- Start
- /
- Artikel
Distributionsguide för hybrid datasäkerhet (HDS) med flera hyresgäster (Beta)
Ny och ändrad information
Ny och ändrad information
Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.
Datum |
Ändringar har gjorts |
---|---|
13 december 2024 |
Första versionen. |
Inaktivera Hybrid-datasäkerhet för flera klienter
Uppgiftsflöde för inaktivering av HDS för flera klienter
Följ dessa steg för att inaktivera HDS för flera klienter helt.
Innan du börjar
1 |
Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer. |
2 |
Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.. |
3 |
Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod. |
4 |
Ta bort alla dina kluster från partnerhubben med en av följande två metoder.
|
5 |
Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet. |
Kom igång med Hybrid-datasäkerhet för flera klienter
Översikt över datasäkerhet för flera klienter för hybrid
Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.
Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.
Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.
Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll
- Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
- Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
- Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
- Stöder mötes-, meddelande- och samtalsinnehåll.
Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.
Roller i Hybrid-datasäkerhet för flera klienter
- Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
- Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
- Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
- Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
- Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.
Säkerhetsarkitektur
Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:
-
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
-
Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.
-
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
-
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.
Förväntningar på att distribuera Hybrid-datasäkerhet
En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
-
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
-
Utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
-
Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.
-
Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.
Installationsprocess på hög nivå
Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:
-
Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.
-
Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.
-
Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för Hybrid-datasäkerhet
I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.
Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)
Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.
Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.
De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.
Proxy-Support
Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.
Datanoderna för Hybrid har stöd för följande proxyinställningar:
-
Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.
-
Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
-
Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
-
Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:
-
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
-
Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.
-
Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:
-
HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.
-
HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.
-
-
Autentiseringstyp – Välj bland följande autentiseringstyper:
-
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
-
Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.
Endast tillgängligt om du har valt HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
-
Exempel på data säkerhets noder och proxy för Hybrid
Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.
Förbered din miljö
Krav för datasäkerhet för flera klienter för hybrid
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet för flera klienter:
-
Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.
-
Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Skrivbordskrav för Docker
Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".
X.509-certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav |
Detaljer |
---|---|
|
Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (jokertecken). CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet. |
|
KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS. |
|
Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav för virtuell värd
De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
-
Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter
-
VMware ESXi 6.5 (eller senare) installeras och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
-
Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.
Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:
PostgreSQL |
Microsoft SQL-server |
---|---|
|
|
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:
PostgreSQL |
Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 |
SQL Server JDBC-drivrutin 4.6 Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
-
Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.
-
Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.
-
DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).
-
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.
HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:
Program |
Protokoll |
Port |
Riktning från appen |
Destination |
---|---|---|---|---|
Datasäkerhetsnoder för hybrid |
TCP |
443 |
Utgående HTTPS och WSS |
|
Inställningsverktyg för HDS |
TCP |
443 |
Utgående HTTPS |
|
Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.
URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:
Region |
URL:er för Common Identity Host |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Singapore |
|
Förenade Arabemiraten |
|
Proxy Server krav
-
Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.
-
Transparent proxy – Cisco webb säkerhetsutrustning (WSA).
-
Explicit proxy – squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.
-
-
Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:
-
Ingen autentisering med HTTP eller HTTPS
-
Grundläggande autentisering med HTTP eller HTTPS
-
Digest-autentisering med endast HTTPS
-
-
För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.
-
Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.
-
Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till
wbx2.com
ochciscospark.com
.
Uppfyll förutsättningarna för Hybrid-datasäkerhet
1 |
Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen. Kundorganisationer bör inte ha någon befintlig HDS-distribution. |
2 |
Välj ett domännamn för din HDS-distribution (till exempel |
3 |
Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd. |
4 |
Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna. |
5 |
För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer. |
6 |
Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514). |
7 |
Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid. Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet. Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar. |
8 |
Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning. |
9 |
Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning. |
10 |
Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver. |
Konfigurera ett datasäkerhetskluster för hybrid
Uppgiftsflöde för distribution av Hybrid-datasäkerhet
1 |
Utför initial konfiguration och hämta installationsfiler Hämta OVA-filen till din lokala dator för senare användning. |
2 |
Skapa en konfiguration-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid. |
3 |
Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner. |
4 |
Konfigurera VM för datasäkerhet för hybrid Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. |
5 |
Ladda upp och montera ISO för HDS-konfiguration Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget. |
6 |
Konfigurera HDS-noden för proxy-integrering Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs. |
7 |
Registrera den första noden i klustret Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. |
8 |
Skapa och registrera fler noder Slutför klusterkonfigurationen. |
9 |
Aktivera HDS för flera klienter i partnerhubben. Aktivera HDS och hantera klientorganisationer i partnerhubben. |
Utför initial konfiguration och hämta installationsfiler
I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.
1 |
Logga in på Partner Hub och klicka sedan på Tjänster. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera. |
3 |
Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara . Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen. Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på . OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
|
4 |
Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig. |
Skapa en konfiguration-ISO för HDS-värdarna
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö anger du proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5 nedan. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. | ||||||||||
2 |
För att logga in på Docker-bildregistret anger du följande: | ||||||||||
3 |
Vid lösenordsupp prompten anger du detta hash: | ||||||||||
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: | ||||||||||
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". | ||||||||||
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. | ||||||||||
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. | ||||||||||
9 |
På sidan ISO-import har du följande alternativ:
| ||||||||||
10 |
Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.
| ||||||||||
11 |
Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager: | ||||||||||
12 |
Välj ett anslutningsläge för TLS-databasen:
När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||
13 |
Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||
14 |
(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra: | ||||||||||
15 |
Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton . Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer. | ||||||||||
16 |
Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||
17 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. | ||||||||||
18 |
Om du vill stänga av konfigurationsverktyget skriver du |
Nästa steg
Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.
Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.
Installera HDS-värd-OVA
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden. |
2 |
Välj Arkiv > Distribuera OVF-mall. |
3 |
I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa. |
4 |
På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa. |
5 |
På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. |
6 |
Verifiera mallinformationen och klicka sedan på Nästa. |
7 |
Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa. |
8 |
På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn. |
9 |
På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn. |
10 |
Konfigurera följande nätverksinställningar på sidan Anpassa mall :
Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner. |
11 |
Högerklicka på nodens VM och välj sedan .Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in. |
Konfigurera VM för datasäkerhet för hybrid
Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 |
I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol . VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
|
2 |
Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 |
Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn. |
4 |
Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 |
(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy. Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 |
Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla. |
Ladda upp och montera ISO för HDS-konfiguration
Innan du börjar
Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.
1 |
Ladda upp ISO-filen från datorn: |
2 |
Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxy-integrering
Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.
Innan du börjar
-
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 |
Skriv in URL: en för HDS-nodens konfiguration |
2 |
Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:
Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy. |
3 |
Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn. Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen. |
4 |
Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn. Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge. |
5 |
När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla. |
6 |
Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo. Noden startas om inom några minuter. |
7 |
När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd. Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera. |
4 |
Klicka på Lägg till en resurs på sidan som öppnas. |
5 |
I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till. Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 |
I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen. Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet. Ett meddelande visas som anger att du kan registrera din nod till Webex.
|
7 |
Klicka på Gå till nod. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod. |
8 |
Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
9 |
Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 |
Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet. |
3 |
Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn. |
4 |
Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 |
Registrera noden. |
Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid
Aktivera HDS för flera klienter i partnerhubben
Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.
Innan du börjar
Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. |
4 |
Klicka på Aktivera HDS på kortet HDS-status . |
Lägg till klientorganisationer i Partner Hub
I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
Klicka på klustret som du vill att en kund ska tilldelas till. |
5 |
Gå till fliken Tilldelade kunder . |
6 |
Klicka på Lägg till kunder. |
7 |
Välj kunden som du vill lägga till från rullgardinsmenyn. |
8 |
Klicka på Lägg till, kunden kommer att läggas till i klustret. |
9 |
Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster. |
10 |
Klicka på Klar längst ner på skärmen när du har lagt till kunderna. |
Nästa steg
Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget
Innan du börjar
Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. Se till att du är ansluten till databasen för att utföra CMK-hantering. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad. |
13 |
Om CMK inte kan skapas visas ett fel. |
Ta bort klientorganisationer
Innan du börjar
När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från. |
5 |
Klicka på Tilldelade kunder på sidan som öppnas. |
6 |
I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster. |
Nästa steg
Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.
Återkalla CMK:er för klienter som tagits bort från HDS.
Innan du börjar
Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen. |
13 |
Om CMK-återkallelsen misslyckas visas ett fel. |
Testa din datasäkerhetsdistribution för hybrid
Testa din datasäkerhetsdistribution för hybrid
Innan du börjar
-
Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.
-
Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.
1 |
Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme. Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts. |
2 |
Skicka meddelanden till det nya utrymmet. |
3 |
Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 |
I Partner Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. Sidan Inställningar för Hybrid-datasäkerhet visas.
|
3 |
I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Hantera din HDS-distribution
Hantera HDS-distribution
Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 |
Logga in på Partner Hub. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera |
4 |
Välj klustret på sidan Hybrid-datasäkerhetsresurser. |
5 |
Klicka på fliken Klusterinställningar . |
6 |
Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar. Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar. |
Ändra nodkonfigurationen
-
Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.
Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
-
Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.
-
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:
-
Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.
-
Hård återställning – De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.
Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.
1 |
Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 |
Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen ISO. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 |
Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod: |
4 |
Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Inaktivera blockerad extern DNS-Matchningstid
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.
Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.
Innan du börjar
1 |
Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in. |
2 |
Går du till Översikt (standard sidan). ![]() När den är aktive rad är blockerad extern DNS-matchning inställd på Ja. |
3 |
Går du till sidan betrodda certifikat \ proxy . |
4 |
Klicka på kontrol lera proxy-anslutning. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej. |
Nästa steg
Ta bort en nod
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 |
Ta bort noden: |
3 |
Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.) Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata. |
Katastrofåterställning med Standby-datacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.
Innan du börjar
1 |
Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. |
2 |
Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. |
3 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. |
4 |
I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar. |
5 |
Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager. Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats. |
6 |
Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter. |
7 |
Registrera noden i partnerhubben. Se Registrera den första noden i klustret. |
8 |
Upprepa processen för varje nod i datacentret för vänteläge. |
Nästa steg
(Valfritt) Avmontera ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 |
Stäng av en av dina HDS-noder. |
2 |
Välj HDS-noden i vCenter-serverenheten. |
3 |
Välj ISO-fil för datalager. och avmarkera |
4 |
Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter. |
5 |
Upprepa för varje HDS-nod i tur och ordning. |
Felsök Hybrid-datasäkerhet
Visa aviseringar och felsökning
En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:
-
Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)
-
Meddelanden och utrymmetitlar kan inte avkrypteras för:
-
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
-
Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)
-
-
Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.
Aviseringar
Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.
Avisering |
Åtgärd |
---|---|
Åtkomstfel i lokal databas. |
Kontrollera om det finns databasfel eller problem med det lokala nätverket. |
Anslutning till lokal databas misslyckades. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen. |
Åtkomstfel för molntjänst. |
Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning. |
Förnyar registrering av molntjänster. |
Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår. |
Registreringen av molntjänsten har avbrutits. |
Registrering till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är ännu inte aktiverad. |
Aktivera HDS i partnerhubben. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna den lokala keystore-filen. |
Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare. |
Det gick inte att publicera mätvärden. |
Kontrollera lokala nätverksåtkomst till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras. |
Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna |
Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget. |
Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna |
Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget. |
Felsök Hybrid-datasäkerhet
1 |
Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens. |
2 |
Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning. |
3 |
Kontakta Ciscos support. |
Övriga anteckningar
Kända problem med Hybrid-datasäkerhet
-
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.
-
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
-
OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.
-
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.
-
Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.
-
Skapa en privat nyckel.
-
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 |
När du får servercertifikatet från din CA sparar du det som |
2 |
Visa certifikatet som text och verifiera informationen.
|
3 |
Använd en textredigerare för att skapa en fil med certifikatpaket som heter
|
4 |
Skapa .p12-filen med det vänliga namnet
|
5 |
Kontrollera informationen om servercertifikatet. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12
och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.
Trafik mellan HDS-noderna och molnet
Insamlingstrafik för utgående mätvärden
Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:
-
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
-
Uppgraderingar av nodprogramvaran
Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
WebSocket kan inte ansluta via squid proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:
) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS:
trafik för att tjänsterna ska fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktivet i squid.conf
:
on_unsupported_protocol tunnel alla
Squid-3.5.27
Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla
Ny och ändrad information
Ny och ändrad information
Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.
Datum |
Ändringar har gjorts |
---|---|
08 januari 2025 |
Lade till en anteckning i Utför inledande konfiguration och hämta installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i partnerhubben. |
07 januari 2025 |
Uppdaterade krav för virtuell värd, uppgiftsflöde för distribution av hybrid-datasäkerhet och installera HDS Host OVA för att visa nya krav för ESXi 7.0. |
13 december 2024 |
Först publicerad. |
Inaktivera Hybrid-datasäkerhet för flera klienter
Uppgiftsflöde för inaktivering av HDS för flera klienter
Följ dessa steg för att inaktivera HDS för flera klienter helt.
Innan du börjar
1 |
Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer. |
2 |
Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.. |
3 |
Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod. |
4 |
Ta bort alla dina kluster från partnerhubben med en av följande två metoder.
|
5 |
Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet. |
Kom igång med Hybrid-datasäkerhet för flera klienter
Översikt över datasäkerhet för flera klienter för hybrid
Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Kärnan i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.
Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.
Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.
Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll
- Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
- Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
- Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
- Stöder mötes-, meddelande- och samtalsinnehåll.
Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.
Roller i Hybrid-datasäkerhet för flera klienter
- Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
- Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
- Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
- Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
- Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.
Säkerhetsarkitektur
Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:
-
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
-
Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.
-
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
-
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.
Förväntningar på att distribuera Hybrid-datasäkerhet
En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
-
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
-
Utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
-
Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.
-
Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.
Installationsprocess på hög nivå
Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:
-
Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.
-
Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.
-
Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för Hybrid-datasäkerhet
I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.
Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)
Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.
Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.
De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.
Proxy-Support
Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.
Datanoderna för Hybrid har stöd för följande proxyinställningar:
-
Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.
-
Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
-
Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
-
Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:
-
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
-
Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.
-
Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:
-
HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.
-
HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.
-
-
Autentiseringstyp – Välj bland följande autentiseringstyper:
-
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
-
Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.
Endast tillgängligt om du har valt HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
-
Exempel på data säkerhets noder och proxy för Hybrid
Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.
Förbered din miljö
Krav för datasäkerhet för flera klienter för hybrid
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet för flera klienter:
-
Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.
-
Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Skrivbordskrav för Docker
Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".
X.509-certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav |
Detaljer |
---|---|
|
Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (jokertecken). CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet. |
|
KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS. |
|
Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav för virtuell värd
De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
-
Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter
-
VMware ESXi 7.0 (eller senare) installerad och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
-
Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.
Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:
PostgreSQL |
Microsoft SQL-server |
---|---|
|
|
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:
PostgreSQL |
Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 |
SQL Server JDBC-drivrutin 4.6 Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
-
Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.
-
Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.
-
DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).
-
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.
HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:
Program |
Protokoll |
Port |
Riktning från appen |
Destination |
---|---|---|---|---|
Datasäkerhetsnoder för hybrid |
TCP |
443 |
Utgående HTTPS och WSS |
|
Inställningsverktyg för HDS |
TCP |
443 |
Utgående HTTPS |
|
Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.
URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:
Region |
URL:er för Common Identity Host |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Singapore |
|
Förenade Arabemiraten |
|
Proxy Server krav
-
Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.
-
Transparent proxy – Cisco webb säkerhetsutrustning (WSA).
-
Explicit proxy – squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.
-
-
Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:
-
Ingen autentisering med HTTP eller HTTPS
-
Grundläggande autentisering med HTTP eller HTTPS
-
Digest-autentisering med endast HTTPS
-
-
För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.
-
Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.
-
Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till
wbx2.com
ochciscospark.com
.
Uppfyll förutsättningarna för Hybrid-datasäkerhet
1 |
Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen. Kundorganisationer bör inte ha någon befintlig HDS-distribution. |
2 |
Välj ett domännamn för din HDS-distribution (till exempel |
3 |
Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd. |
4 |
Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna. |
5 |
För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer. |
6 |
Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514). |
7 |
Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid. Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet. Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar. |
8 |
Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning. |
9 |
Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning. |
10 |
Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver. |
Konfigurera ett datasäkerhetskluster för hybrid
Uppgiftsflöde för distribution av Hybrid-datasäkerhet
1 |
Utför initial konfiguration och hämta installationsfiler Hämta OVA-filen till din lokala dator för senare användning. |
2 |
Skapa en konfiguration-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid. |
3 |
Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
4 |
Konfigurera VM för datasäkerhet för hybrid Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. |
5 |
Ladda upp och montera ISO för HDS-konfiguration Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget. |
6 |
Konfigurera HDS-noden för proxy-integrering Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs. |
7 |
Registrera den första noden i klustret Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. |
8 |
Skapa och registrera fler noder Slutför klusterkonfigurationen. |
9 |
Aktivera HDS för flera klienter i partnerhubben. Aktivera HDS och hantera klientorganisationer i partnerhubben. |
Utför initial konfiguration och hämta installationsfiler
I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.
1 |
Logga in på Partner Hub och klicka sedan på Tjänster. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera. Att klicka på Konfigurera i partnerhubben är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra det här steget. |
3 |
Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara . Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen. Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på . OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
|
4 |
Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig. |
Skapa en konfiguration-ISO för HDS-värdarna
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö anger du proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5 nedan. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. | ||||||||||
2 |
För att logga in på Docker-bildregistret anger du följande: | ||||||||||
3 |
Vid lösenordsupp prompten anger du detta hash: | ||||||||||
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: | ||||||||||
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". | ||||||||||
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. | ||||||||||
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. | ||||||||||
9 |
På sidan ISO-import har du följande alternativ:
| ||||||||||
10 |
Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.
| ||||||||||
11 |
Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager: | ||||||||||
12 |
Välj ett anslutningsläge för TLS-databasen:
När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||
13 |
Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||
14 |
(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra: | ||||||||||
15 |
Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton . Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer. | ||||||||||
16 |
Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||
17 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. | ||||||||||
18 |
Om du vill stänga av konfigurationsverktyget skriver du |
Nästa steg
Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.
Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.
Installera HDS-värd-OVA
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden. |
2 |
Välj Arkiv > Distribuera OVF-mall. |
3 |
I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa. |
4 |
På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa. |
5 |
På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. |
6 |
Verifiera mallinformationen och klicka sedan på Nästa. |
7 |
Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa. |
8 |
På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn. |
9 |
På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn. |
10 |
Konfigurera följande nätverksinställningar på sidan Anpassa mall :
Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
11 |
Högerklicka på nodens VM och välj sedan .Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in. |
Konfigurera VM för datasäkerhet för hybrid
Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 |
I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol . VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
|
2 |
Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 |
Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn. |
4 |
Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 |
(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy. Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 |
Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla. |
Ladda upp och montera ISO för HDS-konfiguration
Innan du börjar
Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.
1 |
Ladda upp ISO-filen från datorn: |
2 |
Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxy-integrering
Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.
Innan du börjar
-
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 |
Skriv in URL: en för HDS-nodens konfiguration |
2 |
Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:
Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy. |
3 |
Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn. Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen. |
4 |
Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn. Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge. |
5 |
När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla. |
6 |
Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo. Noden startas om inom några minuter. |
7 |
När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd. Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera. |
4 |
Klicka på Lägg till en resurs på sidan som öppnas. |
5 |
I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till. Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 |
I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen. Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet. Ett meddelande visas som anger att du kan registrera din nod till Webex.
|
7 |
Klicka på Gå till nod. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod. |
8 |
Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
9 |
Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 |
Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet. |
3 |
Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn. |
4 |
Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 |
Registrera noden. |
Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid
Aktivera HDS för flera klienter i partnerhubben
Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.
Innan du börjar
Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. |
4 |
Klicka på Aktivera HDS på kortet HDS-status . |
Lägg till klientorganisationer i Partner Hub
I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
Klicka på klustret som du vill att en kund ska tilldelas till. |
5 |
Gå till fliken Tilldelade kunder . |
6 |
Klicka på Lägg till kunder. |
7 |
Välj kunden som du vill lägga till från rullgardinsmenyn. |
8 |
Klicka på Lägg till, kunden kommer att läggas till i klustret. |
9 |
Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster. |
10 |
Klicka på Klar längst ner på skärmen när du har lagt till kunderna. |
Nästa steg
Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget
Innan du börjar
Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. Se till att du är ansluten till databasen för att utföra CMK-hantering. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad. |
13 |
Om CMK inte kan skapas visas ett fel. |
Ta bort klientorganisationer
Innan du börjar
När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från. |
5 |
Klicka på Tilldelade kunder på sidan som öppnas. |
6 |
I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster. |
Nästa steg
Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.
Återkalla CMK:er för klienter som tagits bort från HDS.
Innan du börjar
Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen. |
13 |
Om CMK-återkallelsen misslyckas visas ett fel. |
Testa din datasäkerhetsdistribution för hybrid
Testa din datasäkerhetsdistribution för hybrid
Innan du börjar
-
Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.
-
Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.
1 |
Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme. Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts. |
2 |
Skicka meddelanden till det nya utrymmet. |
3 |
Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 |
I Partner Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. Sidan Inställningar för Hybrid-datasäkerhet visas.
|
3 |
I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Hantera din HDS-distribution
Hantera HDS-distribution
Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 |
Logga in på Partner Hub. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera |
4 |
Välj klustret på sidan Hybrid-datasäkerhetsresurser. |
5 |
Klicka på fliken Klusterinställningar . |
6 |
Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar. Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar. |
Ändra nodkonfigurationen
-
Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.
Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
-
Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.
-
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:
-
Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.
-
Hård återställning – De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.
Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.
1 |
Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 |
Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 |
Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod: |
4 |
Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Inaktivera blockerad extern DNS-Matchningstid
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.
Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.
Innan du börjar
1 |
Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in. |
2 |
Går du till Översikt (standard sidan). ![]() När den är aktive rad är blockerad extern DNS-matchning inställd på Ja. |
3 |
Går du till sidan betrodda certifikat \ proxy . |
4 |
Klicka på kontrol lera proxy-anslutning. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej. |
Nästa steg
Ta bort en nod
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 |
Ta bort noden: |
3 |
Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.) Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata. |
Katastrofåterställning med Standby-datacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.
Innan du börjar
1 |
Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. |
2 |
Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. |
3 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. |
4 |
I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar. |
5 |
Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager. Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats. |
6 |
Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter. |
7 |
Registrera noden i partnerhubben. Se Registrera den första noden i klustret. |
8 |
Upprepa processen för varje nod i datacentret för vänteläge. |
Nästa steg
(Valfritt) Avmontera ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 |
Stäng av en av dina HDS-noder. |
2 |
Välj HDS-noden i vCenter-serverenheten. |
3 |
Välj ISO-fil för datalager. och avmarkera |
4 |
Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter. |
5 |
Upprepa för varje HDS-nod i tur och ordning. |
Felsök Hybrid-datasäkerhet
Visa aviseringar och felsökning
En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:
-
Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)
-
Meddelanden och utrymmetitlar kan inte avkrypteras för:
-
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
-
Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)
-
-
Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.
Aviseringar
Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.
Avisering |
Åtgärd |
---|---|
Åtkomstfel i lokal databas. |
Kontrollera om det finns databasfel eller problem med det lokala nätverket. |
Anslutning till lokal databas misslyckades. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen. |
Åtkomstfel för molntjänst. |
Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning. |
Förnyar registrering av molntjänster. |
Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår. |
Registreringen av molntjänsten har avbrutits. |
Registrering till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är ännu inte aktiverad. |
Aktivera HDS i partnerhubben. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna den lokala keystore-filen. |
Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare. |
Det gick inte att publicera mätvärden. |
Kontrollera lokala nätverksåtkomst till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras. |
Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna |
Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget. |
Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna |
Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget. |
Felsök Hybrid-datasäkerhet
1 |
Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens. |
2 |
Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning. |
3 |
Kontakta Ciscos support. |
Övriga anteckningar
Kända problem med Hybrid-datasäkerhet
-
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.
-
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
-
OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.
-
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.
-
Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.
-
Skapa en privat nyckel.
-
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 |
När du får servercertifikatet från din CA sparar du det som |
2 |
Visa certifikatet som text och verifiera informationen.
|
3 |
Använd en textredigerare för att skapa en fil med certifikatpaket som heter
|
4 |
Skapa .p12-filen med det vänliga namnet
|
5 |
Kontrollera informationen om servercertifikatet. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12
och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.
Trafik mellan HDS-noderna och molnet
Insamlingstrafik för utgående mätvärden
Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:
-
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
-
Uppgraderingar av nodprogramvaran
Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
WebSocket kan inte ansluta via squid proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:
) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS:
trafik för att tjänsterna ska fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktivet i squid.conf
:
on_unsupported_protocol tunnel alla
Squid-3.5.27
Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla
Ny och ändrad information
Ny och ändrad information
Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.
Datum |
Ändringar har gjorts |
---|---|
08 januari 2025 |
Lade till en anteckning i Utför inledande konfiguration och hämta installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i partnerhubben. |
07 januari 2025 |
Uppdaterade krav för virtuell värd, uppgiftsflöde för distribution av hybrid-datasäkerhet och installera HDS Host OVA för att visa nya krav för ESXi 7.0. |
13 december 2024 |
Först publicerad. |
Inaktivera Hybrid-datasäkerhet för flera klienter
Uppgiftsflöde för inaktivering av HDS för flera klienter
Följ dessa steg för att inaktivera HDS för flera klienter helt.
Innan du börjar
1 |
Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer. |
2 |
Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.. |
3 |
Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod. |
4 |
Ta bort alla dina kluster från partnerhubben med en av följande två metoder.
|
5 |
Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet. |
Kom igång med Hybrid-datasäkerhet för flera klienter
Översikt över datasäkerhet för flera klienter för hybrid
Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Kärnan i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.
Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.
Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.
Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll
- Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
- Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
- Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
- Stöder mötes-, meddelande- och samtalsinnehåll.
Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.
Roller i Hybrid-datasäkerhet för flera klienter
- Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
- Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
- Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
- Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
- Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.
Säkerhetsarkitektur
Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:
-
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
-
Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.
-
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
-
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.
Förväntningar på att distribuera Hybrid-datasäkerhet
En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
-
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
-
Utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
-
Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.
-
Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.
Installationsprocess på hög nivå
Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:
-
Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.
-
Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.
-
Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för Hybrid-datasäkerhet
I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.
Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)
Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.
Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.
De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.
Proxy-Support
Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.
Datanoderna för Hybrid har stöd för följande proxyinställningar:
-
Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.
-
Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
-
Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
-
Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:
-
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
-
Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.
-
Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:
-
HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.
-
HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.
-
-
Autentiseringstyp – Välj bland följande autentiseringstyper:
-
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
-
Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.
Endast tillgängligt om du har valt HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
-
Exempel på data säkerhets noder och proxy för Hybrid
Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.
Förbered din miljö
Krav för datasäkerhet för flera klienter för hybrid
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet för flera klienter:
-
Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.
-
Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Skrivbordskrav för Docker
Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".
X.509-certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav |
Detaljer |
---|---|
|
Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (jokertecken). CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet. |
|
KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS. |
|
Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav för virtuell värd
De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
-
Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter
-
VMware ESXi 7.0 (eller senare) installerad och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
-
Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.
Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:
PostgreSQL |
Microsoft SQL-server |
---|---|
|
|
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:
PostgreSQL |
Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 |
SQL Server JDBC-drivrutin 4.6 Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
-
Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.
-
Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.
-
DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).
-
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.
HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:
Program |
Protokoll |
Port |
Riktning från appen |
Destination |
---|---|---|---|---|
Datasäkerhetsnoder för hybrid |
TCP |
443 |
Utgående HTTPS och WSS |
|
Inställningsverktyg för HDS |
TCP |
443 |
Utgående HTTPS |
|
Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.
URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:
Region |
URL:er för Common Identity Host |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Singapore |
|
Förenade Arabemiraten |
|
Proxy Server krav
-
Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.
-
Transparent proxy – Cisco webb säkerhetsutrustning (WSA).
-
Explicit proxy – squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.
-
-
Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:
-
Ingen autentisering med HTTP eller HTTPS
-
Grundläggande autentisering med HTTP eller HTTPS
-
Digest-autentisering med endast HTTPS
-
-
För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.
-
Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.
-
Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till
wbx2.com
ochciscospark.com
.
Uppfyll förutsättningarna för Hybrid-datasäkerhet
1 |
Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen. Kundorganisationer bör inte ha någon befintlig HDS-distribution. |
2 |
Välj ett domännamn för din HDS-distribution (till exempel |
3 |
Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd. |
4 |
Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna. |
5 |
För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer. |
6 |
Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514). |
7 |
Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid. Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet. Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar. |
8 |
Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning. |
9 |
Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning. |
10 |
Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver. |
Konfigurera ett datasäkerhetskluster för hybrid
Uppgiftsflöde för distribution av Hybrid-datasäkerhet
1 |
Utför initial konfiguration och hämta installationsfiler Hämta OVA-filen till din lokala dator för senare användning. |
2 |
Skapa en konfiguration-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid. |
3 |
Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
4 |
Konfigurera VM för datasäkerhet för hybrid Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. |
5 |
Ladda upp och montera ISO för HDS-konfiguration Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget. |
6 |
Konfigurera HDS-noden för proxy-integrering Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs. |
7 |
Registrera den första noden i klustret Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. |
8 |
Skapa och registrera fler noder Slutför klusterkonfigurationen. |
9 |
Aktivera HDS för flera klienter i partnerhubben. Aktivera HDS och hantera klientorganisationer i partnerhubben. |
Utför initial konfiguration och hämta installationsfiler
I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.
1 |
Logga in på Partner Hub och klicka sedan på Tjänster. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera. Att klicka på Konfigurera i partnerhubben är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra det här steget. |
3 |
Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara . Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen. Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på . OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
|
4 |
Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig. |
Skapa en konfiguration-ISO för HDS-värdarna
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö anger du proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5 nedan. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. | ||||||||||
2 |
För att logga in på Docker-bildregistret anger du följande: | ||||||||||
3 |
Vid lösenordsupp prompten anger du detta hash: | ||||||||||
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: | ||||||||||
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". | ||||||||||
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. | ||||||||||
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. | ||||||||||
9 |
På sidan ISO-import har du följande alternativ:
| ||||||||||
10 |
Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.
| ||||||||||
11 |
Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager: | ||||||||||
12 |
Välj ett anslutningsläge för TLS-databasen:
När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||
13 |
Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||
14 |
(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra: | ||||||||||
15 |
Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton . Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer. | ||||||||||
16 |
Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||
17 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. | ||||||||||
18 |
Om du vill stänga av konfigurationsverktyget skriver du |
Nästa steg
Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.
Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.
Installera HDS-värd-OVA
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden. |
2 |
Välj Arkiv > Distribuera OVF-mall. |
3 |
I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa. |
4 |
På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa. |
5 |
På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. |
6 |
Verifiera mallinformationen och klicka sedan på Nästa. |
7 |
Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa. |
8 |
På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn. |
9 |
På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn. |
10 |
Konfigurera följande nätverksinställningar på sidan Anpassa mall :
Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
11 |
Högerklicka på nodens VM och välj sedan .Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in. |
Konfigurera VM för datasäkerhet för hybrid
Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 |
I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol . VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
|
2 |
Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 |
Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn. |
4 |
Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 |
(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy. Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 |
Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla. |
Ladda upp och montera ISO för HDS-konfiguration
Innan du börjar
Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.
1 |
Ladda upp ISO-filen från datorn: |
2 |
Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxy-integrering
Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.
Innan du börjar
-
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 |
Skriv in URL: en för HDS-nodens konfiguration |
2 |
Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:
Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy. |
3 |
Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn. Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen. |
4 |
Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn. Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge. |
5 |
När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla. |
6 |
Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo. Noden startas om inom några minuter. |
7 |
När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd. Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera. |
4 |
Klicka på Lägg till en resurs på sidan som öppnas. |
5 |
I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till. Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 |
I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen. Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet. Ett meddelande visas som anger att du kan registrera din nod till Webex.
|
7 |
Klicka på Gå till nod. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod. |
8 |
Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
9 |
Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 |
Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet. |
3 |
Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn. |
4 |
Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 |
Registrera noden. |
Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid
Aktivera HDS för flera klienter i partnerhubben
Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.
Innan du börjar
Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. |
4 |
Klicka på Aktivera HDS på kortet HDS-status . |
Lägg till klientorganisationer i Partner Hub
I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
Klicka på klustret som du vill att en kund ska tilldelas till. |
5 |
Gå till fliken Tilldelade kunder . |
6 |
Klicka på Lägg till kunder. |
7 |
Välj kunden som du vill lägga till från rullgardinsmenyn. |
8 |
Klicka på Lägg till, kunden kommer att läggas till i klustret. |
9 |
Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster. |
10 |
Klicka på Klar längst ner på skärmen när du har lagt till kunderna. |
Nästa steg
Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget
Innan du börjar
Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. Se till att du är ansluten till databasen för att utföra CMK-hantering. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad. |
13 |
Om CMK inte kan skapas visas ett fel. |
Ta bort klientorganisationer
Innan du börjar
När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från. |
5 |
Klicka på Tilldelade kunder på sidan som öppnas. |
6 |
I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster. |
Nästa steg
Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.
Återkalla CMK:er för klienter som tagits bort från HDS.
Innan du börjar
Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen. |
13 |
Om CMK-återkallelsen misslyckas visas ett fel. |
Testa din datasäkerhetsdistribution för hybrid
Testa din datasäkerhetsdistribution för hybrid
Innan du börjar
-
Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.
-
Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.
1 |
Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme. Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts. |
2 |
Skicka meddelanden till det nya utrymmet. |
3 |
Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 |
I Partner Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. Sidan Inställningar för Hybrid-datasäkerhet visas.
|
3 |
I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Hantera din HDS-distribution
Hantera HDS-distribution
Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 |
Logga in på Partner Hub. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera |
4 |
Välj klustret på sidan Hybrid-datasäkerhetsresurser. |
5 |
Klicka på fliken Klusterinställningar . |
6 |
Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar. Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar. |
Ändra nodkonfigurationen
-
Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.
Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
-
Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.
-
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:
-
Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.
-
Hård återställning – De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.
Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.
1 |
Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 |
Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 |
Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod: |
4 |
Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Inaktivera blockerad extern DNS-Matchningstid
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.
Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.
Innan du börjar
1 |
Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in. |
2 |
Går du till Översikt (standard sidan). ![]() När den är aktive rad är blockerad extern DNS-matchning inställd på Ja. |
3 |
Går du till sidan betrodda certifikat \ proxy . |
4 |
Klicka på kontrol lera proxy-anslutning. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej. |
Nästa steg
Ta bort en nod
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 |
Ta bort noden: |
3 |
Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.) Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata. |
Katastrofåterställning med Standby-datacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.
Innan du börjar
1 |
Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. |
2 |
Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. |
3 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. |
4 |
I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar. |
5 |
Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager. Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats. |
6 |
Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter. |
7 |
Registrera noden i partnerhubben. Se Registrera den första noden i klustret. |
8 |
Upprepa processen för varje nod i datacentret för vänteläge. |
Nästa steg
(Valfritt) Avmontera ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 |
Stäng av en av dina HDS-noder. |
2 |
Välj HDS-noden i vCenter-serverenheten. |
3 |
Välj ISO-fil för datalager. och avmarkera |
4 |
Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter. |
5 |
Upprepa för varje HDS-nod i tur och ordning. |
Felsök Hybrid-datasäkerhet
Visa aviseringar och felsökning
En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:
-
Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)
-
Meddelanden och utrymmetitlar kan inte avkrypteras för:
-
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
-
Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)
-
-
Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.
Aviseringar
Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.
Avisering |
Åtgärd |
---|---|
Åtkomstfel i lokal databas. |
Kontrollera om det finns databasfel eller problem med det lokala nätverket. |
Anslutning till lokal databas misslyckades. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen. |
Åtkomstfel för molntjänst. |
Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning. |
Förnyar registrering av molntjänster. |
Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår. |
Registreringen av molntjänsten har avbrutits. |
Registrering till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är ännu inte aktiverad. |
Aktivera HDS i partnerhubben. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna den lokala keystore-filen. |
Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare. |
Det gick inte att publicera mätvärden. |
Kontrollera lokala nätverksåtkomst till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras. |
Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna |
Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget. |
Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna |
Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget. |
Felsök Hybrid-datasäkerhet
1 |
Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens. |
2 |
Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning. |
3 |
Kontakta Ciscos support. |
Övriga anteckningar
Kända problem med Hybrid-datasäkerhet
-
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.
-
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
-
OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.
-
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.
-
Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.
-
Skapa en privat nyckel.
-
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 |
När du får servercertifikatet från din CA sparar du det som |
2 |
Visa certifikatet som text och verifiera informationen.
|
3 |
Använd en textredigerare för att skapa en fil med certifikatpaket som heter
|
4 |
Skapa .p12-filen med det vänliga namnet
|
5 |
Kontrollera informationen om servercertifikatet. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12
och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.
Trafik mellan HDS-noderna och molnet
Insamlingstrafik för utgående mätvärden
Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:
-
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
-
Uppgraderingar av nodprogramvaran
Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
WebSocket kan inte ansluta via squid proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:
) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS:
trafik för att tjänsterna ska fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktivet i squid.conf
:
on_unsupported_protocol tunnel alla
Squid-3.5.27
Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla
Ny och ändrad information
Ny och ändrad information
Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.
Datum |
Ändringar har gjorts |
---|---|
08 januari 2025 |
Lade till en anteckning i Utför inledande konfiguration och hämta installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i partnerhubben. |
07 januari 2025 |
Uppdaterade krav för virtuell värd, uppgiftsflöde för distribution av hybrid-datasäkerhet och installera HDS Host OVA för att visa nya krav för ESXi 7.0. |
13 december 2024 |
Först publicerad. |
Inaktivera Hybrid-datasäkerhet för flera klienter
Uppgiftsflöde för inaktivering av HDS för flera klienter
Följ dessa steg för att inaktivera HDS för flera klienter helt.
Innan du börjar
1 |
Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer. |
2 |
Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.. |
3 |
Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod. |
4 |
Ta bort alla dina kluster från partnerhubben med en av följande två metoder.
|
5 |
Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet. |
Kom igång med Hybrid-datasäkerhet för flera klienter
Översikt över datasäkerhet för flera klienter för hybrid
Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Kärnan i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.
Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.
Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.
Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll
- Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
- Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
- Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
- Stöder mötes-, meddelande- och samtalsinnehåll.
Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.
Roller i Hybrid-datasäkerhet för flera klienter
- Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
- Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
- Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
- Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
- Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.
Säkerhetsarkitektur
Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:
-
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
-
Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.
-
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
-
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.
Förväntningar på att distribuera Hybrid-datasäkerhet
En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
-
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
-
Utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
-
Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.
-
Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.
Installationsprocess på hög nivå
Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:
-
Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.
-
Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.
-
Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för Hybrid-datasäkerhet
I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.
Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)
Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.
Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.
De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.
Proxy-Support
Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.
Datanoderna för Hybrid har stöd för följande proxyinställningar:
-
Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.
-
Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
-
Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
-
Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:
-
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
-
Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.
-
Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:
-
HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.
-
HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.
-
-
Autentiseringstyp – Välj bland följande autentiseringstyper:
-
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
-
Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.
Endast tillgängligt om du har valt HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
-
Exempel på data säkerhets noder och proxy för Hybrid
Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.
Förbered din miljö
Krav för datasäkerhet för flera klienter för hybrid
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet för flera klienter:
-
Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.
-
Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Skrivbordskrav för Docker
Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".
X.509-certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav |
Detaljer |
---|---|
|
Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (jokertecken). CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet. |
|
KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS. |
|
Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav för virtuell värd
De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
-
Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter
-
VMware ESXi 7.0 (eller senare) installerad och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
-
Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.
Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:
PostgreSQL |
Microsoft SQL-server |
---|---|
|
|
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:
PostgreSQL |
Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 |
SQL Server JDBC-drivrutin 4.6 Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
-
Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.
-
Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.
-
DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).
-
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.
HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:
Program |
Protokoll |
Port |
Riktning från appen |
Destination |
---|---|---|---|---|
Datasäkerhetsnoder för hybrid |
TCP |
443 |
Utgående HTTPS och WSS |
|
Inställningsverktyg för HDS |
TCP |
443 |
Utgående HTTPS |
|
Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.
URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:
Region |
URL:er för Common Identity Host |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Singapore |
|
Förenade Arabemiraten |
|
Proxy Server krav
-
Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.
-
Transparent proxy – Cisco webb säkerhetsutrustning (WSA).
-
Explicit proxy – squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.
-
-
Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:
-
Ingen autentisering med HTTP eller HTTPS
-
Grundläggande autentisering med HTTP eller HTTPS
-
Digest-autentisering med endast HTTPS
-
-
För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.
-
Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.
-
Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till
wbx2.com
ochciscospark.com
.
Uppfyll förutsättningarna för Hybrid-datasäkerhet
1 |
Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen. Kundorganisationer bör inte ha någon befintlig HDS-distribution. |
2 |
Välj ett domännamn för din HDS-distribution (till exempel |
3 |
Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd. |
4 |
Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna. |
5 |
För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer. |
6 |
Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514). |
7 |
Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid. Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet. Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar. |
8 |
Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning. |
9 |
Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning. |
10 |
Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver. |
Konfigurera ett datasäkerhetskluster för hybrid
Uppgiftsflöde för distribution av Hybrid-datasäkerhet
1 |
Utför initial konfiguration och hämta installationsfiler Hämta OVA-filen till din lokala dator för senare användning. |
2 |
Skapa en konfiguration-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid. |
3 |
Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
4 |
Konfigurera VM för datasäkerhet för hybrid Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. |
5 |
Ladda upp och montera ISO för HDS-konfiguration Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget. |
6 |
Konfigurera HDS-noden för proxy-integrering Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs. |
7 |
Registrera den första noden i klustret Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. |
8 |
Skapa och registrera fler noder Slutför klusterkonfigurationen. |
9 |
Aktivera HDS för flera klienter i partnerhubben. Aktivera HDS och hantera klientorganisationer i partnerhubben. |
Utför initial konfiguration och hämta installationsfiler
I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.
1 |
Logga in på Partner Hub och klicka sedan på Tjänster. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera. Att klicka på Konfigurera i partnerhubben är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra det här steget. |
3 |
Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara . Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen. Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på . OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
|
4 |
Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig. |
Skapa en konfiguration-ISO för HDS-värdarna
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö anger du proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5 nedan. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. | ||||||||||
2 |
För att logga in på Docker-bildregistret anger du följande: | ||||||||||
3 |
Vid lösenordsupp prompten anger du detta hash: | ||||||||||
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: | ||||||||||
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". | ||||||||||
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. | ||||||||||
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. | ||||||||||
9 |
På sidan ISO-import har du följande alternativ:
| ||||||||||
10 |
Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.
| ||||||||||
11 |
Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager: | ||||||||||
12 |
Välj ett anslutningsläge för TLS-databasen:
När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||
13 |
Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||
14 |
(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra: | ||||||||||
15 |
Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton . Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer. | ||||||||||
16 |
Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||
17 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. | ||||||||||
18 |
Om du vill stänga av konfigurationsverktyget skriver du |
Nästa steg
Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.
Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.
Installera HDS-värd-OVA
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden. |
2 |
Välj Arkiv > Distribuera OVF-mall. |
3 |
I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa. |
4 |
På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa. |
5 |
På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. |
6 |
Verifiera mallinformationen och klicka sedan på Nästa. |
7 |
Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa. |
8 |
På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn. |
9 |
På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn. |
10 |
Konfigurera följande nätverksinställningar på sidan Anpassa mall :
Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
11 |
Högerklicka på nodens VM och välj sedan .Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in. |
Konfigurera VM för datasäkerhet för hybrid
Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 |
I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol . VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
|
2 |
Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 |
Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn. |
4 |
Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 |
(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy. Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 |
Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla. |
Ladda upp och montera ISO för HDS-konfiguration
Innan du börjar
Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.
1 |
Ladda upp ISO-filen från datorn: |
2 |
Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxy-integrering
Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.
Innan du börjar
-
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 |
Skriv in URL: en för HDS-nodens konfiguration |
2 |
Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:
Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy. |
3 |
Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn. Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen. |
4 |
Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn. Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge. |
5 |
När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla. |
6 |
Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo. Noden startas om inom några minuter. |
7 |
När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd. Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera. |
4 |
Klicka på Lägg till en resurs på sidan som öppnas. |
5 |
I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till. Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 |
I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen. Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet. Ett meddelande visas som anger att du kan registrera din nod till Webex.
|
7 |
Klicka på Gå till nod. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod. |
8 |
Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
9 |
Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 |
Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet. |
3 |
Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn. |
4 |
Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 |
Registrera noden. |
Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid
Aktivera HDS för flera klienter i partnerhubben
Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.
Innan du börjar
Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. |
4 |
Klicka på Aktivera HDS på kortet HDS-status . |
Lägg till klientorganisationer i Partner Hub
I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
Klicka på klustret som du vill att en kund ska tilldelas till. |
5 |
Gå till fliken Tilldelade kunder . |
6 |
Klicka på Lägg till kunder. |
7 |
Välj kunden som du vill lägga till från rullgardinsmenyn. |
8 |
Klicka på Lägg till, kunden kommer att läggas till i klustret. |
9 |
Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster. |
10 |
Klicka på Klar längst ner på skärmen när du har lagt till kunderna. |
Nästa steg
Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget
Innan du börjar
Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. Se till att du är ansluten till databasen för att utföra CMK-hantering. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad. |
13 |
Om CMK inte kan skapas visas ett fel. |
Ta bort klientorganisationer
Innan du börjar
När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från. |
5 |
Klicka på Tilldelade kunder på sidan som öppnas. |
6 |
I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster. |
Nästa steg
Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.
Återkalla CMK:er för klienter som tagits bort från HDS.
Innan du börjar
Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen. |
13 |
Om CMK-återkallelsen misslyckas visas ett fel. |
Testa din datasäkerhetsdistribution för hybrid
Testa din datasäkerhetsdistribution för hybrid
Innan du börjar
-
Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.
-
Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.
1 |
Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme. Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts. |
2 |
Skicka meddelanden till det nya utrymmet. |
3 |
Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 |
I Partner Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. Sidan Inställningar för Hybrid-datasäkerhet visas.
|
3 |
I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Hantera din HDS-distribution
Hantera HDS-distribution
Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 |
Logga in på Partner Hub. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera |
4 |
Välj klustret på sidan Hybrid-datasäkerhetsresurser. |
5 |
Klicka på fliken Klusterinställningar . |
6 |
Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar. Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar. |
Ändra nodkonfigurationen
-
Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.
Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
-
Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.
-
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:
-
Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.
-
Hård återställning – De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.
Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.
1 |
Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 |
Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 |
Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod: |
4 |
Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Inaktivera blockerad extern DNS-Matchningstid
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.
Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.
Innan du börjar
1 |
Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in. |
2 |
Går du till Översikt (standard sidan). ![]() När den är aktive rad är blockerad extern DNS-matchning inställd på Ja. |
3 |
Går du till sidan betrodda certifikat \ proxy . |
4 |
Klicka på kontrol lera proxy-anslutning. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej. |
Nästa steg
Ta bort en nod
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 |
Ta bort noden: |
3 |
Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.) Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata. |
Katastrofåterställning med Standby-datacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.
Innan du börjar
1 |
Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. |
2 |
Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. |
3 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. |
4 |
I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar. |
5 |
Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager. Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats. |
6 |
Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter. |
7 |
Registrera noden i partnerhubben. Se Registrera den första noden i klustret. |
8 |
Upprepa processen för varje nod i datacentret för vänteläge. |
Nästa steg
(Valfritt) Avmontera ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 |
Stäng av en av dina HDS-noder. |
2 |
Välj HDS-noden i vCenter-serverenheten. |
3 |
Välj ISO-fil för datalager. och avmarkera |
4 |
Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter. |
5 |
Upprepa för varje HDS-nod i tur och ordning. |
Felsök Hybrid-datasäkerhet
Visa aviseringar och felsökning
En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:
-
Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)
-
Meddelanden och utrymmetitlar kan inte avkrypteras för:
-
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
-
Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)
-
-
Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.
Aviseringar
Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.
Avisering |
Åtgärd |
---|---|
Åtkomstfel i lokal databas. |
Kontrollera om det finns databasfel eller problem med det lokala nätverket. |
Anslutning till lokal databas misslyckades. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen. |
Åtkomstfel för molntjänst. |
Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning. |
Förnyar registrering av molntjänster. |
Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår. |
Registreringen av molntjänsten har avbrutits. |
Registrering till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är ännu inte aktiverad. |
Aktivera HDS i partnerhubben. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna den lokala keystore-filen. |
Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare. |
Det gick inte att publicera mätvärden. |
Kontrollera lokala nätverksåtkomst till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras. |
Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna |
Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget. |
Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna |
Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget. |
Felsök Hybrid-datasäkerhet
1 |
Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens. |
2 |
Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning. |
3 |
Kontakta Ciscos support. |
Övriga anteckningar
Kända problem med Hybrid-datasäkerhet
-
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.
-
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
-
OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.
-
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.
-
Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.
-
Skapa en privat nyckel.
-
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 |
När du får servercertifikatet från din CA sparar du det som |
2 |
Visa certifikatet som text och verifiera informationen.
|
3 |
Använd en textredigerare för att skapa en fil med certifikatpaket som heter
|
4 |
Skapa .p12-filen med det vänliga namnet
|
5 |
Kontrollera informationen om servercertifikatet. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12
och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.
Trafik mellan HDS-noderna och molnet
Insamlingstrafik för utgående mätvärden
Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:
-
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
-
Uppgraderingar av nodprogramvaran
Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
WebSocket kan inte ansluta via squid proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:
) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS:
trafik för att tjänsterna ska fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktivet i squid.conf
:
on_unsupported_protocol tunnel alla
Squid-3.5.27
Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla
Ny och ändrad information
Ny och ändrad information
Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.
Datum |
Ändringar har gjorts |
---|---|
15 januari 2025 |
Lade till begränsningar för Hybrid-datasäkerhet för flera klienter. |
08 januari 2025 |
Lade till en anteckning i Utför inledande konfiguration och hämta installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i partnerhubben. |
07 januari 2025 |
Uppdaterade krav för virtuell värd, uppgiftsflöde för distribution av hybrid-datasäkerhet och installera HDS Host OVA för att visa nya krav för ESXi 7.0. |
13 december 2024 |
Först publicerad. |
Inaktivera Hybrid-datasäkerhet för flera klienter
Uppgiftsflöde för inaktivering av HDS för flera klienter
Följ dessa steg för att inaktivera HDS för flera klienter helt.
Innan du börjar
1 |
Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer. |
2 |
Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.. |
3 |
Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod. |
4 |
Ta bort alla dina kluster från partnerhubben med en av följande två metoder.
|
5 |
Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet. |
Kom igång med Hybrid-datasäkerhet för flera klienter
Översikt över datasäkerhet för flera klienter för hybrid
Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Kärnan i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.
Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.
Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.
Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll
- Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
- Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
- Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
- Stöder mötes-, meddelande- och samtalsinnehåll.
Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.
Begränsningar för datasäkerhet för flera klienter för hybrid
- Partnerorganisationer får inte ha någon befintlig HDS-distribution aktiv i Control Hub.
- Klientorganisationer eller kundorganisationer som vill hanteras av en partner får inte ha någon befintlig HDS-distribution i Control Hub.
- När Multi-Tenant HDS har distribuerats av partnern börjar alla användare i kundorganisationer och användare i partnerorganisationen använda Multi-Tenant HDS för sina krypteringstjänster.
Partnerorganisationen och kundorganisationerna som de hanterar kommer att ha samma HDS-distribution för flera klienter.
Partnerorganisationen kommer inte längre att använda moln-KMS när HDS för flera klienter har distribuerats.
- Det finns ingen mekanism för att flytta nycklar tillbaka till moln-KMS efter en HDS-distribution.
- För närvarande kan varje HDS-distribution med flera klienter endast ha ett kluster, med flera noder under det.
- Administratörsroller har vissa begränsningar, se avsnittet nedan för mer information.
Roller i Hybrid-datasäkerhet för flera klienter
- Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
- Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
- Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
- Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
- Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.
Säkerhetsarkitektur
Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:
-
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
-
Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.
-
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
-
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.
Förväntningar på att distribuera Hybrid-datasäkerhet
En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
-
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
-
Utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
-
Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.
-
Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.
Installationsprocess på hög nivå
Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:
-
Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.
-
Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.
-
Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för Hybrid-datasäkerhet
I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.
Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)
Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.
Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.
De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.
Proxy-Support
Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.
Datanoderna för Hybrid har stöd för följande proxyinställningar:
-
Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.
-
Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
-
Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
-
Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:
-
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
-
Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.
-
Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:
-
HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.
-
HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.
-
-
Autentiseringstyp – Välj bland följande autentiseringstyper:
-
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
-
Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.
Endast tillgängligt om du har valt HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
-
Exempel på data säkerhets noder och proxy för Hybrid
Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.
Förbered din miljö
Krav för datasäkerhet för flera klienter för hybrid
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet för flera klienter:
-
Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.
-
Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Skrivbordskrav för Docker
Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".
X.509-certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav |
Detaljer |
---|---|
|
Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (jokertecken). CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet. |
|
KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS. |
|
Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav för virtuell värd
De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
-
Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter
-
VMware ESXi 7.0 (eller senare) installerad och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
-
Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.
Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:
PostgreSQL |
Microsoft SQL-server |
---|---|
|
|
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:
PostgreSQL |
Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 |
SQL Server JDBC-drivrutin 4.6 Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
-
Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.
-
Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.
-
DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).
-
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.
HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:
Program |
Protokoll |
Port |
Riktning från appen |
Destination |
---|---|---|---|---|
Datasäkerhetsnoder för hybrid |
TCP |
443 |
Utgående HTTPS och WSS |
|
Inställningsverktyg för HDS |
TCP |
443 |
Utgående HTTPS |
|
Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.
URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:
Region |
URL:er för Common Identity Host |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Singapore |
|
Förenade Arabemiraten |
|
Proxy Server krav
-
Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.
-
Transparent proxy – Cisco webb säkerhetsutrustning (WSA).
-
Explicit proxy – squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.
-
-
Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:
-
Ingen autentisering med HTTP eller HTTPS
-
Grundläggande autentisering med HTTP eller HTTPS
-
Digest-autentisering med endast HTTPS
-
-
För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.
-
Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.
-
Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till
wbx2.com
ochciscospark.com
.
Uppfyll förutsättningarna för Hybrid-datasäkerhet
1 |
Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen. Kundorganisationer bör inte ha någon befintlig HDS-distribution. |
2 |
Välj ett domännamn för din HDS-distribution (till exempel |
3 |
Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd. |
4 |
Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna. |
5 |
För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer. |
6 |
Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514). |
7 |
Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid. Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet. Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar. |
8 |
Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning. |
9 |
Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning. |
10 |
Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver. |
Konfigurera ett datasäkerhetskluster för hybrid
Uppgiftsflöde för distribution av Hybrid-datasäkerhet
1 |
Utför initial konfiguration och hämta installationsfiler Hämta OVA-filen till din lokala dator för senare användning. |
2 |
Skapa en konfiguration-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid. |
3 |
Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
4 |
Konfigurera VM för datasäkerhet för hybrid Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. |
5 |
Ladda upp och montera ISO för HDS-konfiguration Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget. |
6 |
Konfigurera HDS-noden för proxy-integrering Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs. |
7 |
Registrera den första noden i klustret Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. |
8 |
Skapa och registrera fler noder Slutför klusterkonfigurationen. |
9 |
Aktivera HDS för flera klienter i partnerhubben. Aktivera HDS och hantera klientorganisationer i partnerhubben. |
Utför initial konfiguration och hämta installationsfiler
I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.
1 |
Logga in på partnerhubben och klicka sedan på Tjänster. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera. Att klicka på Konfigurera i partnerhubben är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra det här steget. |
3 |
Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara . Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen. Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på . OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
|
4 |
Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig. |
Skapa en konfiguration-ISO för HDS-värdarna
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö anger du proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5 nedan. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. | ||||||||||
2 |
För att logga in på Docker-bildregistret anger du följande: | ||||||||||
3 |
Vid lösenordsupp prompten anger du detta hash: | ||||||||||
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: | ||||||||||
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". | ||||||||||
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. | ||||||||||
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. | ||||||||||
9 |
På sidan ISO-import har du följande alternativ:
| ||||||||||
10 |
Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.
| ||||||||||
11 |
Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager: | ||||||||||
12 |
Välj ett anslutningsläge för TLS-databasen:
När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||
13 |
Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||
14 |
(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra: | ||||||||||
15 |
Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton . Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer. | ||||||||||
16 |
Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||
17 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. | ||||||||||
18 |
Om du vill stänga av konfigurationsverktyget skriver du |
Nästa steg
Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.
Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.
Installera HDS-värd-OVA
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden. |
2 |
Välj Arkiv > Distribuera OVF-mall. |
3 |
I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa. |
4 |
På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa. |
5 |
På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. |
6 |
Verifiera mallinformationen och klicka sedan på Nästa. |
7 |
Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa. |
8 |
På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn. |
9 |
På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn. |
10 |
Konfigurera följande nätverksinställningar på sidan Anpassa mall :
Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
11 |
Högerklicka på nodens VM och välj sedan .Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in. |
Konfigurera VM för datasäkerhet för hybrid
Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 |
I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol . VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
|
2 |
Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 |
Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn. |
4 |
Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 |
(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy. Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 |
Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla. |
Ladda upp och montera ISO för HDS-konfiguration
Innan du börjar
Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.
1 |
Ladda upp ISO-filen från datorn: |
2 |
Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxy-integrering
Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.
Innan du börjar
-
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 |
Skriv in URL: en för HDS-nodens konfiguration |
2 |
Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:
Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy. |
3 |
Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn. Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen. |
4 |
Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn. Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge. |
5 |
När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla. |
6 |
Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo. Noden startas om inom några minuter. |
7 |
När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd. Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera. |
4 |
Klicka på Lägg till en resurs på sidan som öppnas. |
5 |
I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till. Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 |
I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen. Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet. Ett meddelande visas som anger att du kan registrera din nod till Webex.
|
7 |
Klicka på Gå till nod. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod. |
8 |
Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
9 |
Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 |
Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet. |
3 |
Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn. |
4 |
Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 |
Registrera noden. |
Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid
Aktivera HDS för flera klienter i partnerhubben
Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.
Innan du börjar
Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. |
4 |
Klicka på Aktivera HDS på kortet HDS-status . |
Lägg till klientorganisationer i Partner Hub
I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
Klicka på klustret som du vill att en kund ska tilldelas till. |
5 |
Gå till fliken Tilldelade kunder . |
6 |
Klicka på Lägg till kunder. |
7 |
Välj kunden som du vill lägga till från rullgardinsmenyn. |
8 |
Klicka på Lägg till, kunden kommer att läggas till i klustret. |
9 |
Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster. |
10 |
Klicka på Klar längst ner på skärmen när du har lagt till kunderna. |
Nästa steg
Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget
Innan du börjar
Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. Se till att du är ansluten till databasen för att utföra CMK-hantering. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad. |
13 |
Om CMK inte kan skapas visas ett fel. |
Ta bort klientorganisationer
Innan du börjar
När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från. |
5 |
Klicka på Tilldelade kunder på sidan som öppnas. |
6 |
I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster. |
Nästa steg
Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.
Återkalla CMK:er för klienter som tagits bort från HDS.
Innan du börjar
Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen. |
13 |
Om CMK-återkallelsen misslyckas visas ett fel. |
Testa din datasäkerhetsdistribution för hybrid
Testa din datasäkerhetsdistribution för hybrid
Innan du börjar
-
Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.
-
Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.
1 |
Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme. Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts. |
2 |
Skicka meddelanden till det nya utrymmet. |
3 |
Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 |
I Partner Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. Sidan Inställningar för Hybrid-datasäkerhet visas.
|
3 |
I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Hantera din HDS-distribution
Hantera HDS-distribution
Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 |
Logga in på Partner Hub. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera |
4 |
Välj klustret på sidan Hybrid-datasäkerhetsresurser. |
5 |
Klicka på fliken Klusterinställningar . |
6 |
Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar. Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar. |
Ändra nodkonfigurationen
-
Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.
Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
-
Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.
-
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:
-
Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.
-
Hård återställning – De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.
Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.
1 |
Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 |
Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 |
Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod: |
4 |
Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Inaktivera blockerad extern DNS-Matchningstid
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.
Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.
Innan du börjar
1 |
Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in. |
2 |
Går du till Översikt (standard sidan). ![]() När den är aktive rad är blockerad extern DNS-matchning inställd på Ja. |
3 |
Går du till sidan betrodda certifikat \ proxy . |
4 |
Klicka på kontrol lera proxy-anslutning. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej. |
Nästa steg
Ta bort en nod
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 |
Ta bort noden: |
3 |
Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.) Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata. |
Katastrofåterställning med Standby-datacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.
Innan du börjar
1 |
Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. |
2 |
Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. |
3 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. |
4 |
I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar. |
5 |
Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager. Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats. |
6 |
Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter. |
7 |
Registrera noden i partnerhubben. Se Registrera den första noden i klustret. |
8 |
Upprepa processen för varje nod i datacentret för vänteläge. |
Nästa steg
(Valfritt) Avmontera ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 |
Stäng av en av dina HDS-noder. |
2 |
Välj HDS-noden i vCenter-serverenheten. |
3 |
Välj ISO-fil för datalager. och avmarkera |
4 |
Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter. |
5 |
Upprepa för varje HDS-nod i tur och ordning. |
Felsök Hybrid-datasäkerhet
Visa aviseringar och felsökning
En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:
-
Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)
-
Meddelanden och utrymmetitlar kan inte avkrypteras för:
-
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
-
Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)
-
-
Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.
Aviseringar
Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.
Avisering |
Åtgärd |
---|---|
Åtkomstfel i lokal databas. |
Kontrollera om det finns databasfel eller problem med det lokala nätverket. |
Anslutning till lokal databas misslyckades. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen. |
Åtkomstfel för molntjänst. |
Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning. |
Förnyar registrering av molntjänster. |
Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår. |
Registreringen av molntjänsten har avbrutits. |
Registrering till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är ännu inte aktiverad. |
Aktivera HDS i partnerhubben. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna den lokala keystore-filen. |
Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare. |
Det gick inte att publicera mätvärden. |
Kontrollera lokala nätverksåtkomst till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras. |
Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna |
Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget. |
Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna |
Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget. |
Felsök Hybrid-datasäkerhet
1 |
Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens. |
2 |
Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning. |
3 |
Kontakta Ciscos support. |
Övriga anteckningar
Kända problem med Hybrid-datasäkerhet
-
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.
-
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
-
OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.
-
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.
-
Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.
-
Skapa en privat nyckel.
-
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 |
När du får servercertifikatet från din CA sparar du det som |
2 |
Visa certifikatet som text och verifiera informationen.
|
3 |
Använd en textredigerare för att skapa en fil med certifikatpaket som heter
|
4 |
Skapa .p12-filen med det vänliga namnet
|
5 |
Kontrollera informationen om servercertifikatet. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12
och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.
Trafik mellan HDS-noderna och molnet
Insamlingstrafik för utgående mätvärden
Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:
-
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
-
Uppgraderingar av nodprogramvaran
Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
WebSocket kan inte ansluta via squid proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:
) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS:
trafik för att tjänsterna ska fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktivet i squid.conf
:
on_unsupported_protocol tunnel alla
Squid-3.5.27
Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla
Ny och ändrad information
Ny och ändrad information
Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.
Datum |
Ändringar har gjorts |
---|---|
30 januari 2025 |
Lade till SQL-serverversion 2022 i listan över SQL-servrar som stöds i Databasserverkrav. |
15 januari 2025 |
Lade till begränsningar för Hybrid-datasäkerhet för flera klienter. |
08 januari 2025 |
Lade till en anteckning i Utför inledande konfiguration och hämta installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i partnerhubben. |
07 januari 2025 |
Uppdaterade krav för virtuell värd, uppgiftsflöde för distribution av hybrid-datasäkerhet och installera HDS Host OVA för att visa nya krav för ESXi 7.0. |
13 december 2024 |
Först publicerad. |
Inaktivera Hybrid-datasäkerhet för flera klienter
Uppgiftsflöde för inaktivering av HDS för flera klienter
Följ dessa steg för att inaktivera HDS för flera klienter helt.
Innan du börjar
1 |
Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer. |
2 |
Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.. |
3 |
Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod. |
4 |
Ta bort alla dina kluster från partnerhubben med en av följande två metoder.
|
5 |
Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet. |
Kom igång med Hybrid-datasäkerhet för flera klienter
Översikt över datasäkerhet för flera klienter för hybrid
Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Kärnan i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.
Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.
Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.
Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll
- Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
- Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
- Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
- Stöder mötes-, meddelande- och samtalsinnehåll.
Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.
Begränsningar för datasäkerhet för flera klienter för hybrid
- Partnerorganisationer får inte ha någon befintlig HDS-distribution aktiv i Control Hub.
- Klientorganisationer eller kundorganisationer som vill hanteras av en partner får inte ha någon befintlig HDS-distribution i Control Hub.
- När Multi-Tenant HDS har distribuerats av partnern börjar alla användare i kundorganisationer och användare i partnerorganisationen använda Multi-Tenant HDS för sina krypteringstjänster.
Partnerorganisationen och kundorganisationerna som de hanterar kommer att ha samma HDS-distribution för flera klienter.
Partnerorganisationen kommer inte längre att använda moln-KMS när HDS för flera klienter har distribuerats.
- Det finns ingen mekanism för att flytta nycklar tillbaka till moln-KMS efter en HDS-distribution.
- För närvarande kan varje HDS-distribution med flera klienter endast ha ett kluster, med flera noder under det.
- Administratörsroller har vissa begränsningar, se avsnittet nedan för mer information.
Roller i Hybrid-datasäkerhet för flera klienter
- Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
- Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
- Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
- Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
- Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.
Säkerhetsarkitektur
Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:
-
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
-
Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.
-
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
-
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.
Förväntningar på att distribuera Hybrid-datasäkerhet
En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
-
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
-
Utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
-
Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.
-
Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.
Installationsprocess på hög nivå
Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:
-
Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.
-
Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.
-
Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för Hybrid-datasäkerhet
I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.
Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)
Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.
Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.
De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.
Proxy-Support
Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.
Datanoderna för Hybrid har stöd för följande proxyinställningar:
-
Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.
-
Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
-
Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
-
Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:
-
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
-
Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.
-
Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:
-
HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.
-
HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.
-
-
Autentiseringstyp – Välj bland följande autentiseringstyper:
-
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
-
Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.
Endast tillgängligt om du har valt HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
-
Exempel på data säkerhets noder och proxy för Hybrid
Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.
Förbered din miljö
Krav för datasäkerhet för flera klienter för hybrid
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet för flera klienter:
-
Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.
-
Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Skrivbordskrav för Docker
Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".
X.509-certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav |
Detaljer |
---|---|
|
Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (jokertecken). CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet. |
|
KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS. |
|
Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav för virtuell värd
De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
-
Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter
-
VMware ESXi 7.0 (eller senare) installerad och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
-
Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.
Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:
PostgreSQL |
Microsoft SQL-server |
---|---|
|
|
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:
PostgreSQL |
Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 |
SQL Server JDBC-drivrutin 4.6 Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
-
Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.
-
Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.
-
DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).
-
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.
HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:
Program |
Protokoll |
Port |
Riktning från appen |
Destination |
---|---|---|---|---|
Datasäkerhetsnoder för hybrid |
TCP |
443 |
Utgående HTTPS och WSS |
|
Inställningsverktyg för HDS |
TCP |
443 |
Utgående HTTPS |
|
Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.
URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:
Region |
URL:er för Common Identity Host |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Singapore |
|
Förenade Arabemiraten |
|
Proxy Server krav
-
Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.
-
Transparent proxy – Cisco webb säkerhetsutrustning (WSA).
-
Explicit proxy – squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.
-
-
Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:
-
Ingen autentisering med HTTP eller HTTPS
-
Grundläggande autentisering med HTTP eller HTTPS
-
Digest-autentisering med endast HTTPS
-
-
För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.
-
Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.
-
Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till
wbx2.com
ochciscospark.com
.
Uppfyll förutsättningarna för Hybrid-datasäkerhet
1 |
Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen. Kundorganisationer bör inte ha någon befintlig HDS-distribution. |
2 |
Välj ett domännamn för din HDS-distribution (till exempel |
3 |
Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd. |
4 |
Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna. |
5 |
För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer. |
6 |
Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514). |
7 |
Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid. Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet. Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar. |
8 |
Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning. |
9 |
Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning. |
10 |
Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver. |
Konfigurera ett datasäkerhetskluster för hybrid
Uppgiftsflöde för distribution av Hybrid-datasäkerhet
1 |
Utför initial konfiguration och hämta installationsfiler Hämta OVA-filen till din lokala dator för senare användning. |
2 |
Skapa en konfiguration-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid. |
3 |
Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
4 |
Konfigurera VM för datasäkerhet för hybrid Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. |
5 |
Ladda upp och montera ISO för HDS-konfiguration Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget. |
6 |
Konfigurera HDS-noden för proxy-integrering Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs. |
7 |
Registrera den första noden i klustret Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. |
8 |
Skapa och registrera fler noder Slutför klusterkonfigurationen. |
9 |
Aktivera HDS för flera klienter i partnerhubben. Aktivera HDS och hantera klientorganisationer i partnerhubben. |
Utför initial konfiguration och hämta installationsfiler
I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.
1 |
Logga in på partnerhubben och klicka sedan på Tjänster. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera. Att klicka på Konfigurera i partnerhubben är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra det här steget. |
3 |
Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara . Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen. Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på . OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
|
4 |
Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig. |
Skapa en konfiguration-ISO för HDS-värdarna
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö anger du proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5 nedan. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. | ||||||||||
2 |
För att logga in på Docker-bildregistret anger du följande: | ||||||||||
3 |
Vid lösenordsupp prompten anger du detta hash: | ||||||||||
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: | ||||||||||
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". | ||||||||||
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. | ||||||||||
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. | ||||||||||
9 |
På sidan ISO-import har du följande alternativ:
| ||||||||||
10 |
Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.
| ||||||||||
11 |
Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager: | ||||||||||
12 |
Välj ett anslutningsläge för TLS-databasen:
När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||
13 |
Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||
14 |
(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra: | ||||||||||
15 |
Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton . Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer. | ||||||||||
16 |
Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||
17 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. | ||||||||||
18 |
Om du vill stänga av konfigurationsverktyget skriver du |
Nästa steg
Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.
Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.
Installera HDS-värd-OVA
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden. |
2 |
Välj Arkiv > Distribuera OVF-mall. |
3 |
I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa. |
4 |
På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa. |
5 |
På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. |
6 |
Verifiera mallinformationen och klicka sedan på Nästa. |
7 |
Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa. |
8 |
På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn. |
9 |
På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn. |
10 |
Konfigurera följande nätverksinställningar på sidan Anpassa mall :
Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
11 |
Högerklicka på nodens VM och välj sedan .Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in. |
Konfigurera VM för datasäkerhet för hybrid
Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 |
I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol . VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
|
2 |
Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 |
Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn. |
4 |
Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 |
(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy. Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 |
Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla. |
Ladda upp och montera ISO för HDS-konfiguration
Innan du börjar
Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.
1 |
Ladda upp ISO-filen från datorn: |
2 |
Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxy-integrering
Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.
Innan du börjar
-
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 |
Skriv in URL: en för HDS-nodens konfiguration |
2 |
Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:
Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy. |
3 |
Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn. Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen. |
4 |
Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn. Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge. |
5 |
När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla. |
6 |
Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo. Noden startas om inom några minuter. |
7 |
När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd. Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera. |
4 |
Klicka på Lägg till en resurs på sidan som öppnas. |
5 |
I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till. Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 |
I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen. Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet. Ett meddelande visas som anger att du kan registrera din nod till Webex.
|
7 |
Klicka på Gå till nod. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod. |
8 |
Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
9 |
Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 |
Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet. |
3 |
Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn. |
4 |
Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 |
Registrera noden. |
Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid
Aktivera HDS för flera klienter i partnerhubben
Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.
Innan du börjar
Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. |
4 |
Klicka på Aktivera HDS på kortet HDS-status . |
Lägg till klientorganisationer i Partner Hub
I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
Klicka på klustret som du vill att en kund ska tilldelas till. |
5 |
Gå till fliken Tilldelade kunder . |
6 |
Klicka på Lägg till kunder. |
7 |
Välj kunden som du vill lägga till från rullgardinsmenyn. |
8 |
Klicka på Lägg till, kunden kommer att läggas till i klustret. |
9 |
Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster. |
10 |
Klicka på Klar längst ner på skärmen när du har lagt till kunderna. |
Nästa steg
Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget
Innan du börjar
Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. Se till att du är ansluten till databasen för att utföra CMK-hantering. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad. |
13 |
Om CMK inte kan skapas visas ett fel. |
Ta bort klientorganisationer
Innan du börjar
När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från. |
5 |
Klicka på Tilldelade kunder på sidan som öppnas. |
6 |
I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster. |
Nästa steg
Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.
Återkalla CMK:er för klienter som tagits bort från HDS.
Innan du börjar
Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen. |
13 |
Om CMK-återkallelsen misslyckas visas ett fel. |
Testa din datasäkerhetsdistribution för hybrid
Testa din datasäkerhetsdistribution för hybrid
Innan du börjar
-
Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.
-
Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.
1 |
Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme. Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts. |
2 |
Skicka meddelanden till det nya utrymmet. |
3 |
Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 |
I Partner Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. Sidan Inställningar för Hybrid-datasäkerhet visas.
|
3 |
I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Hantera din HDS-distribution
Hantera HDS-distribution
Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 |
Logga in på Partner Hub. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera |
4 |
Välj klustret på sidan Hybrid-datasäkerhetsresurser. |
5 |
Klicka på fliken Klusterinställningar . |
6 |
Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar. Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar. |
Ändra nodkonfigurationen
-
Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.
Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
-
Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.
-
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:
-
Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.
-
Hård återställning – De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.
Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.
1 |
Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 |
Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 |
Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod: |
4 |
Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Inaktivera blockerad extern DNS-Matchningstid
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.
Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.
Innan du börjar
1 |
Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in. |
2 |
Går du till Översikt (standard sidan). ![]() När den är aktive rad är blockerad extern DNS-matchning inställd på Ja. |
3 |
Går du till sidan betrodda certifikat \ proxy . |
4 |
Klicka på kontrol lera proxy-anslutning. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej. |
Nästa steg
Ta bort en nod
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 |
Ta bort noden: |
3 |
Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.) Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata. |
Katastrofåterställning med Standby-datacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.
Innan du börjar
1 |
Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. |
2 |
Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. |
3 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. |
4 |
I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar. |
5 |
Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager. Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats. |
6 |
Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter. |
7 |
Registrera noden i partnerhubben. Se Registrera den första noden i klustret. |
8 |
Upprepa processen för varje nod i datacentret för vänteläge. |
Nästa steg
(Valfritt) Avmontera ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 |
Stäng av en av dina HDS-noder. |
2 |
Välj HDS-noden i vCenter-serverenheten. |
3 |
Välj ISO-fil för datalager. och avmarkera |
4 |
Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter. |
5 |
Upprepa för varje HDS-nod i tur och ordning. |
Felsök Hybrid-datasäkerhet
Visa aviseringar och felsökning
En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:
-
Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)
-
Meddelanden och utrymmetitlar kan inte avkrypteras för:
-
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
-
Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)
-
-
Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.
Aviseringar
Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.
Avisering |
Åtgärd |
---|---|
Åtkomstfel i lokal databas. |
Kontrollera om det finns databasfel eller problem med det lokala nätverket. |
Anslutning till lokal databas misslyckades. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen. |
Åtkomstfel för molntjänst. |
Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning. |
Förnyar registrering av molntjänster. |
Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår. |
Registreringen av molntjänsten har avbrutits. |
Registrering till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är ännu inte aktiverad. |
Aktivera HDS i partnerhubben. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna den lokala keystore-filen. |
Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare. |
Det gick inte att publicera mätvärden. |
Kontrollera lokala nätverksåtkomst till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras. |
Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna |
Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget. |
Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna |
Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget. |
Felsök Hybrid-datasäkerhet
1 |
Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens. |
2 |
Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning. |
3 |
Kontakta Ciscos support. |
Övriga anteckningar
Kända problem med Hybrid-datasäkerhet
-
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.
-
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
-
OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.
-
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.
-
Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.
-
Skapa en privat nyckel.
-
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 |
När du får servercertifikatet från din CA sparar du det som |
2 |
Visa certifikatet som text och verifiera informationen.
|
3 |
Använd en textredigerare för att skapa en fil med certifikatpaket som heter
|
4 |
Skapa .p12-filen med det vänliga namnet
|
5 |
Kontrollera informationen om servercertifikatet. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12
och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.
Trafik mellan HDS-noderna och molnet
Insamlingstrafik för utgående mätvärden
Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:
-
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
-
Uppgraderingar av nodprogramvaran
Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
WebSocket kan inte ansluta via squid proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:
) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS:
trafik för att tjänsterna ska fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktivet i squid.conf
:
on_unsupported_protocol tunnel alla
Squid-3.5.27
Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla
Ny och ändrad information
Ny och ändrad information
Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.
Datum |
Ändringar har gjorts |
---|---|
30 januari 2025 |
Lade till SQL-serverversion 2022 i listan över SQL-servrar som stöds i Databasserverkrav. |
15 januari 2025 |
Lade till begränsningar för Hybrid-datasäkerhet för flera klienter. |
08 januari 2025 |
Lade till en anteckning i Utför inledande konfiguration och hämta installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i partnerhubben. |
07 januari 2025 |
Uppdaterade krav för virtuell värd, uppgiftsflöde för distribution av hybrid-datasäkerhet och installera HDS Host OVA för att visa nya krav för ESXi 7.0. |
13 december 2024 |
Först publicerad. |
Inaktivera Hybrid-datasäkerhet för flera klienter
Uppgiftsflöde för inaktivering av HDS för flera klienter
Följ dessa steg för att inaktivera HDS för flera klienter helt.
Innan du börjar
1 |
Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer. |
2 |
Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.. |
3 |
Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod. |
4 |
Ta bort alla dina kluster från partnerhubben med en av följande två metoder.
|
5 |
Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet. |
Kom igång med Hybrid-datasäkerhet för flera klienter
Översikt över datasäkerhet för flera klienter för hybrid
Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Kärnan i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.
Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.
Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.
Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll
- Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
- Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
- Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
- Stöder mötes-, meddelande- och samtalsinnehåll.
Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.
Begränsningar för datasäkerhet för flera klienter för hybrid
- Partnerorganisationer får inte ha någon befintlig HDS-distribution aktiv i Control Hub.
- Klientorganisationer eller kundorganisationer som vill hanteras av en partner får inte ha någon befintlig HDS-distribution i Control Hub.
- När Multi-Tenant HDS har distribuerats av partnern börjar alla användare i kundorganisationer och användare i partnerorganisationen använda Multi-Tenant HDS för sina krypteringstjänster.
Partnerorganisationen och kundorganisationerna som de hanterar kommer att ha samma HDS-distribution för flera klienter.
Partnerorganisationen kommer inte längre att använda moln-KMS när HDS för flera klienter har distribuerats.
- Det finns ingen mekanism för att flytta nycklar tillbaka till moln-KMS efter en HDS-distribution.
- För närvarande kan varje HDS-distribution med flera klienter endast ha ett kluster, med flera noder under det.
- Administratörsroller har vissa begränsningar, se avsnittet nedan för mer information.
Roller i Hybrid-datasäkerhet för flera klienter
- Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
- Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
- Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
- Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
- Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.
Säkerhetsarkitektur
Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:
-
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
-
Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.
-
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
-
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.
Förväntningar på att distribuera Hybrid-datasäkerhet
En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
-
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
-
Utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
-
Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.
-
Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.
Installationsprocess på hög nivå
Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:
-
Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.
-
Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.
-
Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för Hybrid-datasäkerhet
I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.
Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)
Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.
Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.
De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.
Proxy-Support
Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.
Datanoderna för Hybrid har stöd för följande proxyinställningar:
-
Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.
-
Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
-
Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
-
Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:
-
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
-
Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.
-
Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:
-
HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.
-
HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.
-
-
Autentiseringstyp – Välj bland följande autentiseringstyper:
-
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
-
Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.
Endast tillgängligt om du har valt HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
-
Exempel på data säkerhets noder och proxy för Hybrid
Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.
Förbered din miljö
Krav för datasäkerhet för flera klienter för hybrid
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet för flera klienter:
-
Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.
-
Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Skrivbordskrav för Docker
Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".
X.509-certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav |
Detaljer |
---|---|
|
Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (jokertecken). CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet. |
|
KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS. |
|
Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav för virtuell värd
De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
-
Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter
-
VMware ESXi 7.0 (eller senare) installerad och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
-
Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.
Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:
PostgreSQL |
Microsoft SQL-server |
---|---|
|
|
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:
PostgreSQL |
Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 |
SQL Server JDBC-drivrutin 4.6 Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
-
Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.
-
Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.
-
DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).
-
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.
HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:
Program |
Protokoll |
Port |
Riktning från appen |
Destination |
---|---|---|---|---|
Datasäkerhetsnoder för hybrid |
TCP |
443 |
Utgående HTTPS och WSS |
|
Inställningsverktyg för HDS |
TCP |
443 |
Utgående HTTPS |
|
Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.
URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:
Region |
URL:er för Common Identity Host |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Singapore |
|
Förenade Arabemiraten |
|
Proxy Server krav
-
Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.
-
Transparent proxy – Cisco webb säkerhetsutrustning (WSA).
-
Explicit proxy – squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.
-
-
Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:
-
Ingen autentisering med HTTP eller HTTPS
-
Grundläggande autentisering med HTTP eller HTTPS
-
Digest-autentisering med endast HTTPS
-
-
För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.
-
Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.
-
Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till
wbx2.com
ochciscospark.com
.
Uppfyll förutsättningarna för Hybrid-datasäkerhet
1 |
Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen. Kundorganisationer bör inte ha någon befintlig HDS-distribution. |
2 |
Välj ett domännamn för din HDS-distribution (till exempel |
3 |
Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd. |
4 |
Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna. |
5 |
För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer. |
6 |
Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514). |
7 |
Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid. Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet. Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar. |
8 |
Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning. |
9 |
Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning. |
10 |
Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver. |
Konfigurera ett datasäkerhetskluster för hybrid
Uppgiftsflöde för distribution av Hybrid-datasäkerhet
1 |
Utför initial konfiguration och hämta installationsfiler Hämta OVA-filen till din lokala dator för senare användning. |
2 |
Skapa en konfiguration-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid. |
3 |
Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
4 |
Konfigurera VM för datasäkerhet för hybrid Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. |
5 |
Ladda upp och montera ISO för HDS-konfiguration Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget. |
6 |
Konfigurera HDS-noden för proxy-integrering Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs. |
7 |
Registrera den första noden i klustret Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. |
8 |
Skapa och registrera fler noder Slutför klusterkonfigurationen. |
9 |
Aktivera HDS för flera klienter i partnerhubben. Aktivera HDS och hantera klientorganisationer i partnerhubben. |
Utför initial konfiguration och hämta installationsfiler
I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.
1 |
Logga in på partnerhubben och klicka sedan på Tjänster. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera. Att klicka på Konfigurera i partnerhubben är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra det här steget. |
3 |
Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara . Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen. Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på . OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
|
4 |
Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig. |
Skapa en konfiguration-ISO för HDS-värdarna
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö anger du proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5 nedan. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. | ||||||||||
2 |
För att logga in på Docker-bildregistret anger du följande: | ||||||||||
3 |
Vid lösenordsupp prompten anger du detta hash: | ||||||||||
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: | ||||||||||
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". | ||||||||||
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. | ||||||||||
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. | ||||||||||
9 |
På sidan ISO-import har du följande alternativ:
| ||||||||||
10 |
Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.
| ||||||||||
11 |
Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager: | ||||||||||
12 |
Välj ett anslutningsläge för TLS-databasen:
När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||
13 |
Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||
14 |
(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra: | ||||||||||
15 |
Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton . Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer. | ||||||||||
16 |
Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||
17 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. | ||||||||||
18 |
Om du vill stänga av konfigurationsverktyget skriver du |
Nästa steg
Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.
Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.
Installera HDS-värd-OVA
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden. |
2 |
Välj Arkiv > Distribuera OVF-mall. |
3 |
I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa. |
4 |
På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa. |
5 |
På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. |
6 |
Verifiera mallinformationen och klicka sedan på Nästa. |
7 |
Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa. |
8 |
På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn. |
9 |
På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn. |
10 |
Konfigurera följande nätverksinställningar på sidan Anpassa mall :
Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
11 |
Högerklicka på nodens VM och välj sedan .Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in. |
Konfigurera VM för datasäkerhet för hybrid
Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 |
I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol . VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
|
2 |
Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 |
Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn. |
4 |
Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 |
(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy. Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 |
Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla. |
Ladda upp och montera ISO för HDS-konfiguration
Innan du börjar
Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.
1 |
Ladda upp ISO-filen från datorn: |
2 |
Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxy-integrering
Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.
Innan du börjar
-
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 |
Skriv in URL: en för HDS-nodens konfiguration |
2 |
Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:
Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy. |
3 |
Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn. Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen. |
4 |
Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn. Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge. |
5 |
När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla. |
6 |
Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo. Noden startas om inom några minuter. |
7 |
När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd. Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera. |
4 |
Klicka på Lägg till en resurs på sidan som öppnas. |
5 |
I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till. Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 |
I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen. Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet. Ett meddelande visas som anger att du kan registrera din nod till Webex.
|
7 |
Klicka på Gå till nod. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod. |
8 |
Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
9 |
Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 |
Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet. |
3 |
Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn. |
4 |
Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 |
Registrera noden. |
Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid
Aktivera HDS för flera klienter i partnerhubben
Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.
Innan du börjar
Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. |
4 |
Klicka på Aktivera HDS på kortet HDS-status . |
Lägg till klientorganisationer i Partner Hub
I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
Klicka på klustret som du vill att en kund ska tilldelas till. |
5 |
Gå till fliken Tilldelade kunder . |
6 |
Klicka på Lägg till kunder. |
7 |
Välj kunden som du vill lägga till från rullgardinsmenyn. |
8 |
Klicka på Lägg till, kunden kommer att läggas till i klustret. |
9 |
Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster. |
10 |
Klicka på Klar längst ner på skärmen när du har lagt till kunderna. |
Nästa steg
Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget
Innan du börjar
Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. Se till att du är ansluten till databasen för att utföra CMK-hantering. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad. |
13 |
Om CMK inte kan skapas visas ett fel. |
Ta bort klientorganisationer
Innan du börjar
När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från. |
5 |
Klicka på Tilldelade kunder på sidan som öppnas. |
6 |
I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster. |
Nästa steg
Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.
Återkalla CMK:er för klienter som tagits bort från HDS.
Innan du börjar
Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen. |
13 |
Om CMK-återkallelsen misslyckas visas ett fel. |
Testa din datasäkerhetsdistribution för hybrid
Testa din datasäkerhetsdistribution för hybrid
Innan du börjar
-
Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.
-
Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.
1 |
Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme. Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts. |
2 |
Skicka meddelanden till det nya utrymmet. |
3 |
Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 |
I Partner Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. Sidan Inställningar för Hybrid-datasäkerhet visas.
|
3 |
I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Hantera din HDS-distribution
Hantera HDS-distribution
Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 |
Logga in på Partner Hub. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera |
4 |
Välj klustret på sidan Hybrid-datasäkerhetsresurser. |
5 |
Klicka på fliken Klusterinställningar . |
6 |
Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar. Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar. |
Ändra nodkonfigurationen
-
Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.
Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
-
Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.
-
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:
-
Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.
-
Hård återställning – De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.
Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT
-
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.
1 |
Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 |
Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 |
Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod: |
4 |
Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Inaktivera blockerad extern DNS-Matchningstid
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.
Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.
Innan du börjar
1 |
Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in. |
2 |
Går du till Översikt (standard sidan). ![]() När den är aktive rad är blockerad extern DNS-matchning inställd på Ja. |
3 |
Går du till sidan betrodda certifikat \ proxy . |
4 |
Klicka på kontrol lera proxy-anslutning. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej. |
Nästa steg
Ta bort en nod
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 |
Ta bort noden: |
3 |
Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.) Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata. |
Katastrofåterställning med Standby-datacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.
Innan du börjar
1 |
Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. |
2 |
Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. |
3 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. |
4 |
I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar. |
5 |
Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager. Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats. |
6 |
Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter. |
7 |
Registrera noden i partnerhubben. Se Registrera den första noden i klustret. |
8 |
Upprepa processen för varje nod i datacentret för vänteläge. |
Nästa steg
(Valfritt) Avmontera ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 |
Stäng av en av dina HDS-noder. |
2 |
Välj HDS-noden i vCenter-serverenheten. |
3 |
Välj ISO-fil för datalager. och avmarkera |
4 |
Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter. |
5 |
Upprepa för varje HDS-nod i tur och ordning. |
Felsök Hybrid-datasäkerhet
Visa aviseringar och felsökning
En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:
-
Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)
-
Meddelanden och utrymmetitlar kan inte avkrypteras för:
-
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
-
Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)
-
-
Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.
Aviseringar
Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.
Avisering |
Åtgärd |
---|---|
Åtkomstfel i lokal databas. |
Kontrollera om det finns databasfel eller problem med det lokala nätverket. |
Anslutning till lokal databas misslyckades. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen. |
Åtkomstfel för molntjänst. |
Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning. |
Förnyar registrering av molntjänster. |
Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår. |
Registreringen av molntjänsten har avbrutits. |
Registrering till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är ännu inte aktiverad. |
Aktivera HDS i partnerhubben. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna den lokala keystore-filen. |
Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare. |
Det gick inte att publicera mätvärden. |
Kontrollera lokala nätverksåtkomst till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras. |
Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna |
Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget. |
Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna |
Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget. |
Felsök Hybrid-datasäkerhet
1 |
Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens. |
2 |
Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning. |
3 |
Kontakta Ciscos support. |
Övriga anteckningar
Kända problem med Hybrid-datasäkerhet
-
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.
-
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
-
OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.
-
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.
-
Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.
-
Skapa en privat nyckel.
-
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 |
När du får servercertifikatet från din CA sparar du det som |
2 |
Visa certifikatet som text och verifiera informationen.
|
3 |
Använd en textredigerare för att skapa en fil med certifikatpaket som heter
|
4 |
Skapa .p12-filen med det vänliga namnet
|
5 |
Kontrollera informationen om servercertifikatet. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12
och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.
Trafik mellan HDS-noderna och molnet
Insamlingstrafik för utgående mätvärden
Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:
-
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
-
Uppgraderingar av nodprogramvaran
Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
WebSocket kan inte ansluta via squid proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:
) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS:
trafik för att tjänsterna ska fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktivet i squid.conf
:
on_unsupported_protocol tunnel alla
Squid-3.5.27
Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla
Ny och ändrad information
Ny och ändrad information
Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.
Datum |
Ändringar har gjorts |
---|---|
4 mars 2025 |
|
30 januari 2025 |
Lade till SQL-serverversion 2022 i listan över SQL-servrar som stöds i Databasserverkrav. |
15 januari 2025 |
Lade till Begränsningar för Hybrid-datasäkerhet för flera klienter. |
08 januari 2025 |
Lade till en anteckning i Utför inledande konfiguration och hämta installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i partnerhubben. |
07 januari 2025 |
Uppdaterade krav för virtuell värd, uppgiftsflöde för distribution av hybrid-datasäkerhet och installera HDS Host OVA för att visa nya krav för ESXi 7.0. |
13 december 2024 |
Först publicerad. |
Inaktivera Hybrid-datasäkerhet för flera klienter
Uppgiftsflöde för inaktivering av HDS för flera klienter
Följ dessa steg för att inaktivera HDS för flera klienter helt.
Innan du börjar
1 |
Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer. |
2 |
Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.. |
3 |
Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod. |
4 |
Ta bort alla dina kluster från partnerhubben med en av följande två metoder.
|
5 |
Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet. |
Kom igång med Hybrid-datasäkerhet för flera klienter
Översikt över datasäkerhet för flera klienter för hybrid
Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Kärnan i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.
Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.
Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.
Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll
- Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
- Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
- Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
- Stöder mötes-, meddelande- och samtalsinnehåll.
Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.
Begränsningar för datasäkerhet för flera klienter för hybrid
- Partnerorganisationer får inte ha någon befintlig HDS-distribution aktiv i Control Hub.
- Klientorganisationer eller kundorganisationer som vill hanteras av en partner får inte ha någon befintlig HDS-distribution i Control Hub.
- När Multi-Tenant HDS har distribuerats av partnern börjar alla användare i kundorganisationer och användare i partnerorganisationen använda Multi-Tenant HDS för sina krypteringstjänster.
Partnerorganisationen och kundorganisationerna som de hanterar kommer att ha samma HDS-distribution för flera klienter.
Partnerorganisationen kommer inte längre att använda moln-KMS när HDS för flera klienter har distribuerats.
- Det finns ingen mekanism för att flytta nycklar tillbaka till moln-KMS efter en HDS-distribution.
- För närvarande kan varje HDS-distribution med flera klienter endast ha ett kluster, med flera noder under det.
- Administratörsroller har vissa begränsningar, se avsnittet nedan för mer information.
Roller i Hybrid-datasäkerhet för flera klienter
- Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
- Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
- Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
- Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
- Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.
Säkerhetsarkitektur
Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:
-
Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.
-
Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.
-
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
-
Det krypterade meddelandet lagras i lagringssfären.
När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.
Samarbeta med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.
Förväntningar på att distribuera Hybrid-datasäkerhet
En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.
För att distribuera Hybrid-datasäkerhet måste du ange:
-
Ett säkert datacenter i ett land som är en plats som stöds för Cisco Webex Teams-planer.
-
Utrustning, programvara och nätverksåtkomst som beskrivs i Förbered din miljö.
Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:
-
Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.
-
Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.
Installationsprocess på hög nivå
Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:
-
Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.
Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.
-
Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.
-
Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.
Distributionsmodell för Hybrid-datasäkerhet
I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.
Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)
Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.
Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.
Standby-datacenter för katastrofåterställning
Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.
De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.
Proxy-Support
Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.
Datanoderna för Hybrid har stöd för följande proxyinställningar:
-
Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.
-
Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
-
Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
-
Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:
-
Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.
-
Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.
-
Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:
-
HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.
-
HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.
-
-
Autentiseringstyp – Välj bland följande autentiseringstyper:
-
Ingen – Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
-
Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.
Endast tillgängligt om du har valt HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
-
Exempel på data säkerhets noder och proxy för Hybrid
Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.
Förbered din miljö
Krav för datasäkerhet för flera klienter för hybrid
Cisco Webex-licenskrav
Så här distribuerar du Hybrid-datasäkerhet för flera klienter:
-
Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.
-
Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Skrivbordskrav för Docker
Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".
Kunder utan en Docker Desktop-licens kan använda ett verktyg för hantering av behållare med öppen källkod som Podman Desktop för att köra, hantera och skapa behållare. Mer information finns i Kör HDS-konfigurationsverktyg med Podman Desktop .
X.509-certifikatkrav
Certifikatkedjan måste uppfylla följande krav:
Krav |
Detaljer |
---|---|
|
Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel CN får inte innehålla ett * (jokertecken). CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet. |
|
KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS. |
|
Du kan använda en konverterare som OpenSSL för att ändra certifikatets format. Du måste ange lösenordet när du kör HDS-konfigurationsverktyget. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav för virtuell värd
De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:
-
Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter
-
VMware ESXi 7.0 (eller senare) installerad och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
-
Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server
Krav på databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.
Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:
PostgreSQL |
Microsoft SQL-server |
---|---|
|
|
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:
PostgreSQL |
Microsoft SQL-server |
---|---|
Postgres JDBC-drivrutin 42.2.5 |
SQL Server JDBC-drivrutin 4.6 Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
-
Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.
-
Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.
-
DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).
-
Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.
HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.
Krav på extern anslutning
Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:
Program |
Protokoll |
Port |
Riktning från appen |
Destination |
---|---|---|---|---|
Datasäkerhetsnoder för hybrid |
TCP |
443 |
Utgående HTTPS och WSS |
|
Inställningsverktyg för HDS |
TCP |
443 |
Utgående HTTPS |
|
Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.
URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:
Region |
URL:er för Common Identity Host |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Singapore |
|
Förenade Arabemiraten |
|
Proxy Server krav
-
Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.
-
Transparent proxy – Cisco webb säkerhetsutrustning (WSA).
-
Explicit proxy – squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.
-
-
Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:
-
Ingen autentisering med HTTP eller HTTPS
-
Grundläggande autentisering med HTTP eller HTTPS
-
Digest-autentisering med endast HTTPS
-
-
För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.
-
Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.
-
Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om detta problem uppstår löser du problemet genom att kringgå (inte inspektera) trafik till
wbx2.com
ochciscospark.com
.
Uppfyll förutsättningarna för Hybrid-datasäkerhet
1 |
Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen. Kundorganisationer bör inte ha någon befintlig HDS-distribution. |
2 |
Välj ett domännamn för din HDS-distribution (till exempel |
3 |
Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd. |
4 |
Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna. |
5 |
För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer. |
6 |
Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514). |
7 |
Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid. Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet. Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar. |
8 |
Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning. |
9 |
Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information. För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning. |
10 |
Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver. |
Konfigurera ett datasäkerhetskluster för hybrid
Uppgiftsflöde för distribution av Hybrid-datasäkerhet
1 |
Utför initial konfiguration och hämta installationsfiler Hämta OVA-filen till din lokala dator för senare användning. |
2 |
Skapa en konfiguration-ISO för HDS-värdarna Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid. |
3 |
Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
4 |
Konfigurera VM för datasäkerhet för hybrid Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. |
5 |
Ladda upp och montera ISO för HDS-konfiguration Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget. |
6 |
Konfigurera HDS-noden för proxy-integrering Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs. |
7 |
Registrera den första noden i klustret Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid. |
8 |
Skapa och registrera fler noder Slutför klusterkonfigurationen. |
9 |
Aktivera HDS för flera klienter i partnerhubben. Aktivera HDS och hantera klientorganisationer i partnerhubben. |
Utför initial konfiguration och hämta installationsfiler
I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.
1 |
Logga in på partnerhubben och klicka sedan på Tjänster. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera. Att klicka på Konfigurera i partnerhubben är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra det här steget. |
3 |
Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara . Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen. Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på . OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
|
4 |
Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig. |
Skapa en konfiguration-ISO för HDS-värdarna
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter.
Om du inte har en Docker Desktop-licens kan du använda Podman Desktop för att köra HDS-konfigurationsverktyget för steg 1 till 5 i proceduren nedan. Mer information finns i Kör HDS-konfigurationsverktyg med Podman Desktop .
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö anger du proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5 nedan. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. | ||||||||||
2 |
För att logga in på Docker-bildregistret anger du följande: | ||||||||||
3 |
Vid lösenordsupp prompten anger du detta hash: | ||||||||||
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: | ||||||||||
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". | ||||||||||
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. | ||||||||||
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. | ||||||||||
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. | ||||||||||
9 |
På sidan ISO-import har du följande alternativ:
| ||||||||||
10 |
Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.
| ||||||||||
11 |
Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager: | ||||||||||
12 |
Välj ett anslutningsläge för TLS-databasen:
När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.) | ||||||||||
13 |
Konfigurera din Syslogd-server på sidan Systemloggar: | ||||||||||
14 |
(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra: | ||||||||||
15 |
Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton . Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer. | ||||||||||
16 |
Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||
17 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. | ||||||||||
18 |
Om du vill stänga av konfigurationsverktyget skriver du |
Nästa steg
Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.
Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.
Installera HDS-värd-OVA
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden. |
2 |
Välj Arkiv > Distribuera OVF-mall. |
3 |
I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa. |
4 |
På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa. |
5 |
På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa. En valideringskontroll körs. När den är klar visas mallinformationen. |
6 |
Verifiera mallinformationen och klicka sedan på Nästa. |
7 |
Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa. |
8 |
På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn. |
9 |
På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn. |
10 |
Konfigurera följande nätverksinställningar på sidan Anpassa mall :
Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen. Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
11 |
Högerklicka på nodens VM och välj sedan .Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in. |
Konfigurera VM för datasäkerhet för hybrid
Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 |
I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol . VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
|
2 |
Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet. |
3 |
Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn. |
4 |
Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte. |
5 |
(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy. Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet. |
6 |
Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla. |
Ladda upp och montera ISO för HDS-konfiguration
Innan du börjar
Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.
1 |
Ladda upp ISO-filen från datorn: |
2 |
Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxy-integrering
Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.
Innan du börjar
-
Se Proxysupport för en översikt över de proxyalternativ som stöds.
1 |
Ange URL för inställning av HDS-noden |
2 |
Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:
Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy. |
3 |
Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn. Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen. |
4 |
Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn. Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge. |
5 |
När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla. |
6 |
Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo. Noden startas om inom några minuter. |
7 |
När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd. Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera. |
4 |
Klicka på Lägg till en resurs på sidan som öppnas. |
5 |
I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till. Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 |
I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen. Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet. Ett meddelande visas som anger att du kan registrera din nod till Webex.
|
7 |
Klicka på Gå till nod. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod. |
8 |
Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
|
9 |
Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben. På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.
|
Skapa och registrera fler noder
Innan du börjar
-
När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.
1 |
Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA. |
2 |
Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet. |
3 |
Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn. |
4 |
Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden. |
5 |
Registrera noden. |
Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid
Aktivera HDS för flera klienter i partnerhubben
Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.
Innan du börjar
Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. |
4 |
Klicka på Aktivera HDS på kortet HDS-status . |
Lägg till klientorganisationer i Partner Hub
I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
Klicka på klustret som du vill att en kund ska tilldelas till. |
5 |
Gå till fliken Tilldelade kunder . |
6 |
Klicka på Lägg till kunder. |
7 |
Välj kunden som du vill lägga till från rullgardinsmenyn. |
8 |
Klicka på Lägg till, kunden kommer att läggas till i klustret. |
9 |
Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster. |
10 |
Klicka på Klar längst ner på skärmen när du har lagt till kunderna. |
Nästa steg
Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget
Innan du börjar
Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. Se till att du är ansluten till databasen för att utföra CMK-hantering. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad. |
13 |
Om CMK inte kan skapas visas ett fel. |
Ta bort klientorganisationer
Innan du börjar
När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla. |
4 |
På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från. |
5 |
Klicka på Tilldelade kunder på sidan som öppnas. |
6 |
I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster. |
Nästa steg
Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.
Återkalla CMK:er för klienter som tagits bort från HDS.
Innan du börjar
Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd. Använd en webbläsare för att gå till den lokala värden Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet. |
7 |
När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet. |
8 |
Klicka på Kom igång på översiktssidan för konfigurationsverktyget. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. |
11 |
Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.
|
12 |
När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen. |
13 |
Om CMK-återkallelsen misslyckas visas ett fel. |
Testa din datasäkerhetsdistribution för hybrid
Testa din datasäkerhetsdistribution för hybrid
Innan du börjar
-
Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.
-
Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.
1 |
Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme. Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts. |
2 |
Skicka meddelanden till det nya utrymmet. |
3 |
Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet. |
Övervaka datasäkerhet för hybrid
1 |
I Partner Hub väljer du Tjänster i menyn till vänster på skärmen. |
2 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar. Sidan Inställningar för Hybrid-datasäkerhet visas.
|
3 |
I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur. |
Hantera din HDS-distribution
Hantera HDS-distribution
Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 |
Logga in på Partner Hub. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera |
4 |
Välj klustret på sidan Hybrid-datasäkerhetsresurser. |
5 |
Klicka på fliken Klusterinställningar . |
6 |
Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar. Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar. |
Ändra nodkonfigurationen
-
Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.
Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
-
Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.
-
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:
-
Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.
-
Hård återställning – De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.
Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.
Om du inte har en Docker Desktop-licens kan du använda Podman Desktop för att köra HDS-konfigurationsverktyget för steg 1.a till 1.e i proceduren nedan. Mer information finns i Kör HDS-konfigurationsverktyg med Podman Desktop .
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.
1 |
Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 |
Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder. |
3 |
Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod: |
4 |
Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Inaktivera blockerad extern DNS-Matchningstid
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.
Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.
Innan du börjar
1 |
Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in. |
2 |
Går du till Översikt (standard sidan). ![]() När den är aktive rad är blockerad extern DNS-matchning inställd på Ja. |
3 |
Går du till sidan betrodda certifikat \ proxy . |
4 |
Klicka på kontrol lera proxy-anslutning. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej. |
Nästa steg
Ta bort en nod
1 |
Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn. |
2 |
Ta bort noden: |
3 |
Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.) Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata. |
Katastrofåterställning med Standby-datacenter
Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.
Innan du börjar
1 |
Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna. |
2 |
Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. |
3 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar. |
4 |
I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar. |
5 |
Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager. Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats. |
6 |
Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter. |
7 |
Registrera noden i partnerhubben. Se Registrera den första noden i klustret. |
8 |
Upprepa processen för varje nod i datacentret för vänteläge. |
Nästa steg
(Valfritt) Avmontera ISO efter HDS-konfiguration
Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 |
Stäng av en av dina HDS-noder. |
2 |
Välj HDS-noden i vCenter-serverenheten. |
3 |
Välj ISO-fil för datalager. och avmarkera |
4 |
Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter. |
5 |
Upprepa för varje HDS-nod i tur och ordning. |
Felsök Hybrid-datasäkerhet
Visa aviseringar och felsökning
En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:
-
Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)
-
Meddelanden och utrymmetitlar kan inte avkrypteras för:
-
Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)
-
Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)
-
-
Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna
Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.
Aviseringar
Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.
Avisering |
Åtgärd |
---|---|
Åtkomstfel i lokal databas. |
Kontrollera om det finns databasfel eller problem med det lokala nätverket. |
Anslutning till lokal databas misslyckades. |
Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen. |
Åtkomstfel för molntjänst. |
Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning. |
Förnyar registrering av molntjänster. |
Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår. |
Registreringen av molntjänsten har avbrutits. |
Registrering till molntjänster har avslutats. Tjänsten stängs av. |
Tjänsten är ännu inte aktiverad. |
Aktivera HDS i partnerhubben. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen. Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen. |
Det gick inte att autentisera till molntjänster. |
Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla. |
Det gick inte att öppna den lokala keystore-filen. |
Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare. |
Det gick inte att publicera mätvärden. |
Kontrollera lokala nätverksåtkomst till externa molntjänster. |
/media/configdrive/hds-katalogen finns inte. |
Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras. |
Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna |
Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget. |
Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna |
Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget. |
Felsök Hybrid-datasäkerhet
1 |
Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens. |
2 |
Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning. |
3 |
Kontakta Ciscos support. |
Övriga anteckningar
Kända problem med Hybrid-datasäkerhet
-
Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.
-
En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).
Kör HDS-konfigurationsverktyget med Podman-skrivbordet
Podman är ett fritt och öppet verktyg för hantering av containrar som ger ett sätt att köra, hantera och skapa containrar. Podman Desktop kan hämtas från https://podman-desktop.io/downloads.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Hämta och kör Podman på datorn för att komma åt den. Konfigurationsprocessen kräver autentiseringsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:
-
Inloggningsuppgifter för databas
-
Certifikatuppdateringar
-
Ändringar i behörighetspolicyn
-
-
Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.
Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
Nästa steg
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
-
OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.
-
Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.
-
Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.
-
Skapa en privat nyckel.
-
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 |
När du får servercertifikatet från din CA sparar du det som |
2 |
Visa certifikatet som text och verifiera informationen.
|
3 |
Använd en textredigerare för att skapa en certifikatpaketfil som heter
|
4 |
Skapa .p12-filen med det vänliga namnet
|
5 |
Kontrollera informationen om servercertifikatet. |
Nästa steg
Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda hdsnode.p12
filen och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.
Trafik mellan HDS-noderna och molnet
Insamlingstrafik för utgående mätvärden
Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, statistik på synkroniserade och asynkrona trådar, statistik på varningar med tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran, statistik på datalager och statistik för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).
Inkommande trafik
Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:
-
Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten
-
Uppgraderingar av nodprogramvaran
Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
WebSocket kan inte ansluta via squid proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:
) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss:
trafik för att tjänsterna ska fungera korrekt.
Squid 4 och 5
Lägg till on_unsupported_protocol
direktivet i squid.conf
:
on_unsupported_protocol tunnel all
Squid-3.5.27
Vi har testat Hybrid-datasäkerhet med följande regler som har lagts till i squid.conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Ny och ändrad information
Ny och ändrad information
Den här tabellen täcker nya funktioner eller funktionalitet, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguiden för hybriddatasäkerhet för flera hyresgäster.
Datum |
Gjorda ändringar |
---|---|
8 maj 2025 |
|
4 mars 2025 |
|
30 januari 2025 |
Lade till SQL Server version 2022 i listan över SQL-servrar som stöds i Krav för databasserver. |
15 januari 2025 |
Lade till Begränsningar för hybriddatasäkerhet med flera hyresgäster. |
8 januari 2025 |
Lade till en anmärkning i Utför initial installation och ladda ner installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i Partner Hub. |
7 januari 2025 |
Uppdaterade Krav för virtuella värdar, Aktivitetsflöde för distribution av hybriddatasäkerhetoch Installera HDS-värdens OVA för att visa de nya kraven för ESXi 7.0. |
13 december 2024 |
Först publicerad. |
Inaktivera hybriddatasäkerhet för flera hyresgäster
Flöde för inaktivering av HDS för flera hyresgäster
Följ dessa steg för att helt inaktivera HDS med flera hyresgäster.
Innan du börjar
1 |
Ta bort alla kunder från alla dina kluster, som nämns i Ta bort hyresgästorganisationer. |
2 |
Återkalla CMK:er för alla kunder, som nämns i Återkalla CMK:er för hyresgäster som tagits bort från HDS.. |
3 |
Ta bort alla noder från alla dina kluster, som nämns i Ta bort en nod. |
4 |
Ta bort alla dina kluster från Partner Hub med hjälp av en av följande två metoder.
|
5 |
Klicka på fliken Inställningar på översiktssidan för hybriddatasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet. |
Kom igång med hybrid datasäkerhet för flera hyresgäster
Översikt över hybrid datasäkerhet för flera hyresgäster
Från dag ett har datasäkerhet varit det primära fokuset vid utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från början till slut, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.
Som standard får alla Webex-appkunder end-to-end-kryptering med dynamiska nycklar lagrade i moln-KMS, i Ciscos säkerhetsmiljö. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.
Hybrid datasäkerhet för flera hyresgäster gör det möjligt för organisationer att utnyttja HDS genom en betrodd lokal partner, som kan agera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Den här konfigurationen gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att kundorganisationernas användardata är skyddade från extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.
Detta gör det också möjligt för mindre organisationer att utnyttja HDS, eftersom nyckelhanteringstjänster och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.
Hur hybrid datasäkerhet med flera hyresgäster ger datasuveränitet och datakontroll
- Användargenererat innehåll är skyddat från extern åtkomst, som från molntjänstleverantörer.
- Lokala betrodda partners hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
- Möjlighet till lokal teknisk support, om partnern tillhandahåller detta.
- Stöder möten, meddelanden och samtalsinnehåll.
Detta dokument syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett hybridsystem för datasäkerhet med flera hyresgäster.
Begränsningar för hybriddatasäkerhet med flera hyresgäster
- Partnerorganisationer får inte ha någon befintlig HDS-distribution aktiv i Control Hub.
- Hyresgäst- eller kundorganisationer som vill hanteras av en partner får inte ha någon befintlig HDS-distribution i Control Hub.
- När Multi-Tenant HDS har driftsatts av partnern börjar alla användare av kundorganisationer samt användare av partnerorganisationen använda Multi-Tenant HDS för sina krypteringstjänster.
Partnerorganisationen och kundorganisationerna som de hanterar kommer att finnas på samma HDS-distribution med flera hyresgäster.
Partnerorganisationen kommer inte längre att använda moln-KMS efter att Multi-Tenant HDS har distribuerats.
- Det finns ingen mekanism för att flytta nycklar tillbaka till Cloud KMS efter en HDS-distribution.
- För närvarande kan varje HDS-distribution med flera innehavare bara ha ett kluster, med flera noder under det.
- Administratörsroller har vissa begränsningar; se avsnittet nedan för mer information.
Roller inom hybrid datasäkerhet med flera hyresgäster
- Fullständig partneradministratör - Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
- Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
- Fullständig administratör - Administratör för partnerorganisationen som är behörig att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
- Installation och hantering av HDS för flera hyresgäster från hela linjen för alla kundorganisationer - Fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
- Hantering av tilldelade hyresgästorganisationer - Partneradministratör och fullständiga administratörsrättigheter krävs.
Arkitektur inom säkerhetsområdet
Webex molnarkitektur separerar olika typer av tjänster i separata domäner, eller förtroendedomäner, som visas nedan.

För att ytterligare förstå hybrid datasäkerhet, låt oss först titta på detta rena molnfall, där Cisco tillhandahåller alla funktioner inom sina molnområden. Identitetstjänsten, den enda platsen där användare direkt kan korreleras med sin personliga information, såsom e-postadress, är logiskt och fysiskt separerad från säkerhetsområdet i datacenter B. Båda är i sin tur separerade från området där krypterat innehåll slutligen lagras, i datacenter C.
I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande att skicka till ett utrymme sker följande steg:
-
Klienten upprättar en säker anslutning med nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH, och KMS krypterar nyckeln med en AES-256-huvudnyckel.
-
Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.
-
Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.
-
Det krypterade meddelandet lagras i lagringsområdet.
När du distribuerar Hybrid Data Security flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) ligger fortfarande inom Ciscos område.
Samarbete med andra organisationer
Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det skapades av en av dina användare) skickar ditt KMS nyckeln till klienten via en ECDH-säkrad kanal. Men när en annan organisation äger nyckeln för utrymmet, dirigerar din KMS begäran ut till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS, och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på organisation A validerar anslutningarna till KMS:er i andra organisationer med hjälp av x.509 PKI-certifikat. Se Förbered din miljö för information om hur du genererar ett x.509-certifikat som ska användas med din distribution av hybriddatasäkerhet för flera hyresgäster.
Förväntningar för implementering av hybrid datasäkerhet
En hybrid datasäkerhetsimplementering kräver betydande engagemang och en medvetenhet om de risker som följer med att äga krypteringsnycklar.
För att driftsätta hybrid datasäkerhet måste du tillhandahålla:
-
Ett säkert datacenter i ett land som stöds av Cisco Webex Teams-abonnemangen.
-
Utrustningen, programvaran och nätverksåtkomsten som beskrivs i Förbered din miljö.
Fullständig förlust av antingen konfigurations-ISO:n som du skapar för Hybrid Data Security eller databasen som du tillhandahåller kommer att resultera i förlust av nycklarna. Nyckelförlust hindrar användare från att dekryptera utrymmesinnehåll och annan krypterad data i Webex-appen. Om detta händer kan du bygga en ny distribution, men endast nytt innehåll kommer att synas. För att undvika förlust av åtkomst till data måste du:
-
Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO:n.
-
Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel ett diskfel i databasen eller en datacenterkatastrof.
Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.
Övergripande installationsprocess
Det här dokumentet beskriver installation och hantering av en hybrid datasäkerhetsdistribution med flera hyresgäster:
-
Konfigurera hybrid datasäkerhet— Detta inkluderar att förbereda nödvändig infrastruktur och installera hybrid datasäkerhetsprogramvara, bygga ett HDS-kluster, lägga till hyresgästorganisationer i klustret och hantera deras kundhuvudnycklar (CMK). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt hybriddatasäkerhetskluster för säkerhetsfunktioner.
Installations-, aktiverings- och hanteringsfaserna behandlas i detalj i de kommande tre kapitlen.
-
Underhåll din hybriddatasäkerhetsdistribution— Webex-molnet tillhandahåller automatiskt kontinuerliga uppgraderingar. Er IT-avdelning kan tillhandahålla support på nivå ett för denna implementering och anlita Cisco-support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Partner Hub.
-
Förstå vanliga varningar, felsökningssteg och kända problem— Om du stöter på problem med att distribuera eller använda Hybrid Data Security kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att identifiera och åtgärda problemet.
Hybrid datasäkerhetsdistributionsmodell
Inom ditt företagsdatacenter distribuerar du Hybrid Data Security som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.
Under installationsprocessen förser vi dig med OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-installationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid Data Security-klustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar Syslogd och databasanslutningsdetaljer i HDS-installationsverktyget.)

Det minsta antalet noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar bara en nod åt gången.)
Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggar aktivitet till samma syslog-server. Noderna själva är tillståndslösa och hanterar viktiga förfrågningar i round-robin-stil, enligt anvisningar från molnet.
Noder blir aktiva när du registrerar dem i Partner Hub. För att ta en enskild nod ur drift kan du avregistrera den och senare registrera om den om det behövs.
Standby-datacenter för katastrofåterställning
Under driftsättningen konfigurerar du ett säkert reservdatacenter. I händelse av en datacenterkatastrof kan du manuellt överföra din distribution till reservdatacentret.

Databaserna för de aktiva och standby-datacentren är synkroniserade med varandra vilket minimerar den tid det tar att utföra redundansväxlingen.
De aktiva Hybrid Data Security-noderna måste alltid finnas i samma datacenter som den aktiva databasservern.
Proxy-Support
Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.
Datanoderna för Hybrid har stöd för följande proxyinställningar:
-
Ingen proxy— Standardinställningen om du inte använder HDS-nodens Trust Store-inställningar & Proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.
-
Transparent icke-inspekterande proxy— Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikat uppdatering krävs.
-
Transparent tunnling eller inspektion av proxy— Noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
-
Explicit proxy— Med explicit proxy anger du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:
-
Proxy IP/FQDN—Adress som kan användas för att nå proxymaskinen.
-
Proxyport—Ett portnummer som proxyn använder för att lyssna efter proxytrafik.
-
Proxyprotokoll—Beroende på vad din proxyserver stöder kan du välja mellan följande protokoll:
-
HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.
-
HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.
-
-
Autentiseringstyp— Välj bland följande autentiseringstyper:
-
Ingen—Ingen ytterligare autentisering krävs.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
-
Grundläggande—Används av en HTTP-användaragent för att tillhandahålla ett användarnamn och lösenord vid en begäran. Använder base64-kodning.
Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
Digest— Används för att bekräfta kontot innan känslig information skickas. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.
Endast tillgängligt om du har valt HTTPS som proxy-protokoll.
Kräver att du anger användarnamn och lösen ordet för varje nod.
-
-
Exempel på data säkerhets noder och proxy för Hybrid
Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.
Förbered din miljö
Krav för hybrid datasäkerhet med flera hyresgäster
Cisco Webex-licenskrav
Så här distribuerar du hybrid datasäkerhet för flera hyresgäster:
-
Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvariga och se till att funktionen för flera hyresgäster är aktiverad.
-
Hyresgästorganisationer: Du måste ha Pro Pack för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Krav för Docker-skrivbordet
Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett installationsprogram. Docker har nyligen uppdaterat sin licensmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".
Kunder utan Docker Desktop-licens kan använda ett verktyg för containerhantering med öppen källkod, som Podman Desktop, för att köra, hantera och skapa containrar. Se Kör HDS-installationsverktyget med Podman Desktop för mer information.
Krav för X.509-certifikat
Certifikatkedjan måste uppfylla följande krav:
Krav |
Detaljer |
---|---|
|
Som standard litar vi på certifikatutfärdarna i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
|
KN:n behöver inte vara nåbar eller en livevärd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel KN-numret får inte innehålla en * (jokertecken). CN används för att verifiera hybriddatasäkerhetsnoderna till Webex-appklienter. Alla Hybrid Data Security-noder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten. När du väl har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet. |
|
KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS:er. |
|
Du kan använda en konverterare som OpenSSL för att ändra formatet på ditt certifikat. Du måste ange lösenordet när du kör HDS Setup Tool. |
KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningar. Vissa certifikatutfärdare kräver att utökade nyckelanvändningsbegränsningar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.
Krav för virtuella värdar
De virtuella värdar som du kommer att konfigurera som hybriddatasäkerhetsnoder i ditt kluster har följande krav:
-
Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter
-
VMware ESXi 7.0 eller 8.0 installerat och körs.
Du måste uppgradera om du har en tidigare version av ESXi.
-
Minst 4 vCPU:er, 8 GB primärminne, 30 GB lokal hårddiskutrymme per server
Krav för databasserver
Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-applikationerna skapar databasschemat när de är installerade.
Det finns två alternativ för databasservern. Kraven för var och en är följande:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
Minst 8 vCPU:er, 16 GB primärminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under en längre tid utan att behöva öka lagringsutrymmet) |
Minst 8 vCPU:er, 16 GB primärminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under en längre tid utan att behöva öka lagringsutrymmet) |
HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC-drivrutin 42.2.5 |
SQL Server JDBC-drivrutin 4.6 Den här drivrutinsversionen stöder SQL Server Always On ( Always On Failover Cluster Instances och Always On tillgänglighetsgrupper). |
Ytterligare krav för Windows-autentisering mot Microsoft SQL Server
Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din nyckeldatabas på Microsoft SQL Server behöver du följande konfiguration i din miljö:
-
HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.
-
Windows-kontot du anger till HDS-noder måste ha read/write åtkomst till databasen.
-
De DNS-servrar som du tillhandahåller HDS-noder måste kunna matcha ditt nyckeldistributionscenter (KDC).
-
Du kan registrera HDS-databasinstansen på din Microsoft SQL Server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett tjänsteprincipalnamn för Kerberos-anslutningar.
HDS-installationsverktyget, HDS-startprogrammet och det lokala KMS-systemet måste alla använda Windows-autentisering för att komma åt nyckeldatabasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.
Krav för extern anslutning
Konfigurera din brandvägg för att tillåta följande anslutning för HDS-applikationerna:
Program |
Protokoll |
Port |
Vägbeskrivning från appen |
Destination |
---|---|---|---|---|
Hybrida datasäkerhetsnoder |
TCP |
443 |
Utgående HTTPS och WSS |
|
HDS-installationsverktyg |
TCP |
443 |
Utgående HTTPS |
|
Hybrid Data Security-noderna fungerar med Network Access Translation (NAT) eller bakom en brandvägg, så länge som NAT:en eller brandväggen tillåter de utgående anslutningar som krävs till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid Data Security-noderna bör inga portar vara synliga från internet. Inom ditt datacenter behöver klienter åtkomst till Hybrid Data Security-noderna på TCP-portarna 443 och 22 för administrativa ändamål.
URL:erna för CI-värdarna (Common Identity) är regionspecifika. Dessa är de nuvarande CI-värdarna:
Region |
Vanliga identitetsvärd-URL:er |
---|---|
Nord- och Sydamerika |
|
Europeiska unionen |
|
Kanada |
|
Singapore |
|
Förenade Arabemiraten |
|
Proxy Server krav
-
Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.
-
Transparent proxy – Cisco webb säkerhetsutrustning (WSA).
-
Explicit proxy – squid.
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. För att undvika problemet, se Konfigurera Squid-proxyservrar för hybriddatasäkerhet.
-
-
Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:
-
Ingen autentisering med HTTP eller HTTPS
-
Grundläggande autentisering med HTTP eller HTTPS
-
Digest-autentisering med endast HTTPS
-
-
För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.
-
Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.
-
Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår, löser man problemet genom att kringgå (utan att inspektera) trafik till
wbx2.com
ochciscospark.com
.
Slutför förutsättningarna för hybrid datasäkerhet
1 |
Se till att din partnerorganisation har funktionen för flera hyresgäster med HDS aktiverad och hämta autentiseringsuppgifterna för ett konto med fullständig partneradministratörsrättighet och administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro Pack för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvariga för hjälp med den här processen. Kundorganisationer bör inte ha någon befintlig HDS-distribution. |
2 |
Välj ett domännamn för din HDS-distribution (till exempel |
3 |
Förbered identiska virtuella värdar som du kommer att konfigurera som hybriddatasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter, som uppfyller kraven i Krav för virtuella värdar. |
4 |
Förbered databasservern som ska fungera som nyckeldatalagring för klustret, enligt Databasserverkrav. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna. |
5 |
För snabb katastrofåterställning, konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella maskiner och en säkerhetskopieringsdatabasserver. Om produktionen till exempel har 3 virtuella maskiner som kör HDS-noder, bör säkerhetskopieringsmiljön ha 3 virtuella maskiner. |
6 |
Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in dess nätverksadress och syslogport (standard är UDP 514). |
7 |
Skapa en säker säkerhetskopieringspolicy för Hybrid Data Security-noderna, databasservern och syslog-värden. För att förhindra oåterställbar dataförlust måste du som ett minimum säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för Hybrid Data Security-noderna. Eftersom hybriddatasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, kommer misslyckande med att upprätthålla en operativ distribution att resultera i OUTERHÄMTNINGSBAR FÖRLUST av innehållet. Webex-appklienter cachar sina nycklar, så ett avbrott kanske inte märks omedelbart men kommer att bli uppenbart med tiden. Även om tillfälliga avbrott är omöjliga att förhindra, är de återställbara. Emellertid kommer fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurations-ISO-filen att resultera i oåterställbara kunddata. Operatörerna av Hybrid Data Security-noderna förväntas upprätthålla regelbundna säkerhetskopior av databasen och ISO-konfigurationsfilen, och vara beredda att återuppbygga Hybrid Data Security-datacentret om ett katastrofalt fel inträffar. |
8 |
Se till att din brandväggskonfiguration tillåter anslutning för dina Hybrid Data Security-noder enligt beskrivningen i Krav för extern anslutning. |
9 |
Installera Docker ( https://www.docker.com) på valfri lokal maskin som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bit, eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080. Du använder Docker-instansen för att ladda ner och köra HDS Setup Tool, som skapar den lokala konfigurationsinformationen för alla Hybrid Data Security-noder. Du kan behöva en Docker Desktop-licens. Se Krav för Docker Desktop för mer information. För att installera och köra HDS Setup Tool måste den lokala maskinen ha den anslutning som beskrivs i Krav för extern anslutning. |
10 |
Om du integrerar en proxy med Hybrid Data Security, se till att den uppfyller Krav för proxyserver. |
Konfigurera ett hybrid-datasäkerhetskluster
Uppgiftsflöde för distribution av hybriddatasäkerhet
1 |
Utför den första installationen och ladda ner installationsfilerna Ladda ner OVA-filen till din lokala dator för senare användning. |
2 |
Skapa en konfigurations-ISO för HDS-värdarna Använd HDS-installationsverktyget för att skapa en ISO-konfigurationsfil för Hybrid Data Security-noderna. |
3 |
Skapa en virtuell maskin från OVA-filen och utför den initiala konfigurationen, till exempel nätverksinställningar. Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 7.0 och 8.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
4 |
Konfigurera den virtuella hybriddatasäkerhetsdatorn Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen. |
5 |
Ladda upp och montera HDS-konfigurations-ISO:n Konfigurera den virtuella datorn från ISO-konfigurationsfilen som du skapade med HDS-installationsverktyget. |
6 |
Konfigurera HDS-noden för proxy-integrering Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendearkivet om det behövs. |
7 |
Registrera den första noden i klustret Registrera den virtuella datorn med Cisco Webex-molnet som en hybrid datasäkerhetsnod. |
8 |
Skapa och registrera fler noder Slutför klusterinstallationen. |
9 |
Aktivera HDS för flera hyresgäster på Partner Hub. Aktivera HDS och hantera hyresgästorganisationer på Partner Hub. |
Utför den första installationen och ladda ner installationsfilerna
I den här uppgiften laddar du ner en OVA-fil till din dator (inte till de servrar du konfigurerar som Hybrid Data Security-noder). Du använder den här filen senare i installationsprocessen.
1 |
Logga in på Partner Hub och klicka sedan på Tjänster. |
2 |
I avsnittet Molntjänster letar du upp kortet Hybrid Data Security och klickar sedan på Konfigurera. Att klicka på Konfigurera i Partner Hub är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra detta steg. |
3 |
Klicka på Lägg till en resurs och klicka på Ladda ner .OVA-filen på kortet Installera och konfigurera programvara. Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna för Hybrid Data Security. Detta kan leda till problem vid uppgradering av applikationen. Se till att du laddar ner den senaste versionen av OVA-filen. Du kan också ladda ner OVA när som helst från Hjälp -avsnittet. Klicka på . OVA-filen börjar laddas ner automatiskt. Spara filen på en plats på din dator.
|
4 |
Du kan också klicka på Se distributionsguide för hybrid datasäkerhet för att kontrollera om det finns en senare version av den här guiden tillgänglig. |
Skapa en konfigurations-ISO för HDS-värdarna
Installationsprocessen för Hybrid Data Security skapar en ISO-fil. Sedan använder du ISO-filen för att konfigurera din Hybrid Data Security-värd.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Installationsprocessen kräver autentiseringsuppgifter för ett Partner Hub-konto med fullständiga administratörsrättigheter.
Om du inte har en Docker Desktop-licens kan du använda Podman Desktop för att köra HDS-installationsverktyget för steg 1 till 5 i proceduren nedan. Se Kör HDS-installationsverktyget med Podman Desktop för mer information.
Om HDS-installationsverktyget körs bakom en proxy i din miljö, ange proxyinställningarna (server, port, autentiseringsuppgifter) via Docker-miljövariabler när du öppnar Docker-containern i steg 5 nedan. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen varje gång du gör konfigurationsändringar, som dessa:
-
Databasuppgifter
-
Certifikatuppdateringar
-
Ändringar i auktoriseringspolicyn
-
-
Om du planerar att kryptera databasanslutningar, konfigurera din PostgreSQL- eller SQL Server-distribution för TLS.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. | ||||||||||
2 |
För att logga in på Docker-bildregistret anger du följande: | ||||||||||
3 |
Vid lösenordsupp prompten anger du detta hash: | ||||||||||
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: | ||||||||||
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". | ||||||||||
6 |
Installationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till localhost. Använd en webbläsare för att gå till localhost, Verktyget använder den första inmatningen av användarnamnet för att ställa in rätt miljö för det kontot. Verktyget visar sedan standardinloggningsfrågan. | ||||||||||
7 |
När du uppmanas anger du dina inloggningsuppgifter för Partner Hub-administratören och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid Data Security. | ||||||||||
8 |
På översiktssidan för installationsverktyget klickar du på Kom igång. | ||||||||||
9 |
På sidan ISO-import har du dessa alternativ:
| ||||||||||
10 |
Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.
| ||||||||||
11 |
Ange databasadressen och kontot för att HDS ska få åtkomst till ditt nyckeldatalager: | ||||||||||
12 |
Välj ett TLS-databasanslutningsläge:
När du laddar upp rotcertifikatet (om det behövs) och klickar på Fortsätttestar HDS-installationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av skillnader i anslutning kan HDS-noderna eventuellt upprätta TLS-anslutningen även om HDS Setup Tool-datorn inte kan testa den.) | ||||||||||
13 |
På sidan Systemloggar konfigurerar du din Syslogd-server: | ||||||||||
14 |
(Valfritt) Du kan ändra standardvärdet för vissa databasanslutningsparametrar i Avancerade inställningar. Generellt sett är den här parametern den enda du kanske vill ändra: | ||||||||||
15 |
Klicka på Fortsätt på skärmen Återställ lösenord för servicekonton. Lösenord för tjänstkonton har en livslängd på nio månader. Använd den här skärmen när dina lösenord närmar sig utgångsdatumet eller om du vill återställa dem för att ogiltigförklara tidigare ISO-filer. | ||||||||||
16 |
Klicka på Ladda ner ISO-fil. Spara filen på en plats som är lätt att hitta. | ||||||||||
17 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Förvara säkerhetskopian säkert. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid Data Security-administratörer som ska göra konfigurationsändringar. | ||||||||||
18 |
För att stänga av installationsverktyget, skriv |
Nästa steg
Säkerhetskopiera konfigurations-ISO-filen. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det är inte möjligt att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.
Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa till om du tappar bort den.
Installera HDS Host OVA
1 |
Använd VMware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden. |
2 |
Välj Fil > Distribuera OVF-mall. |
3 |
I guiden anger du platsen för OVA-filen som du laddade ner tidigare och klickar sedan på Nästa. |
4 |
På sidan Välj ett namn och en mapp anger du ett namn på en virtuell maskin för noden (till exempel "HDS_Node_1"), väljer en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa. |
5 |
På sidan Välj en beräkningsresurs väljer du målberäkningsresursen och klickar sedan på Nästa. En valideringskontroll körs. När det är klart visas mallinformationen. |
6 |
Verifiera mallinformationen och klicka sedan på Nästa. |
7 |
Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa. |
8 |
På sidan Välj lagring klickar du på Nästa för att acceptera standarddiskformatet och policyn för virtuell maskins lagring. |
9 |
På sidan Välj nätverk väljer du nätverksalternativet från listan över poster för att tillhandahålla önskad anslutning till den virtuella datorn. |
10 |
På sidan Anpassa mall konfigurerar du följande nätverksinställningar:
Om du föredrar kan du hoppa över konfigurationen av nätverksinställningarna och följa stegen i Konfigurera den virtuella hybriddatasäkerhetsmaskinen för att konfigurera inställningarna från nodkonsolen. Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 7.0 och 8.0. Alternativet kanske inte är tillgängligt i tidigare versioner. |
11 |
Högerklicka på nodens virtuella dator och välj sedan .Hybrid Data Security-programvaran installeras som gäst på den virtuella datorvärden. Du är nu redo att logga in på konsolen och konfigurera noden. Felsökningstips Det kan uppstå en fördröjning på några minuter innan nodbehållarna dyker upp. Ett meddelande om en bryggbrandvägg visas på konsolen under första starten, och under den tiden kan du inte logga in. |
Konfigurera den virtuella hybriddatasäkerhetsdatorn
Använd den här proceduren för att logga in på Hybrid Data Security-nodens virtuella datorkonsol för första gången och ange inloggningsuppgifterna. Du kan också använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.
1 |
I VMware vSphere-klienten väljer du din virtuella dator för hybriddatasäkerhetsnoden och väljer fliken Konsol. Den virtuella maskinen startar och en inloggningsfråga visas. Om inloggningsfrågan inte visas trycker du på Enter.
|
2 |
Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna: Eftersom du loggar in på din virtuella dator för första gången måste du ändra administratörslösenordet. |
3 |
Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVAhoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn. |
4 |
Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Din nod bör ha en intern IP-adress och ett DNS-namn. DHCP stöds inte. |
5 |
(Valfritt) Ändra värdnamn, domän eller NTP-server(ar) om det behövs för att matcha din nätverkspolicy. Du behöver inte ställa in domänen så att den matchar den domän du använde för att hämta X.509-certifikatet. |
6 |
Spara nätverkskonfigurationen och starta om den virtuella datorn så att ändringarna träder i kraft. |
Ladda upp och montera HDS-konfigurations-ISO:n
Innan du börjar
Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras vid behov, för åtkomst av hybriddatasäkerhets-VM:er och eventuella administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer har åtkomst till datalagret.
1 |
Ladda upp ISO-filen från din dator: |
2 |
Montera ISO-filen: |
Nästa steg
Om din IT-policy kräver det kan du valfritt avmontera ISO-filen efter att alla dina noder har registrerat konfigurationsändringarna. Se (Valfritt) Avmontera ISO efter HDS-konfiguration för mer information.
Konfigurera HDS-noden för proxy-integrering
Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.
Innan du börjar
-
Se Proxystöd för en översikt över de proxyalternativ som stöds.
1 |
Ange installations-URL:en för HDS-noden |
2 |
Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:
Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy. |
3 |
Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn. Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen. |
4 |
Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn. Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel, slutför dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge. |
5 |
När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla. |
6 |
Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo. Noden startas om inom några minuter. |
7 |
När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd. Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn. |
Registrera den första noden i klustret
När du registrerar din första nod skapar du ett kluster som noden tilldelas. Ett kluster innehåller en eller flera noder som är distribuerade för att tillhandahålla redundans.
Innan du börjar
-
När du väl har börjat registrera en nod måste du slutföra den inom 60 minuter, annars måste du börja om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp kortet Hybrid Data Security och klickar på Konfigurera. |
4 |
På sidan som öppnas klickar du på Lägg till en resurs. |
5 |
I det första fältet på kortet Lägg till en nod anger du ett namn för det kluster som du vill tilldela din Hybrid Data Security-nod. Vi rekommenderar att du namnger ett kluster baserat på var klustrets noder finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
6 |
I det andra fältet anger du den interna IP-adressen eller det fullständiga domännamnet (FQDN) för din nod och klickar på Lägg till längst ner på skärmen. Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera den virtuella hybriddatasäkerhetsdatorn. Ett meddelande visas som anger att du kan registrera din nod i Webex.
|
7 |
Klicka på Gå till nod. Efter en liten stund omdirigeras du till nodens anslutningstester för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till hybrid datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod. |
8 |
Markera kryssrutan Tillåt åtkomst till din hybriddatasäkerhetsnod och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet "Registrering klar" indikerar att din nod nu är registrerad i Webex-molnet.
|
9 |
Klicka på länken eller stäng fliken för att gå tillbaka till sidan Partner Hub Hybrid Data Security. På sidan Hybrid datasäkerhet visas det nya klustret som innehåller noden som du registrerade under fliken Resurser. Noden kommer automatiskt att ladda ner den senaste programvaran från molnet.
|
Skapa och registrera fler noder
Innan du börjar
-
När du väl har börjat registrera en nod måste du slutföra den inom 60 minuter, annars måste du börja om.
-
Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter ett undantag för admin.webex.com.
1 |
Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS Host OVA. |
2 |
Konfigurera den initiala konfigurationen på den nya virtuella datorn och upprepa stegen i Konfigurera den hybrida virtuella datorn för datasäkerhet. |
3 |
Upprepa stegen i Ladda upp och montera HDS-konfigurations-ISOpå den nya virtuella maskinen. |
4 |
Om du konfigurerar en proxy för din distribution, upprepa stegen i Konfigurera HDS-noden för proxyintegration efter behov för den nya noden. |
5 |
Registrera noden. |
Hantera hyresgästorganisationer med hybrid datasäkerhet för flera hyresgäster
Aktivera HDS för flera hyresgäster på Partner Hub
Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja utnyttja HDS för lokala krypteringsnycklar och andra säkerhetstjänster.
Innan du börjar
Se till att du har slutfört konfigureringen av ditt HDS-kluster med flera hyresgäster med det antal noder som krävs.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid datasäkerhet och klickar på Redigera inställningar. |
4 |
Klicka på Aktivera HDS på kortet HDS-status. |
Lägg till hyresgästorganisationer i Partner Hub
I den här uppgiften tilldelar du kundorganisationer till ditt hybriddatasäkerhetskluster.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid datasäkerhet och klickar på Visa alla. |
4 |
Klicka på det kluster som du vill att en kund ska tilldelas. |
5 |
Gå till fliken Tilldelade kunder. |
6 |
Klicka på Lägg till kunder. |
7 |
Välj den kund du vill lägga till från rullgardinsmenyn. |
8 |
Klicka på Lägg tillså läggs kunden till i klustret. |
9 |
Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster. |
10 |
Klicka på Klar längst ner på skärmen när du har lagt till kunderna. |
Nästa steg
Skapa kundhuvudnycklar (CMK) med hjälp av HDS-installationsverktyget
Innan du börjar
Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till hyresgästorganisationer i partnerhubben. Kör HDS-installationsverktyget för att slutföra installationsprocessen för de nyligen tillagda kundorganisationerna.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Installationsprocessen kräver inloggningsuppgifter för ett Partner Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-installationsverktyget körs bakom en proxy i din miljö, ange proxyinställningarna (server, port, autentiseringsuppgifter) via Docker-miljövariabler när du öppnar Docker-containern i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen varje gång du gör konfigurationsändringar, som dessa:
-
Databasuppgifter
-
Certifikatuppdateringar
-
Ändringar i auktoriseringspolicyn
-
-
Om du planerar att kryptera databasanslutningar, konfigurera din PostgreSQL- eller SQL Server-distribution för TLS.
Installationsprocessen för Hybrid Data Security skapar en ISO-fil. Sedan använder du ISO-filen för att konfigurera din Hybrid Data Security-värd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Installationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till localhost. Använd en webbläsare för att gå till localhost, Verktyget använder den första inmatningen av användarnamnet för att ställa in rätt miljö för det kontot. Verktyget visar sedan standardinloggningsfrågan. |
7 |
När du uppmanas anger du dina inloggningsuppgifter för Partner Hub-administratören och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid Data Security. |
8 |
På översiktssidan för installationsverktyget klickar du på Kom igång. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. Säkerställ anslutning till din databas för att utföra CMK-hantering. |
11 |
Gå till fliken Hantering av hyresgäst-CMK där du hittar följande tre sätt att hantera hyresgäst-CMK:er.
|
12 |
När CMK-skapandet har lyckats ändras statusen i tabellen från CMK-hantering väntar till CMK hanterad. |
13 |
Om skapandet av CMK misslyckas visas ett felmeddelande. |
Ta bort hyresgästorganisationer
Innan du börjar
När de väl tagits bort kommer användare av kundorganisationer inte att kunna utnyttja HDS för sina krypteringsbehov och kommer att förlora alla befintliga utrymmen. Innan du tar bort kundorganisationer, vänligen kontakta din Cisco-partner eller kontoansvariga.
1 |
Logga in på https://admin.webex.com. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster letar du upp Hybrid datasäkerhet och klickar på Visa alla. |
4 |
På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från. |
5 |
På sidan som öppnas klickar du på Tilldelade kunder. |
6 |
Från listan över kundorganisationer som visas klickar du på ... till höger om den kundorganisation du vill ta bort och klickar på Ta bort från kluster. |
Nästa steg
Slutför borttagningsprocessen genom att återkalla CMK:erna för kundorganisationerna enligt beskrivningen i Återkalla CMK:er för hyresgäster som tagits bort från HDS.
Återkalla CMK:er för hyresgäster som tagits bort från HDS.
Innan du börjar
Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort hyresgästorganisationer. Kör HDS-installationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som togs bort.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Installationsprocessen kräver inloggningsuppgifter för ett Partner Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-installationsverktyget körs bakom en proxy i din miljö, ange proxyinställningarna (server, port, autentiseringsuppgifter) via Docker-miljövariabler när du öppnar Docker-containern i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen varje gång du gör konfigurationsändringar, som dessa:
-
Databasuppgifter
-
Certifikatuppdateringar
-
Ändringar i auktoriseringspolicyn
-
-
Om du planerar att kryptera databasanslutningar, konfigurera din PostgreSQL- eller SQL Server-distribution för TLS.
Installationsprocessen för Hybrid Data Security skapar en ISO-fil. Sedan använder du ISO-filen för att konfigurera din Hybrid Data Security-värd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
6 |
Installationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till localhost. Använd en webbläsare för att gå till localhost, Verktyget använder den första inmatningen av användarnamnet för att ställa in rätt miljö för det kontot. Verktyget visar sedan standardinloggningsfrågan. |
7 |
När du uppmanas anger du dina inloggningsuppgifter för Partner Hub-administratören och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid Data Security. |
8 |
På översiktssidan för installationsverktyget klickar du på Kom igång. |
9 |
På sidan ISO-import klickar du på Ja. |
10 |
Välj din ISO-fil i webbläsaren och ladda upp den. |
11 |
Gå till fliken Hantering av hyresgäst-CMK där du hittar följande tre sätt att hantera hyresgäst-CMK:er.
|
12 |
När CMK-återkallandet har lyckats visas kundorganisationen inte längre i tabellen. |
13 |
Om CMK-återkallandet misslyckas visas ett felmeddelande. |
Testa din hybriddatasäkerhetsdistribution
Testa din hybrida datasäkerhetsdistribution
Innan du börjar
-
Konfigurera din distribution av hybrid datasäkerhet med flera innehavare.
-
Se till att du har åtkomst till sysloggen för att verifiera att nyckelförfrågningar skickas till din Multi-Tenant Hybrid Data Security-distribution.
1 |
Nycklar för ett givet utrymme anges av skaparen av utrymmet. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme. Om du inaktiverar Hybrid Data Security-distributionen är innehåll i utrymmen som användare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts. |
2 |
Skicka meddelanden till det nya utrymmet. |
3 |
Kontrollera syslog-utdata för att verifiera att nyckelförfrågningarna skickas till din Hybrid Data Security-distribution. Om en användare av en nyligen tillagd kundorganisation utför någon åtgärd visas organisationens organisations-ID i loggarna, och detta kan användas för att verifiera att organisationen använder Multi-Tenant HDS. Kontrollera värdet på |
Övervaka hybriddatasäkerhetshälsa
1 |
I Partnerhubbväljer du Tjänster från menyn till vänster på skärmen. |
2 |
I avsnittet Molntjänster letar du upp Hybrid datasäkerhet och klickar på Redigera inställningar. Sidan Inställningar för hybriddatasäkerhet visas.
|
3 |
I avsnittet E-postmeddelanden skriver du en eller flera e-postadresser separerade med kommatecken och trycker på Enter. |
Hantera din HDS-distribution
Hantera HDS-distribution
Använd uppgifterna som beskrivs här för att hantera din hybriddatasäkerhetsdistribution.
Ställ in schema för klusteruppgradering
Så här ställer du in uppgraderingsschemat:
1 |
Logga in på Partner Hub. |
2 |
Från menyn till vänster på skärmen väljer du Tjänster. |
3 |
I avsnittet Molntjänster, leta reda på Hybrid datasäkerhet och klicka på Konfigurera |
4 |
På sidan Hybrid datasäkerhetsresurser väljer du klustret. |
5 |
Klicka på fliken Klusterinställningar. |
6 |
På sidan Klusterinställningar, under Uppgraderingsschema, väljer du tid och tidszon för uppgraderingsschemat. Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och tid. Du kan skjuta upp uppgraderingen till följande dag om det behövs genom att klicka på Skjut upp med 24 timmar. |
Ändra nodkonfigurationen
-
Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.
Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.
-
Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.
-
Skapa en ny konfiguration för att förbereda ett nytt datacenter.
Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:
-
Mjuk återställning— Både det gamla och det nya lösenordet fungerar i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.
-
Hård återställning— De gamla lösenorden slutar fungera omedelbart.
Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.
Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.
Innan du börjar
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Installationsprocessen kräver inloggningsuppgifter för ett Partner Hub-konto med fullständiga administratörsrättigheter för partnern.
Om du inte har en Docker Desktop-licens kan du använda Podman Desktop för att köra HDS-installationsverktyget för steg 1.a till 1.e i proceduren nedan. Se Kör HDS-installationsverktyget med Podman Desktop för mer information.
Om HDS-installationsverktyget körs bakom en proxy i din miljö, ange proxyinställningarna (server, port, autentiseringsuppgifter) via Docker-miljövariabler när du öppnar Docker-containern i 1.e. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.
1 |
Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget. |
2 |
Om du bara har en HDS-nod som körskapar du en ny virtuell dator med Hybrid Data Security-noden och registrerar den med den nya ISO-konfigurationsfilen. För mer detaljerade instruktioner, se Skapa och registrera fler noder. |
3 |
Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod: |
4 |
Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen. |
Inaktivera blockerad extern DNS-Matchningstid
När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.
Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.
Innan du börjar
1 |
I en webbläsare öppnar du nodgränssnittet för Hybrid Data Security (IP) address/setup, till exempel, https://192.0.2.0/setup), ange administratörsuppgifterna som du konfigurerat för noden och klicka sedan på Logga in. |
2 |
Går du till Översikt (standard sidan). ![]() När den är aktive rad är blockerad extern DNS-matchning inställd på Ja. |
3 |
Går du till sidan betrodda certifikat \ proxy . |
4 |
Klicka på kontrol lera proxy-anslutning. Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej. |
Nästa steg
Ta bort en nod
1 |
Använd VMware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella maskinen. |
2 |
Ta bort noden: |
3 |
Ta bort den virtuella datorn i vSphere-klienten. (Högerklicka på den virtuella datorn i den vänstra navigeringsrutan och klicka på Ta bort.) Om du inte tar bort den virtuella datorn, kom ihåg att avmontera konfigurations-ISO-filen. Utan ISO-filen kan du inte använda den virtuella datorn för att komma åt dina säkerhetsdata. |
Katastrofåterställning med hjälp av Standby Data Center
Den viktigaste tjänsten som ditt hybriddatasäkerhetskluster tillhandahåller är skapandet och lagringen av nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som är tilldelad Hybrid Data Security dirigeras nya förfrågningar om att skapa nycklar till klustret. Klustret ansvarar också för att returnera de nycklar som det skapat till alla användare som är behöriga att hämta dem, till exempel medlemmar i ett konversationsutrymme.
Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopior upprätthålls. Förlust av Hybrid Data Security-databasen eller av den ISO-konfiguration som används för schemat kommer att resultera i en OUTERHÄMTNINGSBAR FÖRLUST av kundinnehåll. Följande rutiner är obligatoriska för att förhindra en sådan förlust:
Om en katastrof gör att HDS-distributionen i det primära datacentret blir otillgänglig, följ den här proceduren för att manuellt redundansväxla till reservdatacentret.
Innan du börjar
1 |
Starta HDS-installationsverktyget och följ stegen som anges i Skapa en konfigurations-ISO för HDS-värdarna. |
2 |
Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta. |
3 |
Gör en säkerhetskopia av ISO-filen på ditt lokala system. Förvara säkerhetskopian säkert. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid Data Security-administratörer som ska göra konfigurationsändringar. |
4 |
I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar. |
5 |
Klicka på Redigera inställningar >CD/DVD Enhet 1 och välj ISO-fil för datalagring. Se till att Ansluten och Anslut vid strömpåslag är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna startats. |
6 |
Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter. |
7 |
Registrera noden i Partner Hub. Se Registrera den första noden i klustret. |
8 |
Upprepa processen för varje nod i standby-datacentret. |
Nästa steg
(Valfritt) Avmontera ISO efter HDS-konfiguration
Standard-HDS-konfigurationen körs med ISO monterad. Men vissa kunder föredrar att inte lämna ISO-filer kontinuerligt monterade. Du kan avmontera ISO-filen efter att alla HDS-noder har hämtat den nya konfigurationen.
Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO-filen på alla dina HDS-noder. När alla dina noder har registrerat konfigurationsändringarna kan du avmontera ISO-filen igen med den här procedur.
Innan du börjar
Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.
1 |
Stäng av en av dina HDS-noder. |
2 |
I vCenter Server Appliance väljer du HDS-noden. |
3 |
Välj Datastore ISO-fil. och avmarkera |
4 |
Slå på HDS-noden och se till att det inte finns några larm på minst 20 minuter. |
5 |
Upprepa för varje HDS-nod i tur och ordning. |
Felsök hybrid datasäkerhet
Visa varningar och felsök
En hybrid datasäkerhetsdistribution anses vara otillgänglig om alla noder i klustret inte kan nås, eller om klustret fungerar så långsamt att tidsgränsen för begäranden uppnås. Om användare inte kan nå ditt Hybrid Data Security-kluster upplever de följande symptom:
-
Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)
-
Meddelanden och rumstitlar misslyckas med att dekryptera för:
-
Nya användare tillagda i ett utrymme (det gick inte att hämta nycklar)
-
Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)
-
-
Befintliga användare i ett utrymme kommer att fortsätta fungera korrekt så länge deras klienter har en cache med krypteringsnycklarna
Det är viktigt att du övervakar ditt hybriddatasäkerhetskluster ordentligt och åtgärdar eventuella aviseringar omedelbart för att undvika avbrott i tjänsten.
Aviseringar
Om det uppstår problem med konfigurationen av Hybrid Data Security visar Partner Hub aviseringar till organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.
Avisering |
Åtgärd |
---|---|
Åtkomstfel i lokal databas. |
Kontrollera om det finns databasfel eller problem med det lokala nätverket. |
Fel på anslutning till den lokala databasen. |
Kontrollera att databasservern är tillgänglig och att rätt autentiseringsuppgifter för tjänstkontot användes i nodkonfigurationen. |
Fel på åtkomst till molntjänsten. |
Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav för extern anslutning. |
Förnyar registreringen för molntjänst. |
Registreringen till molntjänster har tagits bort. Förnyelse av registreringen pågår. |
Registreringen av molntjänsten har avbrutits. |
Registreringen till molntjänster har avslutats. Tjänsten stängs ner. |
Tjänsten är ännu inte aktiverad. |
Aktivera HDS i Partner Hub. |
Den konfigurerade domänen matchar inte servercertifikatet. |
Se till att ditt servercertifikat matchar den konfigurerade domänen för tjänstaktivering. Den troligaste orsaken är att certifikatets CN nyligen ändrades och nu skiljer sig från det CN som användes under den första installationen. |
Misslyckades med att autentisera mot molntjänster. |
Kontrollera noggrannheten och eventuellt utgångsdatum för inloggningsuppgifter för servicekontot. |
Misslyckades med att öppna den lokala nyckellagringsfilen. |
Kontrollera integritet och lösenordsnoggrannhet på den lokala nyckellagringsfilen. |
Det lokala servercertifikatet är ogiltigt. |
Kontrollera servercertifikatets utgångsdatum och bekräfta att det utfärdades av en betrodd certifikatutfärdare. |
Det gick inte att publicera mätvärden. |
Kontrollera lokal nätverksåtkomst till externa molntjänster. |
/media/configdrive/hds katalogen finns inte. |
Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den är konfigurerad för att monteras vid omstart och att den monteras utan problem. |
Installationen av hyresgästorganisationen är inte slutförd för de tillagda organisationerna. |
Slutför installationen genom att skapa CMK:er för nyligen tillagda hyresgästorganisationer med hjälp av HDS Setup Tool. |
Installationen av hyresgästorganisationen är inte slutförd för de borttagna organisationerna. |
Slutför installationen genom att återkalla CMK:er för hyresgästorganisationer som togs bort med HDS-installationsverktyget. |
Felsök hybrid datasäkerhet
1 |
Granska Partner Hub för eventuella varningar och åtgärda eventuella fel du hittar där. Se bilden nedan som referens. |
2 |
Granska syslog-serverns utdata för aktivitet från Hybrid Data Security-distributionen. Filtrera efter ord som "Varning" och "Fel" för att underlätta felsökning. |
3 |
Kontakta Cisco-support. |
Andra anteckningar
Kända problem för hybrid datasäkerhet
-
Om du stänger av ditt Hybrid Data Security-kluster (genom att ta bort det i Partner Hub eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till nyckeldatabasen, kan Webex-appanvändare av kundorganisationer inte längre använda utrymmen under sin personlista som skapades med nycklar från ditt KMS. Vi har för närvarande ingen lösning eller åtgärd för det här problemet och uppmanar er att inte stänga av era HDS-tjänster när de väl hanterar aktiva användarkonton.
-
En klient som har en befintlig ECDH-anslutning till ett KMS upprätthåller den anslutningen under en tidsperiod (troligen en timme).
Kör HDS Setup-verktyget med Podman Desktop
Podman är ett gratis och öppen källkodsverktyg för containerhantering som ger ett sätt att köra, hantera och skapa containrar. Podman Desktop kan laddas ner från https://podman-desktop.io/downloads.
-
HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt den, ladda ner och kör Podman på den maskinen. Konfigurationsprocessen kräver autentiseringsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.
Om HDS-installationsverktyget körs bakom en proxy i din miljö, ange proxyinställningarna (server, port, autentiseringsuppgifter) via Docker-miljövariabler när du öppnar Docker-containern i steg 5. Den här tabellen ger några möjliga miljövariabler:
Beskrivning
Variabel
HTTP-proxyserver utan autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy utan autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxyserver med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxyserver med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen varje gång du gör konfigurationsändringar, som dessa:
-
Databasuppgifter
-
Certifikatuppdateringar
-
Ändringar i auktoriseringspolicyn
-
-
Om du planerar att kryptera databasanslutningar, konfigurera din PostgreSQL- eller SQL Server-distribution för TLS.
Installationsprocessen för Hybrid Data Security skapar en ISO-fil. Sedan använder du ISO-filen för att konfigurera din Hybrid Data Security-värd.
1 |
På din dators kommandorad anger du lämpligt kommando för din miljö: I vanliga miljöer: I FedRAMP-miljöer: Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera. |
2 |
För att logga in på Docker-bildregistret anger du följande: |
3 |
Vid lösenordsupp prompten anger du detta hash: |
4 |
Hämta den senaste stabil bild för din miljö: I vanliga miljöer: I FedRAMP-miljöer: |
5 |
När pull-in är slutförd anger du lämpligt kommando för din miljö:
När behållaren körs ser du "Expressserverlyssning på port 8080". |
Nästa steg
Flytta den befintliga HDS-distributionen med en enda klientorganisation i Control Hub till en HDS-konfiguration med flera klienter i Partner Hub
Konverteringen från en befintlig HDS-distribution med en enda klientorganisation i en partnerorganisation som hanteras i Control Hub till en HDS-distribution med flera klienter som hanteras i Partner Hub innebär främst att inaktivera HDS-tjänsten i Control Hub, avregistrera noder och ta bort klustret. Du kan sedan logga in på Partner Hub, registrera noderna, aktivera Multi-Tenant HDS och lägga till kunder i ditt kluster.
Termen "enskild hyresgäst" hänvisar helt enkelt till en befintlig HDS-distribution i Control Hub.
Inaktivera HDS, avregistrera noder och ta bort kluster i Control Hub
1 |
Logga in på kontrollhubben. I den vänstra rutan klickar du på Hybrid. På Hybrid Data Security-kortet klickar du på Redigera inställningar. |
2 |
På inställningssidan, skrolla ner till avsnittet Inaktivera och klicka på Inaktivera. |
3 |
Efter avaktivering klickar du på fliken Resurser. |
4 |
Sidan Resurser listar nedre kluster i din HDS-distribution. Klicka på ett kluster så öppnas en sida med alla noder under det klustret. |
5 |
Klicka på ... till höger och klicka på Avregistrera nod. Upprepa processen för alla noder i klustret. |
6 |
Om din distribution har flera kluster upprepar du steg 4 och steg 5 tills alla noder har avregistrerats. |
7 |
Klicka på Klusterinställningar > Ta bort. |
8 |
Klicka på Bekräfta borttagning för att avregistrera klustret. |
9 |
Upprepa processen för alla kluster i din HDS-distribution. Efter HDS-deaktivering, avregistrering av noder och borttagning av kluster visas Installationen har inte slutförts längst ner på Hybrid Data Service-kortet på Control Hub. |
Aktivera Multi-Tenant HDS för partnerorganisationen på Partner Hub och lägg till kunder
Innan du börjar
Alla förkunskapskrav som nämns i Krav för hybriddatasäkerhet för flera hyresgäster gäller här. Se dessutom till att samma databas och certifikat används under flyttningen till Multi-Tenant HDS.
1 |
Logga in på Partnerhubben. Klicka på Tjänster i den vänstra rutan. Använd samma ISO från din tidigare HDS-distribution för att konfigurera noderna. Detta säkerställer att meddelanden och innehåll som genererats av användarna i den tidigare befintliga HDS-distributionen fortfarande är tillgängliga i den nya Multi-Tenant-konfigurationen. |
2 |
I avsnittet Molntjänster letar du upp kortet Hybrid Data Security och klickar på Konfigurera. |
3 |
På sidan som öppnas klickar du på Lägg till en resurs. |
4 |
I det första fältet på kortet Lägg till en nod anger du ett namn för det kluster som du vill tilldela din Hybrid Data Security-nod. Vi rekommenderar att du namnger ett kluster baserat på var klustrets noder finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas" |
5 |
I det andra fältet anger du den interna IP-adressen eller det fullständiga domännamnet (FQDN) för din nod och klickar på Lägg till längst ner på skärmen. Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera den virtuella hybriddatasäkerhetsdatorn. Ett meddelande visas som anger att du kan registrera din nod i Webex.
|
6 |
Klicka på Gå till nod. Efter en liten stund omdirigeras du till nodens anslutningstester för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till hybrid datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod. |
7 |
Markera kryssrutan Tillåt åtkomst till din hybriddatasäkerhetsnod och klicka sedan på Fortsätt. Ditt konto har validerats och meddelandet "Registrering klar" indikerar att din nod nu är registrerad i Webex Cloud. På sidan Hybrid datasäkerhet visas det nya klustret som innehåller noden som du registrerade under fliken Resurser. Noden kommer automatiskt att ladda ner den senaste programvaran från molnet.
|
8 |
Gå till fliken Inställningar och klicka på Aktivera på HDS-statuskortet. MeddelandetAktiverad HDS visas längst ner på skärmen.
|
9 |
I Resurserklickar du på det nyskapade klustret. |
10 |
På sidan som öppnas klickar du på fliken Tilldelade kunder. |
11 |
Klicka på Lägg till kunder. |
12 |
Välj den kund du vill lägga till från rullgardinsmenyn. |
13 |
Klicka på Lägg tillså läggs kunden till i klustret. |
14 |
Upprepa steg 11 till 13 för att lägga till flera kunder i ditt kluster. |
15 |
Klicka på Klar längst ner på skärmen när du har lagt till kunderna. |
Nästa steg
Använd OpenSSL för att generera en PKCS12-fil
Innan du börjar
-
OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för laddning i HDS Setup Tool. Det finns andra sätt att göra detta, och vi varken stöder eller främjar det ena sättet framför det andra.
-
Om du väljer att använda OpenSSL tillhandahåller vi den här proceduren som en riktlinje för att hjälpa dig skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.
-
Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.
-
Skapa en privat nyckel.
-
Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).
1 |
När du får servercertifikatet från din CA, spara det som |
2 |
Visa certifikatet som text och verifiera uppgifterna.
|
3 |
Använd en textredigerare för att skapa en certifikatpaketfil med namnet
|
4 |
Skapa .p12-filen med det vänliga namnet
|
5 |
Kontrollera informationen om servercertifikatet. |
Nästa steg
Återgå till Slutför förutsättningarna för hybrid datasäkerhet. Du kommer att använda hdsnode.p12
-filen och lösenordet du har angett för den i Skapa en konfigurations-ISO för HDS-värdarna.
Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet löper ut.
Trafik mellan HDS-noderna och molnet
Utgående mätvärden Insamling av trafik
Hybriddatasäkerhetsnoderna skickar vissa mätvärden till Webex-molnet. Dessa inkluderar systemmått för max heap, heapanvändning, CPU-belastning och trådantal; mått på synkrona och asynkrona trådar; mått på aviseringar som involverar ett tröskelvärde för krypteringsanslutningar, latens eller en begärandekölängd; mått på datalagret; och mått på krypteringsanslutningar. Noderna skickar krypterat nyckelmaterial över en out-of-band (separat från begäran) kanal.
Inkommande trafik
Hybriddatasäkerhetsnoderna tar emot följande typer av inkommande trafik från Webex-molnet:
-
Krypteringsförfrågningar från klienter, som dirigeras av krypteringstjänsten
-
Uppgraderingar av nodprogramvaran
Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
WebSocket kan inte ansluta via squid proxy
Squid-proxyservrar som inspekterar HTTPS-trafik kan störa upprättandet av websocket-anslutningar (wss:
) som Hybrid Data Security kräver. Dessa avsnitt ger vägledning om hur man konfigurerar olika versioner av Squid för att ignorera wss:
-trafik för att tjänsterna ska fungera korrekt.
Squid 4 och 5
Lägg till direktivet on_unsupported_protocol
till squid.conf
:
on_unsupported_protocol tunnel all
Squid-3.5.27
Vi testade framgångsrikt hybrid datasäkerhet med följande regler tillagda till squid.conf
. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all