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern. |
Konfigurera Standby-datacenter för katastrofåterställning
Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:
Innan du börjar
Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)
Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.
1 | Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.
| ||
2 | När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar | ||
3 | På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.
| ||
4 | Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. | ||
5 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||
6 | I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar.. | ||
7 | Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.
| ||
8 | Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. | ||
9 | Upprepa processen för varje nod i standby-datacentret.
|
Nästa steg
Efter konfiguration passiveMode
i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode
konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode
konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.
Support för proxy
Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministrationsgränssnitt på noderna för certifikathantering och för att kontrollera den övergripande anslutningsstatusen när du har konfigurerat proxyn på noderna.
Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:
Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.
Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.
Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:
HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.
HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.
Autentiseringstyp – Välj bland följande autentiseringstyper:
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.
Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.
Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.
Kräver att du anger användarnamn och lösenord på varje nod.
Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.
Endast tillgängligt om du väljer HTTPS som proxyprotokoll.
Kräver att du anger användarnamn och lösenord på varje nod.
Exempel på hybrid-datasäkerhetsnoder och proxy
Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.
Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)
När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.
Krav för hybrid-datasäkerhet
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet:
Du måste ha Pro Pack för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Krav på Docker-skrivbord
Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en avgiftsbelagd prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget ” Docker uppdaterar och utökar våra produktprenumerationer ”.
X.509 certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav | Detaljer |
---|---|
| Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (wildcard). CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner. |
| KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS. |
| Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav på virtuell värd
De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter
VM-programvara ESXi 6.5 (eller senare) installerad och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade. |
Det finns två alternativ för databasserver. Kraven för var och en är följande:
Postra SQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet) | Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:
Postra SQL | Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 | SQL-server JDBC-drivrutin 4.6 Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.
Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.
DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.
HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:
Program | Protokoll | Port | Riktning från appen | Destination |
---|---|---|---|---|
Hybrid-datasäkerhetsnoder | TCP | 443 | Utgående HTTPS och WSS |
|
HDS-konfigurationsverktyg | TCP | 443 | Utgående HTTPS |
|
Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål. |
URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:
Region | Gemensamma URL:er för identitetsvärd |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Krav på proxyserver
Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.
Transparent proxy – Cisco Web Security Appliance (WSA).
Explicit proxy – Squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.
Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:
Ingen autentisering med HTTP eller HTTPS
Grundläggande autentisering med HTTP eller HTTPS
Smälta autentisering endast med HTTPS
För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.
Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.
Proxyservrar som inspekterar webbtrafik kan störa webbsocketanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till
wbx2.com
ochciscospark.com
löser problemet.
Slutför förutsättningarna för Hybrid-datasäkerhet
1 | Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen. | ||
2 | Välj ett domännamn för din HDS-distribution (till exempel | ||
3 | Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements. | ||
4 | Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna. | ||
5 | Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. | ||
6 | Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514). | ||
7 | Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.
Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar. | ||
8 | Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav. | ||
9 | Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav. | ||
10 | Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven. | ||
11 | Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas
|
Datasäkerhetsdistributionsflöde för hybrid
Innan du börjar
1 |
Hämta OVA-filen till din lokala dator för senare användning. | ||
2 | Skapa en konfigurations-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna. | ||
3 |
Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.
| ||
4 | Konfigurera VM för hybrid-datasäkerhet Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. | ||
5 | Ladda upp och montera HDS-konfigurationens ISO Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget. | ||
6 | Konfigurera HDS-noden för proxyintegrering Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs. | ||
7 | Registrera den första noden i klustret Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. | ||
8 | Skapa och registrera fler noder Slutför klusterkonfigurationen. | ||
9 | Kör en provperiod och flytta till produktion (nästa kapitel) Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad. |
Hämta installationsfiler
1 | Logga in på https://admin.webex.com och klicka sedan på Tjänster. | ||||
2 | I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera. Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.
| ||||
3 | Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa. OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
| ||||
4 | Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden. |
Skapa en konfigurations-ISO för HDS-värdarna
Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxy utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:
Inloggningsuppgifter för databas
Certifikatuppdateringar
Ändringar i behörighetspolicy
Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.
1 | På datorns kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer:
I FedRAMP-miljöer:
| ||||||||||||
2 | För att logga in på Docker-avbildningsregistret anger du följande:
| ||||||||||||
3 | Vid lösenordsuppmaningen anger du denna hash:
| ||||||||||||
4 | Hämta den senaste stabila bilden för din miljö: I vanliga miljöer:
I FedRAMP-miljöer:
| ||||||||||||
5 | När pull-funktionen är klar anger du lämpligt kommando för din miljö:
När behållaren körs visas ”Expressservern lyssnar på port 8080”. | ||||||||||||
6 |
Använd en webbläsare för att gå till lokaliseringsvärden Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning. | ||||||||||||
7 | När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||||
8 | Klicka på Kom igång på översiktssidan Konfigurationsverktyg. | ||||||||||||
9 | På sidan ISO-import har du följande alternativ:
| ||||||||||||
10 | Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.
| ||||||||||||
11 | Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank: | ||||||||||||
12 | Välj ett TLS-databasanslutningsläge:
När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatundertecknaren och värdnamnet, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||||
13 | Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||||
14 | (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:
| ||||||||||||
15 | Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton . Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer. | ||||||||||||
16 | Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||||
17 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||||||||||||
18 | För att stänga av installationsverktyget skriver du |
Nästa steg
Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.
Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den. |
Installera HDS-värd-OVA
1 | Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi. | ||||||
2 | Välj Fil > Distribuera OVF-mall. | ||||||
3 | I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa. | ||||||
4 | På Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa. | ||||||
5 | På Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. | ||||||
6 | Verifiera mallinformationen och klicka sedan på Nästa. | ||||||
7 | Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa. | ||||||
8 | På Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy. | ||||||
9 | På Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM. | ||||||
10 | På sidan Anpassa mall konfigurerar du följande nätverksinställningar:
Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.
| ||||||
11 | Högerklicka på nodens VM och välj sedan .Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in. |
Konfigurera VM för hybrid-datasäkerhet
Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 | I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol. VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
|
2 | Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 | Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn. |
4 | Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 | (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn. Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 | Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft. |
Ladda upp och montera HDS-konfigurationens ISO
Innan du börjar
Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.
1 | Ladda upp ISO-filen från datorn: |
2 | Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxyintegrering
Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.
Innan du börjar
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 | Ange URL för konfiguration av HDS-nod |
2 | Gå till Trust Store och Proxy och välj sedan ett alternativ:
Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy. |
3 | Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn. Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen. |
4 | Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn. Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet. Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge. |
5 | När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft. |
6 | Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo. Noden startas om inom några minuter. |
7 | När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status. Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.
Innan du börjar
När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.
Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 | Logga in på https://admin.webex.com. |
2 | I menyn till vänster på skärmen väljer du Tjänster. |
3 | I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera. Sidan Registrera datasäkerhetsnod för hybrid visas.
|
4 | Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa. |
5 | I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till. Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa. Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet. Ett meddelande visas som visar att du kan registrera din nod i Webex.
|
7 | Klicka på Gå till nod. |
8 | Klicka på Fortsätt i varningsmeddelandet. Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
|
9 | Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
10 | Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center. |
Innan du börjar
När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.
Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 | Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 | Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet. |
3 | På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO. |
4 | Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 | Registrera noden. Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.
|
Nästa steg
Provperiod till produktionsflöde
När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.
Innan du börjar
1 | Synkronisera om tillämpligt Om din organisation använder katalogsynkronisering för användare måste du välja |
2 |
Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad. |
3 | Testa din distribution av hybrid-datasäkerhet Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet. |
4 | Övervaka datasäkerhet för hybrid Kontrollera status och konfigurera e-postaviseringar för larm. |
5 | |
6 | Slutför provfasen med någon av följande åtgärder: |
Aktivera provperiod
Innan du börjar
Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup
gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.
1 | Logga in på https://admin.webex.com och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Starta provperiod i avsnittet Tjänstestatus. Tjänstens status ändras till provläge.
|
4 | Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster. (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, |
Testa din distribution av hybrid-datasäkerhet
Innan du börjar
Konfigurera din distribution av hybrid-datasäkerhet.
Aktivera provperioden och lägg till flera provanvändare.
Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.
1 | Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.
| ||
2 | Skicka meddelanden till det nya utrymmet. | ||
3 | Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 | I Control Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 | I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar. Sidan Hybrid-datasäkerhetsinställningar visas.
|
3 | I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Lägg till eller ta bort användare från din provperiod
Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.
Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup
; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden. |
4 | Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara . |
Flytta från provperiod till produktion
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Flytta till produktion i avsnittet Tjänstestatus. |
4 | Bekräfta att du vill flytta alla dina användare till produktion. |
Avsluta din provperiod utan att gå till produktion
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Inaktivera i avsnittet Inaktivera. |
4 | Bekräfta att du vill inaktivera tjänsten och avsluta provperioden. |
Hantera HDS-distribution
Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 | Logga in på Control Hub. |
2 | Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt. |
3 | Välj klustret på sidan Resurser för datasäkerhet för hybrid. |
4 | Välj klusternamnet under Klusterinställningar i panelen Översikt till höger. |
5 | Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering. Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga. |
Ändra nodkonfigurationen
Ändra x.509-certifikat på grund av utgångsdatum eller av andra orsaker.
Vi har inte stöd för att ändra CN domännamn för ett certifikat. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
Uppdatera databasinställningar för att ändra till en replik av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har inte stöd för migrering av data från PostgreSQL till Microsoft SQL Server, eller på motsatt sätt. Om du vill byta databasmiljö startar du en ny distribution av Hybrid Data Security.
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder tjänsten Hybrid-datasäkerhet kontolösenord som är giltiga i nio månader. HDS-konfigurationsverktyget skapar dessa lösenord och du distribuerar dem till var och en av dina HDS-noder som en del av ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande om utgående lösenord från Webex-teamet, där du ombeds återställa lösenordet för datorns konto. (E-postmeddelandet innehåller texten ”Använd maskinkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har upphört att gälla ännu har du två alternativ i verktyget:
Mjuk återställning – Det gamla och det nya lösenordet fungerar båda i upp till 10 dagar. Använd den här perioden för att gradvis ersätta ISO-filen på noderna.
Hård återställning – De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan en återställning påverkar det din HDS-tjänst, vilket kräver en omedelbar hård återställning och byte av ISO-filen på alla noder.
Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxy utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar av behörighetsprincip.
1 | Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 | Om du bara har en HDS-nod igång skapar du en ny virtuell dator för noder och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 | För befintliga HDS-noder som kör den äldre konfigurationsfil du montera ISO-filen. Utför följande procedur på varje nod i tur och ordning, uppdatera varje nod innan du stänger av nästa nod: |
4 | Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Stäng av blockerat externt DNS-upplösningsläge
När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.
Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.
Innan du börjar
1 | I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in. |
2 | Gå till Översikt (standardsidan). När den är aktiverad Blockerad extern DNS-upplösning är inställd på Ja . |
3 | Gå till sidan Trust Store och Proxy. |
4 | Klicka på Kontrollera proxyanslutning. Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej. |
Nästa steg
Ta bort en nod
1 | Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 | Ta bort noden: |
3 | I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.) Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata. |
Katastrofåterställning med väntedatacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.
1 | Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. | ||
2 | När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar | ||
3 | På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort
| ||
4 | Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. | ||
5 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||
6 | I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar.. | ||
7 | Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.
| ||
8 | Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. | ||
9 | Upprepa processen för varje nod i standby-datacentret.
|
Nästa steg
(Valfritt) Ta bort ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 | Stäng av en av dina HDS-noder. |
2 | Välj HDS-noden i vCenter-serverenheten. |
3 | Välj Datastore ISO-fil. och avmarkera |
4 | Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter. |
5 | Upprepa för varje HDS-nod i tur och ordning. |
Visa aviseringar och felsökning
En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:
Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)
Meddelanden och utrymmestilar kan inte avkrypteras för:
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)
Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.
Aviseringar
Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.
Varning | Åtgärd |
---|---|
Åtkomst till lokal databas misslyckades. |
Kontrollera om det finns databasfel eller problem i det lokala nätverket. |
Det gick inte att ansluta till den lokala databasen. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen. |
Åtkomst till molntjänsten misslyckades. |
Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning. |
Förnyar molntjänstregistrering. |
Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår. |
Molntjänsternas registrering avbröts. |
Registreringen till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är inte aktiverad än. |
Aktivera en provperiod eller avsluta att flytta provperioden till produktion. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna filen för lokal keystore. |
Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet. |
Det gick inte att posta värden. |
Kontrollera åtkomst till det lokala nätverket till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats. |
Felsöka Hybrid-datasäkerhet
1 | Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där. |
2 | Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet. |
3 | Kontakta Ciscos support. |
Kända problem med Hybrid-datasäkerhet
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.
Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.
Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.
Skapa en privat nyckel.
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 | När du tar emot servercertifikatet från din CA sparar du det som |
2 | Visa certifikatet som text och verifiera informationen.
|
3 | Använd en textredigerare för att skapa en certifikatpaket som kallas
|
4 | Skapa .p12-filen med det vänliga namnet
|
5 | Kontrollera servercertifikatinformationen. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12
filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör. |
Trafik mellan HDS-noderna och molnet
Samlingstrafik för utgående mätvärden
Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
Uppgraderar till nodprogramvaran
Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet
Websocket kan inte ansluta via Squid-proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:
) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss:
trafik för att tjänsterna skall fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktiv till squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Ny och ändrad information
Datum | Ändringar som gjorts | ||
---|---|---|---|
20 oktober 2023 |
| ||
07 augusti 2023 |
| ||
23 maj 2023 |
| ||
06 december 2022 |
| ||
23 november 2022 |
| ||
13 oktober 2021 | Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet. | ||
24 juni 2021 | Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil. | ||
30 april 2021 | Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information. | ||
24 februari 2021 | HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information. | ||
2 februari 2021 | HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information. | ||
11 januari 2021 | Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna. | ||
13 oktober 2020 | Uppdaterade Hämta installationsfiler. | ||
8 oktober 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer. | ||
14 augusti 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen. | ||
5 augusti 2020 | Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden. Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar. | ||
16 juni 2020 | Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet. | ||
4 juni 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in. | ||
29 maj 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden. | ||
5 maj 2020 | Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5. | ||
21 april 2020 | Uppdaterade Externa anslutningskrav med nya Americas CI-värdar. | ||
1 april 2020 | Uppdaterade Externa anslutningskrav med information om regionala CI-värdar. | ||
20 februari 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget. | ||
4 februari 2020 | Uppdaterade Proxyserverkrav. | ||
16 december 2019 | Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav. | ||
19 november 2019 | Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt: | ||
8 november 2019 | Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt. Följande avsnitt har uppdaterats i enlighet med detta:
| ||
6 september 2019 | Lade till SQL-serverstandard till krav på databasserver. | ||
29:e augusti 2019 | Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift. | ||
20 augusti 2019 | Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet. För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät. | ||
13 juni 2019 | Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering. | ||
6 mars 2019 |
| ||
28 februari 2019 |
| ||
26 februari 2019 |
| ||
24 januari 2019 |
| ||
5 november 2018 |
| ||
19 oktober 2018 |
| ||
31 juli 2018 |
| ||
21 maj 2018 | Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:
| ||
11 april 2018 |
| ||
22 februari 2018 |
| ||
15 februari 2018 |
| ||
18 januari 2018 |
| ||
2 november 2017 |
| ||
18 augusti 2017 | Publicerad första gången |
Översikt över Hybrid-datasäkerhet
Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklar som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdata datacenter, så att ingen annan än du har nycklarna till ditt krypterade innehåll.
Arkitektur för säkerhetssfär
Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.
För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.
KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.
Förväntningar på distribution av Hybrid-datasäkerhet
En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
Den utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.
Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution. |
Konfigurationsprocess på hög nivå
Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:
Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.
Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.
Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för hybrid-datasäkerhet
I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.
Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)
Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)
Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.
Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.
Vi stöder endast ett kluster per organisation.
Testläge för hybrid-datasäkerhet
När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.
Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.
Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.
Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.
De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern. |
Konfigurera Standby-datacenter för katastrofåterställning
Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:
Innan du börjar
Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)
Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.
1 | Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.
| ||
2 | När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar | ||
3 | På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.
| ||
4 | Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. | ||
5 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||
6 | I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar.. | ||
7 | Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.
| ||
8 | Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. | ||
9 | Upprepa processen för varje nod i standby-datacentret.
|
Nästa steg
Efter konfiguration passiveMode
i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode
konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode
konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.
Support för proxy
Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministrationsgränssnitt på noderna för certifikathantering och för att kontrollera den övergripande anslutningsstatusen när du har konfigurerat proxyn på noderna.
Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:
Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.
Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.
Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:
HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.
HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.
Autentiseringstyp – Välj bland följande autentiseringstyper:
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.
Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.
Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.
Kräver att du anger användarnamn och lösenord på varje nod.
Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.
Endast tillgängligt om du väljer HTTPS som proxyprotokoll.
Kräver att du anger användarnamn och lösenord på varje nod.
Exempel på hybrid-datasäkerhetsnoder och proxy
Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.
Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)
När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.
Krav för hybrid-datasäkerhet
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet:
Du måste ha Pro Pack för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Krav på Docker-skrivbord
Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en avgiftsbelagd prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget ” Docker uppdaterar och utökar våra produktprenumerationer ”.
X.509 certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav | Detaljer |
---|---|
| Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (wildcard). CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner. |
| KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS. |
| Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav på virtuell värd
De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter
VM-programvara ESXi 6.5 (eller senare) installerad och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade. |
Det finns två alternativ för databasserver. Kraven för var och en är följande:
Postra SQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet) | Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:
Postra SQL | Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 | SQL-server JDBC-drivrutin 4.6 Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.
Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.
DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.
HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:
Program | Protokoll | Port | Riktning från appen | Destination |
---|---|---|---|---|
Hybrid-datasäkerhetsnoder | TCP | 443 | Utgående HTTPS och WSS |
|
HDS-konfigurationsverktyg | TCP | 443 | Utgående HTTPS |
|
Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål. |
URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:
Region | Gemensamma URL:er för identitetsvärd |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Krav på proxyserver
Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.
Transparent proxy – Cisco Web Security Appliance (WSA).
Explicit proxy – Squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.
Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:
Ingen autentisering med HTTP eller HTTPS
Grundläggande autentisering med HTTP eller HTTPS
Smälta autentisering endast med HTTPS
För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.
Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.
Proxyservrar som inspekterar webbtrafik kan störa webbsocketanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till
wbx2.com
ochciscospark.com
löser problemet.
Slutför förutsättningarna för Hybrid-datasäkerhet
1 | Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen. | ||
2 | Välj ett domännamn för din HDS-distribution (till exempel | ||
3 | Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements. | ||
4 | Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna. | ||
5 | Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. | ||
6 | Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514). | ||
7 | Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.
Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar. | ||
8 | Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav. | ||
9 | Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav. | ||
10 | Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven. | ||
11 | Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas
|
Datasäkerhetsdistributionsflöde för hybrid
Innan du börjar
1 |
Hämta OVA-filen till din lokala dator för senare användning. | ||
2 | Skapa en konfigurations-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna. | ||
3 |
Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.
| ||
4 | Konfigurera VM för hybrid-datasäkerhet Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. | ||
5 | Ladda upp och montera HDS-konfigurationens ISO Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget. | ||
6 | Konfigurera HDS-noden för proxyintegrering Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs. | ||
7 | Registrera den första noden i klustret Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. | ||
8 | Skapa och registrera fler noder Slutför klusterkonfigurationen. | ||
9 | Kör en provperiod och flytta till produktion (nästa kapitel) Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad. |
Hämta installationsfiler
1 | Logga in på https://admin.webex.com och klicka sedan på Tjänster. | ||||
2 | I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera. Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.
| ||||
3 | Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa. OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
| ||||
4 | Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden. |
Skapa en konfigurations-ISO för HDS-värdarna
Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxy utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:
Inloggningsuppgifter för databas
Certifikatuppdateringar
Ändringar i behörighetspolicy
Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.
1 | På datorns kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer:
I FedRAMP-miljöer:
| ||||||||||||
2 | För att logga in på Docker-avbildningsregistret anger du följande:
| ||||||||||||
3 | Vid lösenordsuppmaningen anger du denna hash:
| ||||||||||||
4 | Hämta den senaste stabila bilden för din miljö: I vanliga miljöer:
I FedRAMP-miljöer:
| ||||||||||||
5 | När pull-funktionen är klar anger du lämpligt kommando för din miljö:
När behållaren körs visas ”Expressservern lyssnar på port 8080”. | ||||||||||||
6 |
Använd en webbläsare för att gå till lokaliseringsvärden Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning. | ||||||||||||
7 | När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||||
8 | Klicka på Kom igång på översiktssidan Konfigurationsverktyg. | ||||||||||||
9 | På sidan ISO-import har du följande alternativ:
| ||||||||||||
10 | Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.
| ||||||||||||
11 | Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank: | ||||||||||||
12 | Välj ett TLS-databasanslutningsläge:
När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatundertecknaren och värdnamnet, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||||
13 | Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||||
14 | (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:
| ||||||||||||
15 | Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton . Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer. | ||||||||||||
16 | Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||||
17 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||||||||||||
18 | För att stänga av installationsverktyget skriver du |
Nästa steg
Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.
Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den. |
Installera HDS-värd-OVA
1 | Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi. | ||||||
2 | Välj Fil > Distribuera OVF-mall. | ||||||
3 | I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa. | ||||||
4 | På Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa. | ||||||
5 | På Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. | ||||||
6 | Verifiera mallinformationen och klicka sedan på Nästa. | ||||||
7 | Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa. | ||||||
8 | På Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy. | ||||||
9 | På Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM. | ||||||
10 | På sidan Anpassa mall konfigurerar du följande nätverksinställningar:
Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.
| ||||||
11 | Högerklicka på nodens VM och välj sedan .Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in. |
Konfigurera VM för hybrid-datasäkerhet
Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 | I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol. VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
|
2 | Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 | Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn. |
4 | Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 | (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn. Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 | Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft. |
Ladda upp och montera HDS-konfigurationens ISO
Innan du börjar
Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.
1 | Ladda upp ISO-filen från datorn: |
2 | Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxyintegrering
Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.
Innan du börjar
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 | Ange URL för konfiguration av HDS-nod |
2 | Gå till Trust Store och Proxy och välj sedan ett alternativ:
Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy. |
3 | Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn. Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen. |
4 | Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn. Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet. Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge. |
5 | När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft. |
6 | Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo. Noden startas om inom några minuter. |
7 | När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status. Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.
Innan du börjar
När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.
Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 | Logga in på https://admin.webex.com. |
2 | I menyn till vänster på skärmen väljer du Tjänster. |
3 | I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera. Sidan Registrera datasäkerhetsnod för hybrid visas.
|
4 | Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa. |
5 | I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till. Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa. Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet. Ett meddelande visas som visar att du kan registrera din nod i Webex.
|
7 | Klicka på Gå till nod. |
8 | Klicka på Fortsätt i varningsmeddelandet. Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
|
9 | Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
10 | Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center. |
Innan du börjar
När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.
Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 | Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 | Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet. |
3 | På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO. |
4 | Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 | Registrera noden. Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.
|
Nästa steg
Provperiod till produktionsflöde
När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.
Innan du börjar
1 | Synkronisera om tillämpligt Om din organisation använder katalogsynkronisering för användare måste du välja |
2 |
Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad. |
3 | Testa din distribution av hybrid-datasäkerhet Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet. |
4 | Övervaka datasäkerhet för hybrid Kontrollera status och konfigurera e-postaviseringar för larm. |
5 | |
6 | Slutför provfasen med någon av följande åtgärder: |
Aktivera provperiod
Innan du börjar
Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup
gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.
1 | Logga in på https://admin.webex.com och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Starta provperiod i avsnittet Tjänstestatus. Tjänstens status ändras till provläge.
|
4 | Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster. (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, |
Testa din distribution av hybrid-datasäkerhet
Innan du börjar
Konfigurera din distribution av hybrid-datasäkerhet.
Aktivera provperioden och lägg till flera provanvändare.
Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.
1 | Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.
| ||
2 | Skicka meddelanden till det nya utrymmet. | ||
3 | Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 | I Control Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 | I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar. Sidan Hybrid-datasäkerhetsinställningar visas.
|
3 | I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Lägg till eller ta bort användare från din provperiod
Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.
Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup
; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden. |
4 | Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara . |
Flytta från provperiod till produktion
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Flytta till produktion i avsnittet Tjänstestatus. |
4 | Bekräfta att du vill flytta alla dina användare till produktion. |
Avsluta din provperiod utan att gå till produktion
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Inaktivera i avsnittet Inaktivera. |
4 | Bekräfta att du vill inaktivera tjänsten och avsluta provperioden. |
Hantera HDS-distribution
Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 | Logga in på Control Hub. |
2 | Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt. |
3 | Välj klustret på sidan Resurser för datasäkerhet för hybrid. |
4 | Välj klusternamnet under Klusterinställningar i panelen Översikt till höger. |
5 | Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering. Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga. |
Ändra nodkonfigurationen
Ändra x.509-certifikat på grund av utgångsdatum eller av andra orsaker.
Vi har inte stöd för att ändra CN domännamn för ett certifikat. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
Uppdatera databasinställningar för att ändra till en replik av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har inte stöd för migrering av data från PostgreSQL till Microsoft SQL Server, eller på motsatt sätt. Om du vill byta databasmiljö startar du en ny distribution av Hybrid Data Security.
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder tjänsten Hybrid-datasäkerhet kontolösenord som är giltiga i nio månader. HDS-konfigurationsverktyget skapar dessa lösenord och du distribuerar dem till var och en av dina HDS-noder som en del av ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande om utgående lösenord från Webex-teamet, där du ombeds återställa lösenordet för datorns konto. (E-postmeddelandet innehåller texten ”Använd maskinkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har upphört att gälla ännu har du två alternativ i verktyget:
Mjuk återställning – Det gamla och det nya lösenordet fungerar båda i upp till 10 dagar. Använd den här perioden för att gradvis ersätta ISO-filen på noderna.
Hård återställning – De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan en återställning påverkar det din HDS-tjänst, vilket kräver en omedelbar hård återställning och byte av ISO-filen på alla noder.
Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxy utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar av behörighetsprincip.
1 | Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 | Om du bara har en HDS-nod igång skapar du en ny virtuell dator för noder och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 | För befintliga HDS-noder som kör den äldre konfigurationsfil du montera ISO-filen. Utför följande procedur på varje nod i tur och ordning, uppdatera varje nod innan du stänger av nästa nod: |
4 | Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Stäng av blockerat externt DNS-upplösningsläge
När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.
Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.
Innan du börjar
1 | I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in. |
2 | Gå till Översikt (standardsidan). När den är aktiverad Blockerad extern DNS-upplösning är inställd på Ja . |
3 | Gå till sidan Trust Store och Proxy. |
4 | Klicka på Kontrollera proxyanslutning. Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej. |
Nästa steg
Ta bort en nod
1 | Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 | Ta bort noden: |
3 | I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.) Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata. |
Katastrofåterställning med väntedatacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.
1 | Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. | ||
2 | När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar | ||
3 | På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort
| ||
4 | Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. | ||
5 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||
6 | I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar.. | ||
7 | Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.
| ||
8 | Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. | ||
9 | Upprepa processen för varje nod i standby-datacentret.
|
Nästa steg
(Valfritt) Ta bort ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 | Stäng av en av dina HDS-noder. |
2 | Välj HDS-noden i vCenter-serverenheten. |
3 | Välj Datastore ISO-fil. och avmarkera |
4 | Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter. |
5 | Upprepa för varje HDS-nod i tur och ordning. |
Visa aviseringar och felsökning
En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:
Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)
Meddelanden och utrymmestilar kan inte avkrypteras för:
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)
Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.
Aviseringar
Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.
Varning | Åtgärd |
---|---|
Åtkomst till lokal databas misslyckades. |
Kontrollera om det finns databasfel eller problem i det lokala nätverket. |
Det gick inte att ansluta till den lokala databasen. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen. |
Åtkomst till molntjänsten misslyckades. |
Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning. |
Förnyar molntjänstregistrering. |
Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår. |
Molntjänsternas registrering avbröts. |
Registreringen till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är inte aktiverad än. |
Aktivera en provperiod eller avsluta att flytta provperioden till produktion. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna filen för lokal keystore. |
Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet. |
Det gick inte att posta värden. |
Kontrollera åtkomst till det lokala nätverket till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats. |
Felsöka Hybrid-datasäkerhet
1 | Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där. |
2 | Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet. |
3 | Kontakta Ciscos support. |
Kända problem med Hybrid-datasäkerhet
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.
Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.
Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.
Skapa en privat nyckel.
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 | När du tar emot servercertifikatet från din CA sparar du det som |
2 | Visa certifikatet som text och verifiera informationen.
|
3 | Använd en textredigerare för att skapa en certifikatpaket som kallas
|
4 | Skapa .p12-filen med det vänliga namnet
|
5 | Kontrollera servercertifikatinformationen. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12
filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör. |
Trafik mellan HDS-noderna och molnet
Samlingstrafik för utgående mätvärden
Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
Uppgraderar till nodprogramvaran
Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet
Websocket kan inte ansluta via Squid-proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:
) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss:
trafik för att tjänsterna skall fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktiv till squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Ny och ändrad information
Datum | Ändringar som gjorts | ||
---|---|---|---|
20 oktober 2023 |
| ||
07 augusti 2023 |
| ||
23 maj 2023 |
| ||
06 december 2022 |
| ||
23 november 2022 |
| ||
13 oktober 2021 | Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet. | ||
24 juni 2021 | Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil. | ||
30 april 2021 | Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information. | ||
24 februari 2021 | HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information. | ||
2 februari 2021 | HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information. | ||
11 januari 2021 | Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna. | ||
13 oktober 2020 | Uppdaterade Hämta installationsfiler. | ||
8 oktober 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer. | ||
14 augusti 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen. | ||
5 augusti 2020 | Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden. Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar. | ||
16 juni 2020 | Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet. | ||
4 juni 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in. | ||
29 maj 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden. | ||
5 maj 2020 | Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5. | ||
21 april 2020 | Uppdaterade Externa anslutningskrav med nya Americas CI-värdar. | ||
1 april 2020 | Uppdaterade Externa anslutningskrav med information om regionala CI-värdar. | ||
20 februari 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget. | ||
4 februari 2020 | Uppdaterade Proxyserverkrav. | ||
16 december 2019 | Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav. | ||
19 november 2019 | Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt: | ||
8 november 2019 | Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt. Följande avsnitt har uppdaterats i enlighet med detta:
| ||
6 september 2019 | Lade till SQL-serverstandard till krav på databasserver. | ||
29:e augusti 2019 | Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift. | ||
20 augusti 2019 | Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet. För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät. | ||
13 juni 2019 | Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering. | ||
6 mars 2019 |
| ||
28 februari 2019 |
| ||
26 februari 2019 |
| ||
24 januari 2019 |
| ||
5 november 2018 |
| ||
19 oktober 2018 |
| ||
31 juli 2018 |
| ||
21 maj 2018 | Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:
| ||
11 april 2018 |
| ||
22 februari 2018 |
| ||
15 februari 2018 |
| ||
18 januari 2018 |
| ||
2 november 2017 |
| ||
18 augusti 2017 | Publicerad första gången |
Översikt över Hybrid-datasäkerhet
Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklar som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdata datacenter, så att ingen annan än du har nycklarna till ditt krypterade innehåll.
Arkitektur för säkerhetssfär
Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.
För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.
KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.
Förväntningar på distribution av Hybrid-datasäkerhet
En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
Den utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.
Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution. |
Konfigurationsprocess på hög nivå
Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:
Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.
Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.
Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för hybrid-datasäkerhet
I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.
Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)
Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)
Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.
Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.
Vi stöder endast ett kluster per organisation.
Testläge för hybrid-datasäkerhet
När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.
Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.
Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.
Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.
De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern. |
Konfigurera Standby-datacenter för katastrofåterställning
Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:
Innan du börjar
Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)
Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.
1 | Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.
| ||
2 | När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar | ||
3 | På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.
| ||
4 | Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. | ||
5 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||
6 | I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar.. | ||
7 | Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.
| ||
8 | Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. | ||
9 | Upprepa processen för varje nod i standby-datacentret.
|
Nästa steg
Efter konfiguration passiveMode
i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode
konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode
konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.
Support för proxy
Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministrationsgränssnitt på noderna för certifikathantering och för att kontrollera den övergripande anslutningsstatusen när du har konfigurerat proxyn på noderna.
Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:
Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.
Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.
Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:
HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.
HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.
Autentiseringstyp – Välj bland följande autentiseringstyper:
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.
Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.
Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.
Kräver att du anger användarnamn och lösenord på varje nod.
Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.
Endast tillgängligt om du väljer HTTPS som proxyprotokoll.
Kräver att du anger användarnamn och lösenord på varje nod.
Exempel på hybrid-datasäkerhetsnoder och proxy
Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.
Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)
När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.
Krav för hybrid-datasäkerhet
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet:
Du måste ha Pro Pack för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Krav på Docker-skrivbord
Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en avgiftsbelagd prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget ” Docker uppdaterar och utökar våra produktprenumerationer ”.
X.509 certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav | Detaljer |
---|---|
| Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (wildcard). CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner. |
| KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS. |
| Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav på virtuell värd
De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter
VM-programvara ESXi 6.5 (eller senare) installerad och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade. |
Det finns två alternativ för databasserver. Kraven för var och en är följande:
Postra SQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet) | Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:
Postra SQL | Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 | SQL-server JDBC-drivrutin 4.6 Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.
Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.
DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.
HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:
Program | Protokoll | Port | Riktning från appen | Destination |
---|---|---|---|---|
Hybrid-datasäkerhetsnoder | TCP | 443 | Utgående HTTPS och WSS |
|
HDS-konfigurationsverktyg | TCP | 443 | Utgående HTTPS |
|
Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål. |
URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:
Region | Gemensamma URL:er för identitetsvärd |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Krav på proxyserver
Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.
Transparent proxy – Cisco Web Security Appliance (WSA).
Explicit proxy – Squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.
Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:
Ingen autentisering med HTTP eller HTTPS
Grundläggande autentisering med HTTP eller HTTPS
Smälta autentisering endast med HTTPS
För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.
Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.
Proxyservrar som inspekterar webbtrafik kan störa webbsocketanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till
wbx2.com
ochciscospark.com
löser problemet.
Slutför förutsättningarna för Hybrid-datasäkerhet
1 | Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen. | ||
2 | Välj ett domännamn för din HDS-distribution (till exempel | ||
3 | Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements. | ||
4 | Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna. | ||
5 | Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. | ||
6 | Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514). | ||
7 | Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.
Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar. | ||
8 | Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav. | ||
9 | Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav. | ||
10 | Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven. | ||
11 | Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas
|
Datasäkerhetsdistributionsflöde för hybrid
Innan du börjar
1 |
Hämta OVA-filen till din lokala dator för senare användning. | ||
2 | Skapa en konfigurations-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna. | ||
3 |
Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.
| ||
4 | Konfigurera VM för hybrid-datasäkerhet Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. | ||
5 | Ladda upp och montera HDS-konfigurationens ISO Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget. | ||
6 | Konfigurera HDS-noden för proxyintegrering Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs. | ||
7 | Registrera den första noden i klustret Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. | ||
8 | Skapa och registrera fler noder Slutför klusterkonfigurationen. | ||
9 | Kör en provperiod och flytta till produktion (nästa kapitel) Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad. |
Hämta installationsfiler
1 | Logga in på https://admin.webex.com och klicka sedan på Tjänster. | ||||
2 | I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera. Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.
| ||||
3 | Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa. OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
| ||||
4 | Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden. |
Skapa en konfigurations-ISO för HDS-värdarna
Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxy utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:
Inloggningsuppgifter för databas
Certifikatuppdateringar
Ändringar i behörighetspolicy
Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.
1 | På datorns kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer:
I FedRAMP-miljöer:
| ||||||||||||
2 | För att logga in på Docker-avbildningsregistret anger du följande:
| ||||||||||||
3 | Vid lösenordsuppmaningen anger du denna hash:
| ||||||||||||
4 | Hämta den senaste stabila bilden för din miljö: I vanliga miljöer:
I FedRAMP-miljöer:
| ||||||||||||
5 | När pull-funktionen är klar anger du lämpligt kommando för din miljö:
När behållaren körs visas ”Expressservern lyssnar på port 8080”. | ||||||||||||
6 |
Använd en webbläsare för att gå till lokaliseringsvärden Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning. | ||||||||||||
7 | När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||||
8 | Klicka på Kom igång på översiktssidan Konfigurationsverktyg. | ||||||||||||
9 | På sidan ISO-import har du följande alternativ:
| ||||||||||||
10 | Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.
| ||||||||||||
11 | Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank: | ||||||||||||
12 | Välj ett TLS-databasanslutningsläge:
När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatundertecknaren och värdnamnet, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||||
13 | Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||||
14 | (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:
| ||||||||||||
15 | Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton . Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer. | ||||||||||||
16 | Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||||
17 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||||||||||||
18 | För att stänga av installationsverktyget skriver du |
Nästa steg
Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.
Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den. |
Installera HDS-värd-OVA
1 | Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi. | ||||||
2 | Välj Fil > Distribuera OVF-mall. | ||||||
3 | I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa. | ||||||
4 | På Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa. | ||||||
5 | På Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. | ||||||
6 | Verifiera mallinformationen och klicka sedan på Nästa. | ||||||
7 | Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa. | ||||||
8 | På Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy. | ||||||
9 | På Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM. | ||||||
10 | På sidan Anpassa mall konfigurerar du följande nätverksinställningar:
Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.
| ||||||
11 | Högerklicka på nodens VM och välj sedan .Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in. |
Konfigurera VM för hybrid-datasäkerhet
Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 | I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol. VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
|
2 | Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 | Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn. |
4 | Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 | (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn. Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 | Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft. |
Ladda upp och montera HDS-konfigurationens ISO
Innan du börjar
Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.
1 | Ladda upp ISO-filen från datorn: |
2 | Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxyintegrering
Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.
Innan du börjar
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 | Ange URL för konfiguration av HDS-nod |
2 | Gå till Trust Store och Proxy och välj sedan ett alternativ:
Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy. |
3 | Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn. Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen. |
4 | Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn. Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet. Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge. |
5 | När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft. |
6 | Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo. Noden startas om inom några minuter. |
7 | När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status. Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.
Innan du börjar
När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.
Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 | Logga in på https://admin.webex.com. |
2 | I menyn till vänster på skärmen väljer du Tjänster. |
3 | I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera. Sidan Registrera datasäkerhetsnod för hybrid visas.
|
4 | Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa. |
5 | I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till. Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa. Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet. Ett meddelande visas som visar att du kan registrera din nod i Webex.
|
7 | Klicka på Gå till nod. |
8 | Klicka på Fortsätt i varningsmeddelandet. Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
|
9 | Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
10 | Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center. |
Innan du börjar
När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.
Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 | Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 | Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet. |
3 | På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO. |
4 | Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 | Registrera noden. Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.
|
Nästa steg
Provperiod till produktionsflöde
När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.
Innan du börjar
1 | Synkronisera om tillämpligt Om din organisation använder katalogsynkronisering för användare måste du välja |
2 |
Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad. |
3 | Testa din distribution av hybrid-datasäkerhet Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet. |
4 | Övervaka datasäkerhet för hybrid Kontrollera status och konfigurera e-postaviseringar för larm. |
5 | |
6 | Slutför provfasen med någon av följande åtgärder: |
Aktivera provperiod
Innan du börjar
Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup
gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.
1 | Logga in på https://admin.webex.com och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Starta provperiod i avsnittet Tjänstestatus. Tjänstens status ändras till provläge.
|
4 | Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster. (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, |
Testa din distribution av hybrid-datasäkerhet
Innan du börjar
Konfigurera din distribution av hybrid-datasäkerhet.
Aktivera provperioden och lägg till flera provanvändare.
Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.
1 | Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.
| ||
2 | Skicka meddelanden till det nya utrymmet. | ||
3 | Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 | I Control Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 | I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar. Sidan Hybrid-datasäkerhetsinställningar visas.
|
3 | I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Lägg till eller ta bort användare från din provperiod
Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.
Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup
; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden. |
4 | Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara . |
Flytta från provperiod till produktion
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Flytta till produktion i avsnittet Tjänstestatus. |
4 | Bekräfta att du vill flytta alla dina användare till produktion. |
Avsluta din provperiod utan att gå till produktion
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Inaktivera i avsnittet Inaktivera. |
4 | Bekräfta att du vill inaktivera tjänsten och avsluta provperioden. |
Hantera HDS-distribution
Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 | Logga in på Control Hub. |
2 | Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt. |
3 | Välj klustret på sidan Resurser för datasäkerhet för hybrid. |
4 | Välj klusternamnet under Klusterinställningar i panelen Översikt till höger. |
5 | Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering. Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga. |
Ändra nodkonfigurationen
Ändra x.509-certifikat på grund av utgångsdatum eller av andra orsaker.
Vi har inte stöd för att ändra CN domännamn för ett certifikat. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
Uppdatera databasinställningar för att ändra till en replik av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har inte stöd för migrering av data från PostgreSQL till Microsoft SQL Server, eller på motsatt sätt. Om du vill byta databasmiljö startar du en ny distribution av Hybrid Data Security.
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder tjänsten Hybrid-datasäkerhet kontolösenord som är giltiga i nio månader. HDS-konfigurationsverktyget skapar dessa lösenord och du distribuerar dem till var och en av dina HDS-noder som en del av ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande om utgående lösenord från Webex-teamet, där du ombeds återställa lösenordet för datorns konto. (E-postmeddelandet innehåller texten ”Använd maskinkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har upphört att gälla ännu har du två alternativ i verktyget:
Mjuk återställning – Det gamla och det nya lösenordet fungerar båda i upp till 10 dagar. Använd den här perioden för att gradvis ersätta ISO-filen på noderna.
Hård återställning – De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan en återställning påverkar det din HDS-tjänst, vilket kräver en omedelbar hård återställning och byte av ISO-filen på alla noder.
Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxy utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar av behörighetsprincip.
1 | Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 | Om du bara har en HDS-nod igång skapar du en ny virtuell dator för noder och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 | För befintliga HDS-noder som kör den äldre konfigurationsfil du montera ISO-filen. Utför följande procedur på varje nod i tur och ordning, uppdatera varje nod innan du stänger av nästa nod: |
4 | Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Stäng av blockerat externt DNS-upplösningsläge
När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.
Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.
Innan du börjar
1 | I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in. |
2 | Gå till Översikt (standardsidan). När den är aktiverad Blockerad extern DNS-upplösning är inställd på Ja . |
3 | Gå till sidan Trust Store och Proxy. |
4 | Klicka på Kontrollera proxyanslutning. Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej. |
Nästa steg
Ta bort en nod
1 | Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 | Ta bort noden: |
3 | I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.) Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata. |
Katastrofåterställning med väntedatacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.
1 | Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. | ||
2 | När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar | ||
3 | På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort
| ||
4 | Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. | ||
5 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||
6 | I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar.. | ||
7 | Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.
| ||
8 | Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. | ||
9 | Upprepa processen för varje nod i standby-datacentret.
|
Nästa steg
(Valfritt) Ta bort ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 | Stäng av en av dina HDS-noder. |
2 | Välj HDS-noden i vCenter-serverenheten. |
3 | Välj Datastore ISO-fil. och avmarkera |
4 | Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter. |
5 | Upprepa för varje HDS-nod i tur och ordning. |
Visa aviseringar och felsökning
En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:
Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)
Meddelanden och utrymmestilar kan inte avkrypteras för:
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)
Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.
Aviseringar
Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.
Varning | Åtgärd |
---|---|
Åtkomst till lokal databas misslyckades. |
Kontrollera om det finns databasfel eller problem i det lokala nätverket. |
Det gick inte att ansluta till den lokala databasen. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen. |
Åtkomst till molntjänsten misslyckades. |
Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning. |
Förnyar molntjänstregistrering. |
Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår. |
Molntjänsternas registrering avbröts. |
Registreringen till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är inte aktiverad än. |
Aktivera en provperiod eller avsluta att flytta provperioden till produktion. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna filen för lokal keystore. |
Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet. |
Det gick inte att posta värden. |
Kontrollera åtkomst till det lokala nätverket till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats. |
Felsöka Hybrid-datasäkerhet
1 | Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där. |
2 | Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet. |
3 | Kontakta Ciscos support. |
Kända problem med Hybrid-datasäkerhet
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.
Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.
Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.
Skapa en privat nyckel.
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 | När du tar emot servercertifikatet från din CA sparar du det som |
2 | Visa certifikatet som text och verifiera informationen.
|
3 | Använd en textredigerare för att skapa en certifikatpaket som kallas
|
4 | Skapa .p12-filen med det vänliga namnet
|
5 | Kontrollera servercertifikatinformationen. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12
filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör. |
Trafik mellan HDS-noderna och molnet
Samlingstrafik för utgående mätvärden
Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
Uppgraderar till nodprogramvaran
Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet
Websocket kan inte ansluta via Squid-proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:
) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss:
trafik för att tjänsterna skall fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktiv till squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Ny och ändrad information
Datum |
Ändringar som gjorts | ||
---|---|---|---|
20 oktober 2023 |
| ||
07 augusti 2023 |
| ||
23 maj 2023 |
| ||
06 december 2022 |
| ||
23 november 2022 |
| ||
13 oktober 2021 |
Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet. | ||
24 juni 2021 |
Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil. | ||
30 april 2021 |
Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information. | ||
24 februari 2021 |
HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information. | ||
2 februari, 2021 |
HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information. | ||
11 januari 2021 |
Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna. | ||
13 oktober 2020 |
Uppdaterade Hämta installationsfiler. | ||
8 oktober 2020 |
Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer. | ||
14 augusti 2020 |
Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen. | ||
5 augusti 2020 |
Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden. Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar. | ||
16 juni 2020 |
Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet. | ||
4 juni 2020 |
Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in. | ||
29 maj 2020 |
Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden. | ||
5 maj 2020 |
Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5. | ||
21 april 2020 |
Uppdaterade Externa anslutningskrav med nya Americas CI-värdar. | ||
1 april 2020 |
Uppdaterade Externa anslutningskrav med information om regionala CI-värdar. | ||
20 februari 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget. | ||
4 februari 2020 | Uppdaterade Proxyserverkrav. | ||
16 december 2019 | Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav. | ||
19 november 2019 |
Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt: | ||
8 november 2019 |
Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt. Följande avsnitt har uppdaterats i enlighet med detta:
| ||
6:e september 2019 |
SQL-serverstandard har lagts till i databasens serverkrav. | ||
29:e augusti 2019 | Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om hur du konfigurerar Squid-proxyservrar för att ignorera websocket trafik för korrekt drift. | ||
20:e augusti 2019 |
Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet. För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät. | ||
13 juni 2019 | Uppdaterade Provperiod till produktionsuppgiftflöde med en påminnelse om att synkronisera Hds -gruppens gruppobjekt innan en provperiod startas om din organisation använder katalogsynkronisering. | ||
6 mars 2019 |
| ||
28 februari 2019 |
| ||
26 februari 2019 |
| ||
24 januari 2019 |
| ||
5 november 2018 |
| ||
19 oktober 2018 |
| ||
31 juli 2018 |
| ||
21 maj 2018 |
Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:
| ||
11 april 2018 |
| ||
22 februari 2018 |
| ||
15 februari 2018 |
| ||
18 januari 2018 |
| ||
2 november 2017 |
| ||
18 augusti 2017 |
Publicerad första gången |
Översikt över Hybrid-datasäkerhet
Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är kryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.
Arkitektur för säkerhetssfär
Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.
För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:
-
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
-
Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.
-
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
-
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln för utrymmet dirigerar KMS begäran ut till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.
KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.
Förväntningar på distribution av Hybrid-datasäkerhet
En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
-
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planerna.
-
Den utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
-
Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.
-
Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution. |
Konfigurationsprocess på hög nivå
Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:
Konfigurera datasäkerhet för hybrid– Detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för hybrid datasäkerhet, testa din distribution med en undergrupp av användare i provläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.
-
Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.
-
Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för hybrid-datasäkerhet
I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.
Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)
Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)
Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.
Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.
Vi stöder endast ett kluster per organisation.
Testläge för hybrid-datasäkerhet
När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.
Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.
Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.
Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.
De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern. |
Konfigurera Standby-datacenter för katastrofåterställning
Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:
Innan du börjar
-
Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM:er. (Se Standby Data Center för katastrofåterställning för en översikt över den här redskapsmodellen.)
-
Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.
1 |
Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.
| ||
2 |
När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar | ||
3 |
På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.
| ||
4 |
Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. | ||
5 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||
6 |
I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar.. | ||
7 |
Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.
| ||
8 |
Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. | ||
9 |
Upprepa processen för varje nod i standby-datacentret.
|
Nästa steg
När du har konfigurerat passivt
läge i ISO-filen och sparat den kan du skapa en annan kopia av ISO-filen utan konfigurationen passivt
läge och spara den på en säker plats. Denna kopia av ISO-filen utan konfigurerat passivt
läge kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.
Proxy-Support
Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.
Datanoderna för Hybrid har stöd för följande proxyinställningar:
-
Ingen proxy– Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikat uppdatering krävs.
-
Transparent icke-inspekterande proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikat uppdatering krävs.
-
Genomskinlig tunneling eller inspektion av proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
-
Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:
-
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
-
Proxyport – ett portnummer som proxyn använder för att lyssna på för proxied trafik.
-
Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:
-
HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.
-
HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.
-
-
Autentiseringstyp – Välj bland följande autentiseringstyper:
-
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
-
Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder base64-kodning.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
Digest – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.
Endast tillgängligt om du har valt HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
-
Exempel på data säkerhets noder och proxy för Hybrid
Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.
Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.
Krav för hybrid-datasäkerhet
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet:
-
Du måste ha Pro Pack för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack .)
Krav på Docker-skrivbord
Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".
X.509 certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav |
Uppgifter |
---|---|
|
Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och Startcom) på https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (wildcard). CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner. |
|
KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS. |
|
Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav på virtuell värd
De virtuella värdar som du kommer att konfigurera som hybrid-datasäkerhetsnoder i ditt kluster har följande krav:
-
Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter
-
VM-programvara ESXi 6.5 (eller senare) installerad och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
-
Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade. |
Det finns två alternativ för databasserver. Kraven för var och en är följande:
Postra SQL |
Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet) |
Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:
Postra SQL |
Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 |
SQL-server JDBC-drivrutin 4.6 Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL-server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
-
HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.
-
Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.
-
DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).
-
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.
HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:
Program |
Protocol |
Port |
Riktning från appen |
Destination |
---|---|---|---|---|
Hybrid-datasäkerhetsnoder |
TCP |
443 |
Utgående HTTPS och WSS |
|
HDS-konfigurationsverktyg |
TCP |
443 |
Utgående HTTPS |
|
Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål. |
URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:
Region |
Gemensamma URL:er för identitetsvärd |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Proxy Server krav
-
Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.
-
Transparent proxy – Cisco webb säkerhetsutrustning (WSA).
-
Explicit proxy – squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:)-anslutningar. Om du vill arbeta med problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.
-
-
Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:
-
Ingen autentisering med HTTP eller HTTPS
-
Grundläggande autentisering med HTTP eller HTTPS
-
Digest-autentisering med endast HTTPS
-
-
För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.
-
Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.
-
Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till
wbx2.com
ochciscospark.com
.
Slutför förutsättningarna för Hybrid-datasäkerhet
1 |
Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen. | ||
2 |
Välj ett domännamn för din HDS-distribution (till exempel | ||
3 |
Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements. | ||
4 |
Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna. | ||
5 |
Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM:er. | ||
6 |
Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514). | ||
7 |
Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som har genererats för Hybrid-datasäkerhetsnoderna.
Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar. | ||
8 |
Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav. | ||
9 |
Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav . För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav. | ||
10 |
Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven. | ||
11 |
Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas
|
Datasäkerhetsdistributionsflöde för hybrid
Innan du börjar
1 |
Hämta OVA-filen till din lokala dator för senare användning. | ||
2 |
Skapa en konfigurations-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna. | ||
3 |
Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.
| ||
4 |
Konfigurera VM för hybrid-datasäkerhet Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. | ||
5 |
Ladda upp och montera HDS-konfigurationens ISO Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget. | ||
6 |
Konfigurera HDS-noden för proxy-integrering Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs. | ||
7 |
Registrera den första noden i klustret Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. | ||
8 |
Skapa och registrera fler noder Slutför klusterkonfigurationen. | ||
9 |
Kör en provperiod och flytta till produktion (nästa kapitel) Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad. |
Hämta installationsfiler
1 |
Logga in på https://admin.webex.com och klicka sedan på Tjänster. | ||||
2 |
I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera. Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.
| ||||
3 |
Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa. OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
| ||||
4 |
Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden. |
Skapa en konfigurations-ISO för HDS-värdarna
Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver autentiseringsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://ANVÄNDARNAMN:PASSWORD@SERVER_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://ANVÄNDARNAMN:PASSWORD@SERVER_IP:PORT
-
Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicy
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer:
| ||||||||||||
2 |
För att logga in på Docker-bildregistret anger du följande: | ||||||||||||
3 |
Vid lösenordsupp prompten anger du detta hash: | ||||||||||||
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: | ||||||||||||
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". | ||||||||||||
6 |
Använd en webbläsare för att gå till lokaliseringsvärden, Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning. | ||||||||||||
7 |
När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||||
8 |
Klicka på Kom igång på översiktssidan Konfigurationsverktyg. | ||||||||||||
9 |
På sidan ISO-import har du följande alternativ:
| ||||||||||||
10 |
Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.
| ||||||||||||
11 |
Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank: | ||||||||||||
12 |
Välj ett TLS-databasanslutningsläge:
När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||||
13 |
Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||||
14 |
(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra: | ||||||||||||
15 |
Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton . Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller om du vill återställa dem för att ogiltigförklara tidigare ISO-filer. | ||||||||||||
16 |
Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||||
17 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||||||||||||
18 |
Om du vill stänga av konfigurationsverktyget skriver du |
Nästa steg
Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.
Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den. |
Installera HDS-värd-OVA
1 |
Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi. | ||||||
2 |
Välj Fil > Distribuera OVF-mall. | ||||||
3 |
I guiden anger du var OVA-filen du laddade ner tidigare och klickar sedan på Nästa. | ||||||
4 |
På sidan Välj namn och mapp anger du ett virtuellt maskinnamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa. | ||||||
5 |
På sidan Välj en beräkningsresurs väljer du destinationsberäkningsresurs och klickar sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. | ||||||
6 |
Verifiera mallinformationen och klicka sedan på Nästa. | ||||||
7 |
Om du blir ombedd att välja resurskonfigurationen på konfigurationssidan klickar du på 4 CPU och klickar sedan på Nästa. | ||||||
8 |
På sidan Välj lagringsutrymme klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn. | ||||||
9 |
På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att ge önskad anslutning till VM. | ||||||
10 |
På sidan Anpassa mall konfigurerar du följande nätverksinställningar:
Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.
| ||||||
11 |
Högerklicka på noden VM och välj sedan .Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in. |
Konfigurera VM för hybrid-datasäkerhet
Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 |
I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol . VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
|
2 |
Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 |
Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn. |
4 |
Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 |
(Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn. Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 |
Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft. |
Ladda upp och montera HDS-konfigurationens ISO
Innan du börjar
Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.
1 |
Ladda upp ISO-filen från datorn: |
2 |
Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxy-integrering
Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.
Innan du börjar
-
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 |
Skriv in URL: en för HDS-nodens konfiguration |
2 |
Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:
Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy. |
3 |
Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn. Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen. |
4 |
Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn. Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge. |
5 |
När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla. |
6 |
Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo. Noden startas om inom några minuter. |
7 |
När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd. Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.
Innan du börjar
-
När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.
-
Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 |
Logga in på https://admin.webex.com. |
2 |
I menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera. Sidan Registrera datasäkerhetsnod för hybrid visas.
|
4 |
Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa. |
5 |
I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till. Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 |
I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa. Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet. Ett meddelande visas som visar att du kan registrera din nod i Webex.
|
7 |
Klicka på Gå till nod. |
8 |
Klicka på Fortsätt i varningsmeddelandet. Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
|
9 |
Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
10 |
Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center. |
Innan du börjar
-
När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.
-
Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 |
Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 |
Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet. |
3 |
På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO. |
4 |
Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 |
Registrera noden. Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.
|
Nästa steg
Provperiod till produktionsflöde
När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.
Innan du börjar
1 |
Om det är tillämpligt synkroniserar du Om din organisation använder katalogsynkronisering för användare måste du välja |
2 |
Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad. |
3 |
Testa din distribution av hybrid-datasäkerhet Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet. |
4 |
Övervaka datasäkerhet för hybrid Kontrollera status och konfigurera e-postaviseringar för larm. |
5 | |
6 |
Slutför provfasen med någon av följande åtgärder: |
Aktivera provperiod
Innan du börjar
Om din organisation använder katalogsynkronisering för användare måste du välja Hds
-gruppens gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.
1 |
Logga in på https://admin.webex.com och välj Tjänster. |
2 |
Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 |
Klicka på Starta provperiod i avsnittet Tjänstestatus. Tjänstens status ändras till provläge.
|
4 |
Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster. (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, |
Testa din distribution av hybrid-datasäkerhet
Innan du börjar
-
Konfigurera din distribution av hybrid-datasäkerhet.
-
Aktivera provperioden och lägg till flera provanvändare.
-
Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.
1 |
Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.
| ||
2 |
Skicka meddelanden till det nya utrymmet. | ||
3 |
Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 |
I Control Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 |
I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar. Sidan Hybrid-datasäkerhetsinställningar visas.
|
3 |
I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Lägg till eller ta bort användare från din provperiod
Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet KMS den åt användarens räkning.
Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen, HdsTrial
Group. Du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.
1 |
Logga in på Control Hub och välj sedan Tjänster. |
2 |
Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 |
I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden. |
4 |
Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara. |
Flytta från provperiod till produktion
1 |
Logga in på Control Hub och välj sedan Tjänster. |
2 |
Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 |
Klicka på Flytta till produktion i avsnittet Tjänstestatus. |
4 |
Bekräfta att du vill flytta alla dina användare till produktion. |
Avsluta din provperiod utan att gå till produktion
1 |
Logga in på Control Hub och välj sedan Tjänster. |
2 |
Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 |
Klicka på Inaktivera i avsnittet Inaktivera. |
4 |
Bekräfta att du vill inaktivera tjänsten och avsluta provperioden. |
Hantera HDS-distribution
Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 |
Logga in på Control Hub. |
2 |
Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt. |
3 |
Välj klustret på sidan Resurser för datasäkerhet för hybrid. |
4 |
Välj klusternamnet under Klusterinställningar i panelen Översikt till höger. |
5 |
Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering. Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga. |
Ändra nodkonfigurationen
-
Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.
Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
-
Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.
-
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:
-
Mjuk återställning – både gamla och nya lösenord fungerar i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.
-
Hård återställning – de gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.
Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver autentiseringsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://ANVÄNDARNAMN:PASSWORD@SERVER_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://ANVÄNDARNAMN:PASSWORD@SERVER_IP:PORT
-
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.
1 |
Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 |
Om du bara har en HDS-nod som körs skapar du en ny VM för Hybrid Data Security nod och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 |
Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod: |
4 |
Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Inaktivera blockerad extern DNS-Matchningstid
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.
Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.
Innan du börjar
1 |
I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in. |
2 |
Går du till Översikt (standard sidan). När den är aktive rad är blockerad extern DNS-matchning inställd på Ja. |
3 |
Går du till sidan betrodda certifikat \ proxy . |
4 |
Klicka på kontrol lera proxy-anslutning. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej. |
Nästa steg
Ta bort en nod
1 |
Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 |
Ta bort noden: |
3 |
Ta bort VM i vsfären-klienten. (Högerklicka på VM i vänsternavigeringsrutan och klicka på Ta bort.) Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata. |
Katastrofåterställning med väntedatacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.
1 |
Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. | ||
2 |
När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar | ||
3 |
På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort
| ||
4 |
Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. | ||
5 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||
6 |
I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar.. | ||
7 |
Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.
| ||
8 |
Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. | ||
9 |
Upprepa processen för varje nod i standby-datacentret.
|
Nästa steg
(Valfritt) Ta bort ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 |
Stäng av en av dina HDS-noder. |
2 |
Välj HDS-noden i vCenter-serverenheten. |
3 |
Välj Datastore ISO-fil. och avmarkera |
4 |
Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter. |
5 |
Upprepa för varje HDS-nod i tur och ordning. |
Visa aviseringar och felsökning
En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:
-
Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)
-
Meddelanden och utrymmestilar kan inte avkrypteras för:
-
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
-
Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)
-
-
Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.
Aviseringar
Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.
Avisering |
Åtgärd |
---|---|
Åtkomstfel i lokal databas. |
Kontrollera om det finns databasfel eller problem i det lokala nätverket. |
Det gick inte att ansluta till den lokala databasen. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen. |
Åtkomst till molntjänsten misslyckades. |
Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning. |
Förnyar molntjänstregistrering. |
Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår. |
Molntjänsternas registrering avbröts. |
Registreringen till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är inte aktiverad än. |
Aktivera en provperiod eller avsluta att flytta provperioden till produktion. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna filen för lokal keystore. |
Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet. |
Det gick inte att posta värden. |
Kontrollera åtkomst till det lokala nätverket till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats. |
Felsöka Hybrid-datasäkerhet
1 |
Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där. |
2 |
Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet. |
3 |
Kontakta Ciscos support. |
Kända problem med Hybrid-datasäkerhet
-
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.
-
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.
Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
-
ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.
-
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.
-
Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.
-
Skapa en privat nyckel.
-
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 |
När du tar emot servercertifikatet från din CA sparar du det som |
2 |
Visa certifikatet som text och verifiera informationen.
|
3 |
Använd en textredigerare för att skapa en certifikatbunkefil som heter
|
4 |
Skapa .p12-filen med det vänliga namnet
|
5 |
Kontrollera servercertifikatinformationen. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12
och lösenordet som du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör. |
Trafik mellan HDS-noderna och molnet
Samlingstrafik för utgående mätvärden
Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:
-
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
-
Uppgraderar till nodprogramvaran
Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
WebSocket kan inte ansluta via squid proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:
)-anslutningar som krävs för Hybrid Data Security. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS:
trafik för att tjänsterna ska fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktivet i squid.conf
:
on_unsupported_protocol tunnel till
Squid-3.5.27
Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex kvicksilver-anslutning ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla
Ny och ändrad information
Datum | Ändringar som gjorts | ||
---|---|---|---|
20 oktober 2023 |
| ||
07 augusti 2023 |
| ||
23 maj 2023 |
| ||
06 december 2022 |
| ||
23 november 2022 |
| ||
13 oktober 2021 | Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet. | ||
24 juni 2021 | Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil. | ||
30 april 2021 | Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information. | ||
24 februari 2021 | HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information. | ||
2 februari 2021 | HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information. | ||
11 januari 2021 | Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna. | ||
13 oktober 2020 | Uppdaterade Hämta installationsfiler. | ||
8 oktober 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer. | ||
14 augusti 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen. | ||
5 augusti 2020 | Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden. Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar. | ||
16 juni 2020 | Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet. | ||
4 juni 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in. | ||
29 maj 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden. | ||
5 maj 2020 | Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5. | ||
21 april 2020 | Uppdaterade Externa anslutningskrav med nya Americas CI-värdar. | ||
1 april 2020 | Uppdaterade Externa anslutningskrav med information om regionala CI-värdar. | ||
20 februari 2020 | Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget. | ||
4 februari 2020 | Uppdaterade Proxyserverkrav. | ||
16 december 2019 | Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav. | ||
19 november 2019 | Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt: | ||
8 november 2019 | Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt. Följande avsnitt har uppdaterats i enlighet med detta:
| ||
6 september 2019 | Lade till SQL-serverstandard till krav på databasserver. | ||
29:e augusti 2019 | Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift. | ||
20 augusti 2019 | Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet. För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät. | ||
13 juni 2019 | Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering. | ||
6 mars 2019 |
| ||
28 februari 2019 |
| ||
26 februari 2019 |
| ||
24 januari 2019 |
| ||
5 november 2018 |
| ||
19 oktober 2018 |
| ||
31 juli 2018 |
| ||
21 maj 2018 | Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:
| ||
11 april 2018 |
| ||
22 februari 2018 |
| ||
15 februari 2018 |
| ||
18 januari 2018 |
| ||
2 november 2017 |
| ||
18 augusti 2017 | Publicerad första gången |
Översikt över Hybrid-datasäkerhet
Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är kryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklarna som klienter använder för att dynamiskt kryptera och avkryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter, så ingen annan än du har nycklarna till ditt krypterade innehåll.
Arkitektur för säkerhetssfär
Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.
För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.
KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.
Förväntningar på distribution av Hybrid-datasäkerhet
En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
Den utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.
Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution. |
Konfigurationsprocess på hög nivå
Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:
Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.
Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.
Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för hybrid-datasäkerhet
I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.
Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)
Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)
Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.
Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.
Vi stöder endast ett kluster per organisation.
Testläge för hybrid-datasäkerhet
När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.
Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.
Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.
Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.
De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern. |
Konfigurera Standby-datacenter för katastrofåterställning
Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:
Innan du börjar
Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)
Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.
1 | Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.
| ||
2 | När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar | ||
3 | På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.
| ||
4 | Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. | ||
5 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||
6 | I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar.. | ||
7 | Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.
| ||
8 | Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. | ||
9 | Upprepa processen för varje nod i standby-datacentret.
|
Nästa steg
Efter konfiguration passiveMode
i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode
konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode
konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.
Proxystöd
Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministratörsgränssnitt på noderna för certifikathantering och för att kontrollera den totala anslutningsstatusen efter att du har konfigurerat proxyn på noderna.
Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:
Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.
Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.
Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:
HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.
HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.
Autentiseringstyp – Välj bland följande autentiseringstyper:
Inget – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.
Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.
Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.
Kräver att du anger användarnamn och lösenord på varje nod.
Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.
Endast tillgängligt om du väljer HTTPS som proxyprotokoll.
Kräver att du anger användarnamn och lösenord på varje nod.
Exempel på hybrid-datasäkerhetsnoder och proxy
Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.
Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)
När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.
Krav för hybrid-datasäkerhet
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet:
Du måste ha Pro Pack för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Krav på Docker-skrivbord
Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en betald prenumeration för Docker Desktop. För mer information, se Dockers blogginlägg, " Docker uppdaterar och utökar våra produktprenumerationer".
X.509 certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav | Detaljer |
---|---|
| Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (wildcard). CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner. |
| KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS. |
| Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav på virtuell värd
De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter
VM-programvara ESXi 6.5 (eller senare) installerad och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade. |
Det finns två alternativ för databasserver. Kraven för var och en är följande:
Postra SQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet) | Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:
Postra SQL | Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 | SQL-server JDBC-drivrutin 4.6 Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.
Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.
DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.
HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:
Program | Protokoll | Port | Riktning från appen | Destination |
---|---|---|---|---|
Hybrid-datasäkerhetsnoder | TCP | 443 | Utgående HTTPS och WSS |
|
HDS-konfigurationsverktyg | TCP | 443 | Utgående HTTPS |
|
Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål. |
URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:
Region | Gemensamma URL:er för identitetsvärd |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Krav på proxyserver
Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.
Transparent proxy – Cisco Web Security Appliance (WSA).
Explicit proxy – Squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.
Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:
Ingen autentisering med HTTP eller HTTPS
Grundläggande autentisering med HTTP eller HTTPS
Smälta autentisering endast med HTTPS
För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.
Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.
Proxyservrar som inspekterar webbtrafik kan störa webbanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till
wbx2.com
ochciscospark.com
löser problemet.
Slutför förutsättningarna för Hybrid-datasäkerhet
1 | Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen. | ||
2 | Välj ett domännamn för din HDS-distribution (till exempel | ||
3 | Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements. | ||
4 | Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna. | ||
5 | Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. | ||
6 | Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514). | ||
7 | Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.
Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar. | ||
8 | Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav. | ||
9 | Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav. | ||
10 | Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven. | ||
11 | Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas
|
Datasäkerhetsdistributionsflöde för hybrid
Innan du börjar
1 |
Hämta OVA-filen till din lokala dator för senare användning. | ||
2 | Skapa en konfigurations-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna. | ||
3 |
Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.
| ||
4 | Konfigurera VM för hybrid-datasäkerhet Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. | ||
5 | Ladda upp och montera HDS-konfigurationens ISO Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget. | ||
6 | Konfigurera HDS-noden för proxyintegrering Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs. | ||
7 | Registrera den första noden i klustret Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. | ||
8 | Skapa och registrera fler noder Slutför klusterkonfigurationen. | ||
9 | Kör en provperiod och flytta till produktion (nästa kapitel) Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad. |
Hämta installationsfiler
1 | Logga in på https://admin.webex.com och klicka sedan på Tjänster. | ||||
2 | I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera. Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.
| ||||
3 | Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa. OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
| ||||
4 | Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden. |
Skapa en konfigurations-ISO för HDS-värdarna
Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på maskinen för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxy utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:
Inloggningsuppgifter för databas
Certifikatuppdateringar
Ändringar i behörighetspolicy
Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.
1 | Ange ett lämpligt kommando för din miljö på din dators kommandorad: I regelbundna miljöer:
I FedRAMP-miljöer:
| ||||||||||||
2 | Om du vill logga in på Docker-bildregistret anger du följande:
| ||||||||||||
3 | Ange detta hash vid lösenordsinstruktionen:
| ||||||||||||
4 | Hämta den senaste stabila bilden för din miljö: I regelbundna miljöer:
I FedRAMP-miljöer:
| ||||||||||||
5 | När pulsen är klar anger du lämpligt kommando för din miljö:
När behållaren körs visas ”Expressserver lyssnar på port 8080”. | ||||||||||||
6 |
Använd en webbläsare för att gå till lokaliseringsvärden Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning. | ||||||||||||
7 | När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||||
8 | Klicka på Kom igång på översiktssidan Konfigurationsverktyg. | ||||||||||||
9 | På sidan ISO-import har du följande alternativ:
| ||||||||||||
10 | Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.
| ||||||||||||
11 | Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank: | ||||||||||||
12 | Välj ett TLS-databasanslutningsläge:
När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatsignerare och värdnamn, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med konfigurationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||||
13 | Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||||
14 | (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:
| ||||||||||||
15 | Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton . Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer. | ||||||||||||
16 | Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||||
17 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||||||||||||
18 | Om du vill stänga av konfigurationsverktyget skriver du |
Nästa steg
Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.
Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den. |
Installera HDS-värd-OVA
1 | Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi. | ||||||
2 | Välj Fil > Distribuera OVF-mall. | ||||||
3 | I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa. | ||||||
4 | På Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa. | ||||||
5 | På Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. | ||||||
6 | Verifiera mallinformationen och klicka sedan på Nästa. | ||||||
7 | Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa. | ||||||
8 | På Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy. | ||||||
9 | På Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM. | ||||||
10 | På sidan Anpassa mall konfigurerar du följande nätverksinställningar:
Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.
| ||||||
11 | Högerklicka på nodens VM och välj sedan .Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in. |
Konfigurera VM för hybrid-datasäkerhet
Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 | I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol. VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
|
2 | Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 | Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn. |
4 | Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 | (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn. Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 | Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft. |
Ladda upp och montera HDS-konfigurationens ISO
Innan du börjar
Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.
1 | Ladda upp ISO-filen från datorn: |
2 | Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxyintegrering
Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.
Innan du börjar
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 | Ange URL för konfiguration av HDS-nod |
2 | Gå till Trust Store och Proxy och välj sedan ett alternativ:
Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy. |
3 | Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn. Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen. |
4 | Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn. Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet. Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge. |
5 | När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft. |
6 | Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo. Noden startas om inom några minuter. |
7 | När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status. Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.
Innan du börjar
När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.
Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 | Logga in på https://admin.webex.com. |
2 | I menyn till vänster på skärmen väljer du Tjänster. |
3 | I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera. Sidan Registrera datasäkerhetsnod för hybrid visas.
|
4 | Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa. |
5 | I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till. Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa. Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet. Ett meddelande visas som visar att du kan registrera din nod i Webex.
|
7 | Klicka på Gå till nod. |
8 | Klicka på Fortsätt i varningsmeddelandet. Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
|
9 | Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
10 | Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center. |
Innan du börjar
När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.
Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 | Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 | Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet. |
3 | På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO. |
4 | Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 | Registrera noden. Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.
|
Nästa steg
Provperiod till produktionsflöde
När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.
Innan du börjar
1 | Synkronisera om tillämpligt Om din organisation använder katalogsynkronisering för användare måste du välja |
2 |
Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad. |
3 | Testa din distribution av hybrid-datasäkerhet Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet. |
4 | Övervaka datasäkerhet för hybrid Kontrollera status och konfigurera e-postaviseringar för larm. |
5 | |
6 | Slutför provfasen med någon av följande åtgärder: |
Aktivera provperiod
Innan du börjar
Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup
gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.
1 | Logga in på https://admin.webex.com och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Starta provperiod i avsnittet Tjänstestatus. Tjänstens status ändras till provläge.
|
4 | Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster. (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, |
Testa din distribution av hybrid-datasäkerhet
Innan du börjar
Konfigurera din distribution av hybrid-datasäkerhet.
Aktivera provperioden och lägg till flera provanvändare.
Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.
1 | Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.
| ||
2 | Skicka meddelanden till det nya utrymmet. | ||
3 | Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 | I Control Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 | I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar. Sidan Hybrid-datasäkerhetsinställningar visas.
|
3 | I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Lägg till eller ta bort användare från din provperiod
Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.
Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup
; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden. |
4 | Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara. |
Flytta från provperiod till produktion
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Flytta till produktion i avsnittet Tjänstestatus. |
4 | Bekräfta att du vill flytta alla dina användare till produktion. |
Avsluta din provperiod utan att gå till produktion
1 | Logga in på Control Hub och välj sedan Tjänster. |
2 | Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 | Klicka på Inaktivera i avsnittet Inaktivera. |
4 | Bekräfta att du vill inaktivera tjänsten och avsluta provperioden. |
Hantera HDS-distribution
Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 | Logga in på Control Hub. |
2 | Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt. |
3 | Välj klustret på sidan Resurser för datasäkerhet för hybrid. |
4 | Välj klusternamnet under Klusterinställningar i panelen Översikt till höger. |
5 | Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering. Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga. |
Ändra nodkonfigurationen
Ändra x.509-certifikat på grund av upphörande eller andra skäl.
Vi stöder inte ändring av CN-domännamnet för ett certifikat. Domänen måste matcha den ursprungliga domänen som används för att registrera klustret.
Uppdaterar databasinställningarna för att ändra till en kopia av databasen PostgreSQL eller Microsoft SQL Server.
Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.
Skapar en ny konfiguration för att förbereda ett nytt datacenter.
Hybrid Data Security använder även lösenord för tjänstekonton som har en nimånaders livslängd av säkerhetsskäl. När HDS-konfigurationsverktyget genererar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten ”Använd datorkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har löpt ut ännu ger verktyget dig två alternativ:
Mjuk återställning – både gamla och nya lösenord fungerar i upp till 10 dagar. Använd denna period för att gradvis ersätta ISO-filen på noderna.
Hård återställning – de gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan återställning påverkar det din HDS-tjänst, vilket kräver omedelbar hård återställning och byte av ISO-filen på alla noder.
Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på maskinen för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxy utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive databasuppgifter, certifikatuppdateringar eller ändringar i behörighetspolicyn.
1 | Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 | Om du bara har en HDS-nod som körs skapar du en ny VM för hybrid-datasäkerhet och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 | För befintliga HDS-noder som kör den äldre konfigurationsfilen monterar du ISO-filen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod: |
4 | Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Stäng av blockerat externt DNS-upplösningsläge
När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.
Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.
Innan du börjar
1 | I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in. |
2 | Gå till Översikt (standardsidan). När detta är aktiverat är Blockerad extern DNS-upplösning inställt på Ja. |
3 | Gå till sidan Trust Store och Proxy. |
4 | Klicka på Kontrollera proxyanslutning. Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej. |
Nästa steg
Ta bort en nod
1 | Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 | Ta bort noden: |
3 | I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.) Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata. |
Katastrofåterställning med väntedatacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.
1 | Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. | ||
2 | När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar | ||
3 | På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort
| ||
4 | Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. | ||
5 | Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar. | ||
6 | I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar.. | ||
7 | Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.
| ||
8 | Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. | ||
9 | Upprepa processen för varje nod i standby-datacentret.
|
Nästa steg
(Valfritt) Ta bort ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 | Stäng av en av dina HDS-noder. |
2 | Välj HDS-noden i vCenter-serverenheten. |
3 | Välj Datastore ISO-fil. och avmarkera |
4 | Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter. |
5 | Upprepa för varje HDS-nod i tur och ordning. |
Visa aviseringar och felsökning
En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:
Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)
Meddelanden och utrymmestilar kan inte avkrypteras för:
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)
Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.
Aviseringar
Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.
Varning | Åtgärd |
---|---|
Åtkomst till lokal databas misslyckades. |
Kontrollera om det finns databasfel eller problem i det lokala nätverket. |
Det gick inte att ansluta till den lokala databasen. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen. |
Åtkomst till molntjänsten misslyckades. |
Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning. |
Förnyar molntjänstregistrering. |
Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår. |
Molntjänsternas registrering avbröts. |
Registreringen till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är inte aktiverad än. |
Aktivera en provperiod eller avsluta att flytta provperioden till produktion. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna filen för lokal keystore. |
Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet. |
Det gick inte att posta värden. |
Kontrollera åtkomst till det lokala nätverket till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats. |
Felsöka Hybrid-datasäkerhet
1 | Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där. |
2 | Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet. |
3 | Kontakta Ciscos support. |
Kända problem med Hybrid-datasäkerhet
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.
Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.
Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.
Skapa en privat nyckel.
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 | När du tar emot servercertifikatet från din CA sparar du det som |
2 | Visa certifikatet som text och verifiera informationen.
|
3 | Använd en textredigerare för att skapa en certifikatpaket som kallas
|
4 | Skapa .p12-filen med det vänliga namnet
|
5 | Kontrollera servercertifikatinformationen. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12
filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör. |
Trafik mellan HDS-noderna och molnet
Samlingstrafik för utgående mätvärden
Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
Uppgraderar till nodprogramvaran
Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet
Websocket kan inte ansluta via Squid-proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:
) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss:
trafik för att tjänsterna skall fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktiv till squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Förord
Ny och ändrad information
Datum |
Ändringar som har gjorts |
---|---|
20 oktober 2023 |
|
07:e augusti 2023 |
|
23 maj 2023 |
|
06:e december 2022 |
|
23 november 2022 |
|
13 oktober 2021 |
Docker Desktop måste köra ett installationsprogram innan du kan installera HDS-noder. Se Krav på Docker Desktop. |
24 juni 2021 |
Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Mer information finns i Använd OpenSSL för att generera en PKCS12-fil . |
30 april 2021 |
Ändrade VM-kravet för lokalt hårddiskutrymme till 30 GB. Se Krav för virtuell värd för mer information. |
24 februari 2021 |
HDS-konfigurationsverktyget kan nu köras bakom en proxy. Mer information finns i Skapa en ISO-konfiguration för HDS-värdarna . |
2 februari, 2021 |
HDS kan nu köras utan en monterad ISO-fil. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information. |
11 januari 2021 |
Lade till information om verktyget för HDS-konfiguration och proxyservrar för att Skapa en konfiguration-ISO för HDS-värdarna. |
13 oktober 2020 |
Uppdaterade Hämta installationsfiler. |
8 oktober 2020 |
Uppdaterade Skapa en konfiguration ISO för HDS-värdarna och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer. |
14 augusti 2020 |
Uppdaterade Skapa en konfiguration-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen. |
5 augusti 2020 |
Uppdaterade Testa din Hybrid-datasäkerhetsdistribution för ändringar i loggmeddelanden. Uppdaterade Krav för virtuell värd för att ta bort maximalt antal värdar. |
16 juni 2020 |
Uppdaterade Ta bort en nod för ändringar i användargränssnittet för Control Hub. |
4 juni 2020 |
Uppdaterade Skapa en konfiguration ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in. |
29 maj 2020 |
Uppdaterad Skapa en konfiguration-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL Server-databaser, ändringar av användargränssnittet och andra klargöranden. |
5 maj 2020 |
Uppdaterade krav för virtuell värd för att visa nya krav för ESXi 6.5. |
21 april 2020 |
Externa anslutningskrav har uppdaterats med nya Americas CI-värdar. |
1 april 2020 |
Externa anslutningskrav har uppdaterats med information om regionala CI-värdar. |
20 februari 2020 | Uppdaterad Skapa en konfiguration-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget. |
4 februari 2020 | Proxyserverkrav har uppdaterats. |
16 december 2019 | Förtydligade kravet på att Blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav. |
19 november 2019 |
Lade till information om blockerat externt DNS-upplösningsläge i följande avsnitt: |
8 november 2019 |
Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA i stället för efteråt. Följande avsnitt uppdaterades i enlighet med detta: Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner. |
6:e september 2019 |
Lade till SQL Server Standard i Databasserverkrav. |
29:e augusti 2019 | Lade till bilagan Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om hur du konfigurerar Squid-proxyservrar för att ignorera websocket-trafik för korrekt drift. |
20:e augusti 2019 |
Lade till och uppdaterade avsnitt för proxystöd för kommunikation med datasäkerhetsnod för hybrid till Webex-molnet. Se hjälpartikeln Proxysupport för hybrid-datasäkerhet och Webex-videonät för att få åtkomst till endast innehållet i proxysupport för en befintlig distribution. |
13 juni 2019 | Uppdaterat Uppgiftsflöde för provperiod till produktion med en påminnelse om att synkronisera HdsTrialGroup -gruppobjektet innan en provperiod startas om din organisation använder katalogsynkronisering. |
6 mars 2019 |
|
28 februari 2019 |
|
26 februari 2019 |
|
24 januari 2019 |
|
5 november 2018 |
|
19 oktober 2018 |
|
31 juli 2018 |
|
21 maj 2018 |
Ändrade terminologi för att återspegla ommärkningen av Cisco Webex Teams:
|
11 april 2018 |
|
22 februari 2018 |
|
15 februari 2018 |
|
18 januari 2018 |
|
2 november 2017 |
|
18 augusti 2017 |
Första publicerad |
Kom igång med Hybrid-datasäkerhet
Översikt över Hybrid-datasäkerhet
Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.
Säkerhetsarkitektur
Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.
För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:
-
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
-
Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.
-
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
-
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.
KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution.
Förväntningar på att distribuera Hybrid-datasäkerhet
En distribution av Hybrid-datasäkerhet kräver ett betydande kundengagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
-
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
-
Utrustning, programvara och nätverksåtkomst som beskrivs i .
Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
-
Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.
-
Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.
Installationsprocess på hög nivå
Det här dokumentet beskriver installation och hantering av en datasäkerhetsdistribution för hybrid:
Konfigurera Hybrid-datasäkerhet – detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för Hybrid-datasäkerhet, testning av din distribution med en undergrupp av användare i provläge och, när testningen är klar, övergång till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, provnings- och produktionsfaserna beskrivs i detalj i de följande tre kapitlen.
-
Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.
-
Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för Hybrid-datasäkerhet
I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.
Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)
Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)
Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.
Noder blir aktiva när du registrerar dem i Control Hub. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.
Vi har endast stöd för ett kluster per organisation.
Provläge för Hybrid-datasäkerhet
När du har konfigurerat en distribution av Hybrid-datasäkerhet kan du först prova den med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.
Om du bestämmer dig för att inte fortsätta med distributionen under provperioden och inaktivera tjänsten förlorar pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden åtkomsten till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.
Om du är nöjd med att din distribution fungerar bra för provanvändarna och du är redo att utöka Hybrid-datasäkerhet till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortsatt åtkomst till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläge och den ursprungliga provperioden. Om du måste inaktivera tjänsten, till exempel för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläge när du återaktiverar den. Om användarna behåller åtkomst till data just nu beror på om du har upprätthållit säkerhetskopieringar av nyckeldatalagret och ISO-konfigurationsfilen för datasäkerhetsnoderna för hybrid i ditt kluster.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.
Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans. ISO-filen för datacentret för vänteläge har uppdaterats med ytterligare konfigurationer som säkerställer att noderna är registrerade i organisationen, men inte hanterar trafik. Därför förblir noderna i datacentret i vänteläge alltid uppdaterade med den senaste versionen av HDS-programvaran.
De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.
Konfigurera datacenter för vänteläge för katastrofåterställning
Följ stegen nedan för att konfigurera ISO-filen för datacentret för vänteläge:
Innan du börjar
-
Standby-datacentret bör spegla produktionsmiljön för virtuella datorer och en säkerhetskopierad PostgreSQL- eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer. (Se Standby-datacenter för katastrofåterställning för en översikt över den här redundansmodellen.)
-
Se till att databassynkronisering är aktiverad mellan databasen med aktiva och passiva klusternoder.
1 |
Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. ISO-filen måste vara en kopia av den ursprungliga ISO-filen för det primära datacenter där följande konfigurationsuppdateringar ska göras. |
2 |
När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar |
3 |
På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget kommer noden att registreras hos organisationen och vara ansluten till molnet, men den kommer inte att hantera någon trafik.
|
4 |
Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. |
5 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. |
6 |
I VMware vSphere-klientens vänstra navigeringspanel högerklickar du på VM-datorn och klickar på Redigera inställningar.. |
7 |
Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager. Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats. |
8 |
Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter. |
9 |
Upprepa processen för varje nod i datacentret för vänteläge. Kontrollera syslog för att verifiera att noderna är i passivt läge. Du bör kunna visa meddelandet ”KMS konfigurerad i passivt läge” i syslog-fälten. |
Nästa steg
När du har konfigurerat passiveMode
i ISO-filen och sparat den kan du skapa en annan kopia av ISO-filen utan passiveMode
-konfigurationen och spara den på en säker plats. Denna kopia av ISO-filen utan konfigurerat PassiveMode
kan hjälpa till med en snabb redundansprocess under katastrofåterställning. Se Katastrofåterställning med hjälp av datacenter för vänteläge för detaljerad redundans.
Proxy-Support
Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.
Datanoderna för Hybrid har stöd för följande proxyinställningar:
-
Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.
-
Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
-
Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
-
Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:
-
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
-
Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.
-
Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:
-
HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.
-
HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.
-
-
Autentiseringstyp – Välj bland följande autentiseringstyper:
-
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
-
Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.
Endast tillgängligt om du har valt HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
-
Exempel på data säkerhets noder och proxy för Hybrid
Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.
Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.
Förbered din miljö
Krav för Hybrid-datasäkerhet
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet:
-
Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Skrivbordskrav för Docker
Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".
X.509-certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav |
Detaljer |
---|---|
|
Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (jokertecken). CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet. Välj en domän som kan gälla för både provperiods- och produktionsdistributioner. |
|
KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS. |
|
Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav för virtuell värd
De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
-
Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter
-
VMware ESXi 6.5 (eller senare) installeras och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
-
Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.
Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:
PostgreSQL |
Microsoft SQL-server |
---|---|
|
|
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:
PostgreSQL |
Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 |
SQL Server JDBC-drivrutin 4.6 Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
-
Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.
-
Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.
-
DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).
-
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.
HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:
Program |
Protokoll |
Port |
Riktning från appen |
Destination |
---|---|---|---|---|
Datasäkerhetsnoder för hybrid |
TCP |
443 |
Utgående HTTPS och WSS |
|
Inställningsverktyg för HDS |
TCP |
443 |
Utgående HTTPS |
|
Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.
URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:
Region |
URL:er för Common Identity Host |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Proxy Server krav
-
Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.
-
Transparent proxy – Cisco webb säkerhetsutrustning (WSA).
-
Explicit proxy – squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.
-
-
Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:
-
Ingen autentisering med HTTP eller HTTPS
-
Grundläggande autentisering med HTTP eller HTTPS
-
Digest-autentisering med endast HTTPS
-
-
För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.
-
Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.
-
Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till
wbx2.com
ochciscospark.com
.
Uppfyll förutsättningarna för Hybrid-datasäkerhet
1 |
Se till att din Webex-organisation är aktiverad för Pro-paketet för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga rättigheter till organisationsadministratör. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen. |
2 |
Välj ett domännamn för din HDS-distribution (till exempel |
3 |
Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd. |
4 |
Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna. |
5 |
För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer. |
6 |
Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514). |
7 |
Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid. Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet. Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar. |
8 |
Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning. |
9 |
Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Din organisation kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning. |
10 |
Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver. |
11 |
Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som heter Nycklar för ett givet utrymme ställs in av utrymmets skapare. När du väljer pilotanvändare bör du tänka på att om du bestämmer dig för att inaktivera distributionen av Hybrid-datasäkerhet permanent förlorar alla användare åtkomst till innehåll i de utrymmen som har skapats av pilotanvändarna. Förlusten syns så snart användarnas appar uppdaterar sina cachelagrade kopior av innehållet. |
Konfigurera ett datasäkerhetskluster för hybrid
Uppgiftsflöde för distribution av Hybrid-datasäkerhet
Innan du börjar
1 |
Utför initial konfiguration och hämta installationsfiler Hämta OVA-filen till din lokala dator för senare användning. |
2 |
Skapa en konfiguration-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid. |
3 |
Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner. |
4 |
Konfigurera VM för datasäkerhet för hybrid Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. |
5 |
Ladda upp och montera ISO för HDS-konfiguration Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget. |
6 |
Konfigurera HDS-noden för proxy-integrering Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs. |
7 |
Registrera den första noden i klustret Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. |
8 |
Skapa och registrera fler noder Slutför klusterkonfigurationen. |
9 |
Kör en provperiod och gå till produktion (nästa kapitel) Innan du påbörjar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte har aktiverats. |
Hämta installationsfiler
1 |
Logga in på https://admin.webex.com och klicka sedan på Tjänster. |
2 |
I avsnittet Hybrid-tjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera. Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be din organisation aktivera datasäkerhet för hybrid. För att hitta kontonumret klickar du på kugghjulet längst upp till höger bredvid ditt organisationsnamn. Du kan också när som helst hämta OVA från avsnittet Hjälp på sidan Inställningar . På Hybrid-datasäkerhetskortet klickar du på Redigera inställningar för att öppna sidan. Klicka sedan på Hämta programvara för hybrid-datasäkerhet i avsnittet Hjälp . Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen. |
3 |
Välj Nej för att indikera att du inte har konfigurerat noden än och klicka sedan på Nästa. OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
|
4 |
Du kan även klicka på Öppna distributionsguide för att kontrollera om det finns en senare version av guiden tillgänglig. |
Skapa en konfiguration-ISO för HDS-värdarna
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver autentiseringsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. | ||||||||||
2 |
För att logga in på Docker-bildregistret anger du följande: | ||||||||||
3 |
Vid lösenordsupp prompten anger du detta hash: | ||||||||||
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: | ||||||||||
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". | ||||||||||
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. | ||||||||||
7 |
När du uppmanas till det anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. | ||||||||||
9 |
På sidan ISO-import har du följande alternativ:
| ||||||||||
10 |
Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.
| ||||||||||
11 |
Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager: | ||||||||||
12 |
Välj ett anslutningsläge för TLS-databasen:
När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||
13 |
Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||
14 |
(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra: | ||||||||||
15 |
Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton . Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer. | ||||||||||
16 |
Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||
17 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. | ||||||||||
18 |
Om du vill stänga av konfigurationsverktyget skriver du |
Nästa steg
Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.
Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.
Installera HDS-värd-OVA
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden. |
2 |
Välj Arkiv > Distribuera OVF-mall. |
3 |
I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa. |
4 |
På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa. |
5 |
På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. |
6 |
Verifiera mallinformationen och klicka sedan på Nästa. |
7 |
Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa. |
8 |
På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn. |
9 |
På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn. |
10 |
Konfigurera följande nätverksinställningar på sidan Anpassa mall :
Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner. |
11 |
Högerklicka på nodens VM och välj sedan .Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in. |
Konfigurera VM för datasäkerhet för hybrid
Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 |
I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol . VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
|
2 |
Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 |
Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn. |
4 |
Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 |
(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy. Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 |
Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla. |
Ladda upp och montera ISO för HDS-konfiguration
Innan du börjar
Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.
1 |
Ladda upp ISO-filen från datorn: |
2 |
Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxy-integrering
Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.
Innan du börjar
-
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 |
Skriv in URL: en för HDS-nodens konfiguration |
2 |
Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:
Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy. |
3 |
Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn. Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen. |
4 |
Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn. Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge. |
5 |
När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla. |
6 |
Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo. Noden startas om inom några minuter. |
7 |
När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd. Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Hybrid-tjänster letar du efter Hybrid-datasäkerhet och klickar på Konfigurera. Sidan Registrera datasäkerhetsnod för hybrid visas.
|
4 |
Välj Ja för att ange att du har konfigurerat noden och är redo att registrera den och klicka sedan på Nästa. |
5 |
I det första fältet anger du ett namn för det kluster som du vill tilldela din datasäkerhetsnod för hybrid till. Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 |
I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa. Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet. Ett meddelande visas som anger att du kan registrera din nod till Webex.
|
7 |
Klicka på Gå till nod. |
8 |
Klicka på Fortsätt i varningsmeddelandet. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
|
9 |
Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
10 |
Klicka på länken eller stäng fliken för att gå tillbaka till sidan för datasäkerhet för hybrid i Control Hub. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
För närvarande är de virtuella säkerhetskopieringsdatorer som du har skapat i Slutför förutsättningarna för hybrid-datasäkerhet vänteläge som endast används vid katastrofåterställning. De registreras inte i systemet förrän då. Mer information finns i Katastrofåterställning med Standby-datacenter.
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 |
Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet. |
3 |
Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn. |
4 |
Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 |
Registrera noden. Din nod är registrerad. Observera att innan du påbörjar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte har aktiverats.
|
Nästa steg
Kör en provperiod och gå till produktion
Uppgiftsflöde för provperiod till produktion
När du har konfigurerat ett Hybrid-datasäkerhetskluster kan du starta ett pilotprojekt, lägga till användare i det och börja använda det för att testa och verifiera din distribution som förberedelse inför övergången till produktion.
Innan du börjar
1 |
Synkronisera gruppobjektet Om din organisation använder katalogsynkronisering för användare måste du välja gruppobjektet |
2 |
Påbörja en provperiod. Innan du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte har aktiverats. |
3 |
Testa din datasäkerhetsdistribution för hybrid Kontrollera att nyckelförfrågningar skickas till din distribution av Hybrid-datasäkerhet. |
4 |
Övervaka datasäkerhet för hybrid Kontrollera status och konfigurera e-postaviseringar för larm. |
5 | |
6 |
Slutför provfasen med någon av följande åtgärder: |
Aktivera provperiod
Innan du börjar
Om din organisation använder katalogsynkronisering för användare måste du välja gruppobjektet HdsTrialGroup
för synkronisering med molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i Distributionsguide för Cisco Directory Connector.
1 |
Logga in på https://admin.webex.com och välj sedan Tjänster. |
2 |
Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 |
I avsnittet Tjänststatus klickar du på Starta provperiod. Tjänstens status ändras till provläge.
|
4 |
Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att testa användningen av dina Hybrid-datasäkerhetsnoder för kryptering och indexering av tjänster. (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, |
Testa din datasäkerhetsdistribution för hybrid
Innan du börjar
-
Konfigurera din distribution av Hybrid-datasäkerhet.
-
Aktivera provperioden och lägg till flera provanvändare.
-
Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din distribution av Hybrid-datasäkerhet.
1 |
Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av pilotanvändarna och skapa sedan ett utrymme och bjud in minst en pilotanvändare och en icke-pilotanvändare. Om du inaktiverar distributionen av Hybrid-datasäkerhet är innehåll i utrymmen som pilotanvändare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts. |
2 |
Skicka meddelanden till det nya utrymmet. |
3 |
Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 |
I Control Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 |
I avsnittet Hybrid-tjänster letar du efter Hybrid-datasäkerhet och klickar på Inställningar. Sidan Inställningar för Hybrid-datasäkerhet visas.
|
3 |
I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Lägg till eller ta bort användare från din provperiod
Om du tar bort en användare från provperioden kommer användarens klient att begära nycklar och skapa nycklar från molnet-KMS i stället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnhanteraren den för användarens räkning.
Om din organisation använder katalogsynkronisering använder du Active Directory (istället för denna procedur) för att hantera provgruppen, HdsTrialGroup
. Du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.
1 |
Logga in på Control Hub och välj sedan Tjänster. |
2 |
Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 |
I avsnittet Provläge i området Tjänststatus klickar du på Lägg till användare eller på Visa och redigera för att ta bort användare från provperioden. |
4 |
Ange e-postadressen till en eller flera användare att lägga till, eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara. |
Flytta från provperiod till produktion
1 |
Logga in på Control Hub och välj sedan Tjänster. |
2 |
Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 |
I avsnittet Tjänststatus klickar du på Flytta till produktion. |
4 |
Bekräfta att du vill flytta alla dina användare till produktion. |
Avsluta provperioden utan att gå till produktion
1 |
Logga in på Control Hub och välj sedan Tjänster. |
2 |
Under Hybrid-datasäkerhet klickar du på Inställningar. |
3 |
Klicka på Inaktivera i avsnittet Inaktivera. |
4 |
Bekräfta att du vill inaktivera tjänsten och avsluta provperioden. |
Hantera din HDS-distribution
Hantera HDS-distribution
Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 |
Logga in på Control Hub. |
2 |
På översiktssidan under Hybrid-tjänster väljer du Hybrid-datasäkerhet. |
3 |
Välj klustret på sidan Hybrid-datasäkerhetsresurser. |
4 |
Välj klusternamnet under Klusterinställningar i översiktspanelen till höger. |
5 |
Välj tid och tidszon för uppgraderingsschemat under Uppgradera på sidan Inställningar. Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg. |
Ändra nodkonfigurationen
-
Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.
Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
-
Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.
-
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:
-
Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.
-
Hård återställning – De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.
Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver autentiseringsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.
1 |
Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 |
Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen ISO. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 |
Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod: |
4 |
Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Inaktivera blockerad extern DNS-Matchningstid
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.
Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.
Innan du börjar
1 |
Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in. |
2 |
Går du till Översikt (standard sidan). När den är aktive rad är blockerad extern DNS-matchning inställd på Ja. |
3 |
Går du till sidan betrodda certifikat \ proxy . |
4 |
Klicka på kontrol lera proxy-anslutning. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej. |
Nästa steg
Ta bort en nod
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 |
Ta bort noden: |
3 |
Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.) Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata. |
Katastrofåterställning med Standby-datacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.
1 |
Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. |
2 |
När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar |
3 |
På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort konfigurationen
|
4 |
Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. |
5 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. |
6 |
I VMware vSphere-klientens vänstra navigeringspanel högerklickar du på VM-datorn och klickar på Redigera inställningar.. |
7 |
Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager. Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats. |
8 |
Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter. |
9 |
Upprepa processen för varje nod i datacentret för vänteläge. Kontrollera syslog-utdata för att kontrollera att noderna i standby-datacentret inte är i passivt läge. ”KMS konfigurerad i passivt läge” ska inte visas i syslog. |
Nästa steg
(Valfritt) Avmontera ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 |
Stäng av en av dina HDS-noder. |
2 |
Välj HDS-noden i vCenter-serverenheten. |
3 |
Välj ISO-fil för datalager. och avmarkera |
4 |
Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter. |
5 |
Upprepa för varje HDS-nod i tur och ordning. |
Felsök Hybrid-datasäkerhet
Visa aviseringar och felsökning
En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:
-
Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)
-
Meddelanden och utrymmetitlar kan inte avkrypteras för:
-
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
-
Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)
-
-
Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.
Aviseringar
Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.
Avisering |
Åtgärd |
---|---|
Åtkomstfel i lokal databas. |
Kontrollera om det finns databasfel eller problem med det lokala nätverket. |
Anslutning till lokal databas misslyckades. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen. |
Åtkomstfel för molntjänst. |
Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning. |
Förnyar registrering av molntjänster. |
Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår. |
Registreringen av molntjänsten har avbrutits. |
Registrering till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är ännu inte aktiverad. |
Aktivera en provperiod eller slutför att flytta provperioden till produktion. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna den lokala keystore-filen. |
Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare. |
Det gick inte att publicera mätvärden. |
Kontrollera lokala nätverksåtkomst till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras. |
Felsök Hybrid-datasäkerhet
1 |
Granska Control Hub för eventuella aviseringar och fixa alla objekt som du hittar där. |
2 |
Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. |
3 |
Kontakta Ciscos support. |
Övriga anteckningar
Kända problem med Hybrid-datasäkerhet
-
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan dina Webex-appanvändare inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Detta gäller både för provnings- och produktionsdistributioner. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.
-
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme). När en användare blir medlem i en provperiod för datasäkerhet för hybrid fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills tidsgränsen löper ut. Alternativt kan användaren logga ut och tillbaka in i Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.
Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utanför provperioden med befintliga ECDH-anslutningar till de tidigare datasäkerhetstjänsterna kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och logga in igen).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
-
OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.
-
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.
-
Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.
-
Skapa en privat nyckel.
-
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 |
När du får servercertifikatet från din CA sparar du det som |
2 |
Visa certifikatet som text och verifiera informationen.
|
3 |
Använd en textredigerare för att skapa en fil med certifikatpaket som heter
|
4 |
Skapa .p12-filen med det vänliga namnet
|
5 |
Kontrollera informationen om servercertifikatet. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12
och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.
Trafik mellan HDS-noderna och molnet
Insamlingstrafik för utgående mätvärden
Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:
-
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
-
Uppgraderingar av nodprogramvaran
Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
WebSocket kan inte ansluta via squid proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:
) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS:
trafik för att tjänsterna ska fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktivet i squid.conf
:
on_unsupported_protocol tunnel alla
Squid-3.5.27
Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla