I den här artikeln
dropdown icon
Ny och ändrad information
    Ny och ändrad information
dropdown icon
Kom igång med hybrid datasäkerhet för flera hyresgäster
    dropdown icon
    Översikt över hybrid datasäkerhet för flera hyresgäster
      Hur hybrid datasäkerhet med flera hyresgäster ger datasuveränitet och datakontroll
      Begränsningar för hybriddatasäkerhet med flera hyresgäster
      Roller inom hybrid datasäkerhet med flera hyresgäster
    dropdown icon
    Arkitektur inom säkerhetsområdet
      Separationens rike (utan hybrid datasäkerhet)
    Samarbete med andra organisationer
    Förväntningar för implementering av hybrid datasäkerhet
    Övergripande installationsprocess
    dropdown icon
    Hybrid datasäkerhetsdistributionsmodell
      Hybrid datasäkerhetsdistributionsmodell
    dropdown icon
    Standby-datacenter för katastrofåterställning
      Manuell redundansväxling till standby-datacenter
    Proxysupport
dropdown icon
Förbered din miljö
    dropdown icon
    Krav för hybrid datasäkerhet med flera hyresgäster
      Cisco Webex-licenskrav
      Krav för Docker-skrivbordet
      Krav för X.509-certifikat
      Krav för virtuella värdar
      Krav för databasserver
      Krav för extern anslutning
      Proxy Server krav
    Slutför förutsättningarna för hybrid datasäkerhet
dropdown icon
Konfigurera ett hybrid-datasäkerhetskluster
    Uppgiftsflöde för distribution av hybriddatasäkerhet
    Utför den första installationen och ladda ner installationsfilerna
    Skapa en konfigurations-ISO för HDS-värdarna
    Installera HDS Host OVA
    Konfigurera den virtuella hybriddatasäkerhetsdatorn
    Ladda upp och montera HDS-konfigurations-ISO:n
    Konfigurera HDS-noden för proxy-integrering
    Registrera den första noden i klustret
    Skapa och registrera fler noder
dropdown icon
Hantera hyresgästorganisationer med hybrid datasäkerhet för flera hyresgäster
    Aktivera HDS för flera hyresgäster på partnerhubben
    Lägg till hyresgästorganisationer i Partner Hub
    Skapa kundhuvudnycklar (CMK) med hjälp av HDS-installationsverktyget
    Ta bort hyresgästorganisationer
    Återkalla CMK:er för hyresgäster som tagits bort från HDS.
dropdown icon
Testa din hybriddatasäkerhetsdistribution
    Testa din hybrida datasäkerhetsdistribution
    Övervaka hybriddatasäkerhetshälsa
dropdown icon
Hantera din HDS-distribution
    Hantera HDS-distribution
    Ställ in schema för klusteruppgradering
    Ändra nodkonfigurationen
    Inaktivera blockerad extern DNS-Matchningstid
    Ta bort en nod
    Katastrofåterställning med hjälp av Standby Data Center
    (Valfritt) Avmontera ISO efter HDS-konfiguration
dropdown icon
Felsök hybrid datasäkerhet
    Visa varningar och felsök
    dropdown icon
    Aviseringar
      Vanliga problem och stegen för att lösa dem
    Felsök hybrid datasäkerhet
dropdown icon
Andra anteckningar
    Kända problem för hybrid datasäkerhet
    Kör HDS Setup-verktyget med Podman Desktop
    dropdown icon
    Flytta den befintliga HDS-distributionen med en enda klientorganisation i Control Hub till en HDS-konfiguration med flera klienter i Partner Hub
      Inaktivera HDS, avregistrera noder och ta bort kluster i Control Hub
      Aktivera Multi-Tenant HDS för partnerorganisationen på Partner Hub och lägg till kunder
    Använd OpenSSL för att generera en PKCS12-fil
    Trafik mellan HDS-noderna och molnet
    dropdown icon
    Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
      WebSocket kan inte ansluta via squid proxy
dropdown icon
Inaktivera hybriddatasäkerhet för flera hyresgäster
    Flöde för inaktivering av HDS för flera hyresgäster
Den här artikeln gäller för:
22 maj 2025 | 5 visning(ar) | 0 personer tyckte att detta var till hjälp

Distributionsguide för hybrid datasäkerhet (HDS) med flera hyresgäster (Beta)

list-menuI den här artikeln
list-menuHar du feedback?

Ny och ändrad information

Ny och ändrad information

Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.

Datum

Ändringar har gjorts

13 december 2024

Första versionen.

Inaktivera Hybrid-datasäkerhet för flera klienter

Uppgiftsflöde för inaktivering av HDS för flera klienter

Följ dessa steg för att inaktivera HDS för flera klienter helt.

Innan du börjar

Den här uppgiften bör endast utföras av en fullständig partneradministratör.
1

Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer.

2

Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS..

3

Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod.

4

Ta bort alla dina kluster från partnerhubben med en av följande två metoder.

  • Klicka på det kluster som du vill ta bort och välj Ta bort detta kluster i det övre högra hörnet på översiktssidan.
  • På sidan Resurser klickar du på på höger sida av ett kluster och väljer Ta bort kluster.
5

Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet.

Kom igång med Hybrid-datasäkerhet för flera klienter

Översikt över datasäkerhet för flera klienter för hybrid

Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.

Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.

Partnerorganisationer har kontroll över distribution och hantering men de har inte tillgång till data och innehåll som genereras av kunder. Denna åtkomst är begränsad till kundorganisationer och deras användare.

Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.

Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll

  • Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
  • Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
  • Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
  • Stöder mötes-, meddelande- och samtalsinnehåll.

Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.

Roller i Hybrid-datasäkerhet för flera klienter

  • Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
  • Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
  • Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
  • Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
  • Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.

Säkerhetsarkitektur

Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

Separationsrealm (utan Hybrid-datasäkerhet)

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.

I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:

  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.

  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

  4. Det krypterade meddelandet lagras i lagringssfären.

När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.

Samarbeta med andra organisationer

Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.

Förväntningar på att distribuera Hybrid-datasäkerhet

En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.

För att distribuera Hybrid-datasäkerhet måste du ange:

Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

  • Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.

  • Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.

Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.

Installationsprocess på hög nivå

Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:

  • Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

    Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.

  • Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.

  • Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

Distributionsmodell för Hybrid-datasäkerhet

I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.

Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Distributionsmodell för Hybrid-datasäkerhet

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)

Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.

Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.

Standby-datacenter för katastrofåterställning

Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Före redundans har datacenter A aktiva HDS-noder och den primära PostgreSQL- eller Microsoft SQL Server-databasen, medan B har en kopia av ISO-filen med ytterligare konfigurationer, VM-datorer som är registrerade i organisationen och en databas för vänteläge. Efter redundans har datacenter B aktiva HDS-noder och den primära databasen, medan A har oregistrerade VM-datorer och en kopia av ISO-filen och databasen är i vänteläge.
Manuell redundans till datacenter för vänteläge

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.

De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.

Proxy-Support

Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.

Datanoderna för Hybrid har stöd för följande proxyinställningar:

  • Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.

  • Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.

  • Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).

  • Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:

      • HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.

      • HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt om du har valt HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

Exempel på data säkerhets noder och proxy för Hybrid

Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.

Förbered din miljö

Krav för datasäkerhet för flera klienter för hybrid

Cisco Webex-licenskrav

Så här distribuerar du Hybrid-datasäkerhet för flera klienter:

  • Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.

  • Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Skrivbordskrav för Docker

Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".

X.509-certifikatkrav

Certifikatkedjan måste uppfylla följande krav:

Tabell 1. X.509-certifikatkrav för Hybrid-datasäkerhetsdistribution

Krav

Detaljer

  • Signerat av en betrodd certifikatutfärdare (CA)

Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har ett gemensamt namn (CN)-domännamn som identifierar din datasäkerhetsdistribution för hybrid

  • Är inte ett jokertecken-certifikat

CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.företag.com.

CN får inte innehålla ett * (jokertecken).

CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet.

  • Signatur utan SHA1

KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS.

  • Formaterat som en lösenordsskyddad PKCS #12-fil

  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellanliggande certifikat att ladda upp.

Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

Krav för virtuell värd

De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

  • Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter

  • VMware ESXi 6.5 (eller senare) installeras och körs.

    Du måste uppgradera om du har en tidigare version av ESXi.

  • Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

Krav på databasserver

Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.

Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:

Tabell 2. Krav på databasserver efter typ av databas

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installerad och körs.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerad.

    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:

PostgreSQL

Microsoft SQL-server

Postgres JDBC-drivrutin 42.2.5

SQL Server JDBC-drivrutin 4.6

Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper).

Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

  • Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.

  • Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.

  • DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).

  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.

    HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.

Krav på extern anslutning

Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:

Program

Protokoll

Port

Riktning från appen

Destination

Datasäkerhetsnoder för hybrid

TCP

443

Utgående HTTPS och WSS

  • Webex-servrar:

    • *.wbx2.com

    • *.ciscospark.com

  • Alla värdar för Common Identity

  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster i Nätverkskrav för Webex-tjänster

Inställningsverktyg för HDS

TCP

443

Utgående HTTPS

  • *.wbx2.com

  • Alla värdar för Common Identity

  • hub.docker.com

Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.

URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:

Region

URL:er för Common Identity Host

Nord- och Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europeiska unionen

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Förenade Arabemiraten

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy Server krav

  • Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.

    • Transparent proxy – Cisco webb säkerhetsutrustning (WSA).

    • Explicit proxy – squid.

      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.

  • Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:

    • Ingen autentisering med HTTP eller HTTPS

    • Grundläggande autentisering med HTTP eller HTTPS

    • Digest-autentisering med endast HTTPS

  • För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.

  • Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.

  • Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till wbx2.com och ciscospark.com .

Uppfyll förutsättningarna för Hybrid-datasäkerhet

Använd den här checklistan för att säkerställa att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
1

Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen.

Kundorganisationer bör inte ha någon befintlig HDS-distribution.

2

Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och hämta en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i X.509-certifikatkrav.

3

Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd.

4

Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna.

  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.)

  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

    • värdnamnet eller IP-adressen (värd) och porten

    • namnet på databasen (dbname) för nyckellagring

    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

5

För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer.

6

Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514).

7

Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid.

Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet.

Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar.

8

Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning.

9

Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information.

För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning.

10

Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver.

Konfigurera ett datasäkerhetskluster för hybrid

Uppgiftsflöde för distribution av Hybrid-datasäkerhet

Innan du börjar

1

Utför initial konfiguration och hämta installationsfiler

Hämta OVA-filen till din lokala dator för senare användning.

2

Skapa en konfiguration-ISO för HDS-värdarna

Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid.

3

Installera HDS-värd-OVA

Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

4

Konfigurera VM för datasäkerhet för hybrid

Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

5

Ladda upp och montera ISO för HDS-konfiguration

Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget.

6

Konfigurera HDS-noden för proxy-integrering

Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs.

7

Registrera den första noden i klustret

Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

8

Skapa och registrera fler noder

Slutför klusterkonfigurationen.

9

Aktivera HDS för flera klienter i partnerhubben.

Aktivera HDS och hantera klientorganisationer i partnerhubben.

Utför initial konfiguration och hämta installationsfiler

I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.

1

Logga in på Partner Hub och klicka sedan på Tjänster.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera.

3

Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara .

Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på Inställningar > Hjälp > Hämta programvara för Hybrid-datasäkerhet.

OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
4

Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig.

Skapa en konfiguration-ISO för HDS-värdarna

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

Innan du börjar
1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import har du följande alternativ:

  • Nej – om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
  • Ja – om du redan har skapat HDS-noder väljer du din ISO-fil i bläddraren och överför den.
10

Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.

  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
  • Om certifikatet är OK klickar du på Fortsätt.
  • Om ditt certifikat har gått ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
11

Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager:

  1. Välj din databastyp (PostgreSQL eller Microsoft SQL Server).

    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

  2. (Endast Microsoft SQL Server ) Välj din autentiseringstyp:

    • Grundläggande autentisering: Du behöver ett lokalt SQL Server-kontonamn i fältet Användarnamn .

    • Windows-autentisering: Du behöver ett Windows-konto i formatet användarnamn@DOMÄN i fältet Användarnamn .

  3. Ange databasserveradressen i formatet : eller :.

    Exempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

  4. Ange databasnamnet.

  5. Ange Användarnamn och Lösenord för en användare med alla privilegier i databasen för nyckellagring.

12

Välj ett anslutningsläge för TLS-databasen:

Mode

Beskrivning

Föredra TLS (standardalternativ)

HDS-noder kräver inte att TLS ansluter till databasservern. Om du aktiverar TLS på databasservern försöker noderna med en krypterad anslutning.

Kräver TLS

HDS-noder ansluter endast om databasservern kan förhandla om TLS.

Kräv TLS och verifiera certifikat signering

Det här läget är inte tillämpligt för SQL Server-databaser.

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

Kräv TLS och verifiera certifikat signering och värdnamn

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databasvärd och -port . Namnen måste matcha exakt, eller så tappar noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.)

13

Konfigurera din Syslogd-server på sidan Systemloggar:

  1. Ange URL för syslog-servern.

    Om servern inte är DNS-lösbar från noderna till ditt HDS-kluster ska du använda en IP-adress i URL:en.

    Exempel:
    udp://10.92.43.23:514 indikerar loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.

  2. Om du konfigurerar servern för TLS-kryptering markerar du Är din syslog-server konfigurerad för SSL-kryptering?.

    Om du markerar den här kryssrutan ska du ange en TCP-URL som tcp://10.92.43.23:514.

  3. Från rullgardinsmenyn Välj avslutning av syslog-post väljer du lämplig inställning för din ISO-fil: Välj eller använd ny linje för Graylog och Rsyslog TCP

    • Null byte -- 00

    • Nyrad -- \n – Välj det här alternativet för Graylog och Rsyslog TCP.

  4. Klicka på Fortsätt.

14

(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra:

app_datasource_connection_pool_maxStorlek: 10
15

Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton .

Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer.

16

Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

17

Gör en säkerhetskopia av ISO-filen på ditt lokala system.

Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

18

Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

Nästa steg

Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.

Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.

Installera HDS-värd-OVA

Använd denna procedur för att skapa en virtuell dator från OVA-filen.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden.

2

Välj Arkiv > Distribuera OVF-mall.

3

I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa.

4

På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa.

5

På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa.

En valideringskontroll körs. När den är klar visas mallinformationen.

6

Verifiera mallinformationen och klicka sedan på Nästa.

7

Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa.

8

På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn.

9

På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn.

10

Konfigurera följande nätverksinställningar på sidan Anpassa mall :

  • Värdnamn – ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

    • Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

    • För att säkerställa en lyckad registrering i molnet ska du endast använda gemener i det FQDN eller värdnamn som du har angett för noden. Det finns för närvarande inget stöd för versalisering.

    • Den totala längden på FQDN får inte överskrida 64 tecken.

  • IP-adress – ange IP-adressen för nodens interna gränssnitt.

    Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

  • Mask – Ange nätmaskens adress med decimalnotation. Till exempel 255.255.255.0.
  • Gateway – ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
  • DNS-servrar – Ange en kommaseparerad lista över DNS-servrar som hanterar översättning av domännamn till numeriska IP-adresser. (Upp till fyra DNS-poster tillåts.)
  • NTP-servrar – ange organisationens NTP-server eller en annan extern NTP-server som kan användas i organisationen. Standard-NTP-servrarna kanske inte fungerar för alla företag. Du kan även använda en kommaavgränsad lista för att ange flera NTP-servrar.

  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

11

Högerklicka på nodens VM och välj sedan Ström > Slå på.

Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

Felsökningstips

Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in.

Konfigurera VM för datasäkerhet för hybrid

Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

1

I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol .

VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
2

Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

  1. Inloggning: Administratör

  2. Lösenord: cisco

Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

3

Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn.

4

Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

5

(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy.

Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

6

Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla.

Ladda upp och montera ISO för HDS-konfiguration

Använd denna procedur för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

Innan du börjar

Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.

1

Ladda upp ISO-filen från datorn:

  1. Klicka på ESXi-servern i VMware vSphere-klientens vänstra navigeringspanel.

  2. På fliken Konfiguration klickar du på Lagring.

  3. Högerklicka på datalagret för dina VM-datorer i listan Datalager och klicka på Bläddra i datalager.

  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

  5. Bläddra till den plats där du hämtade ISO-filen på datorn och klicka på Öppna.

  6. Klicka på Ja för att godkänna varningen om uppladdning/hämtning och stäng dialogrutan för datalagring.

2

Montera ISO-filen:

  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  2. Klicka på OK för att godkänna varningen om begränsade redigeringsalternativ.

  3. Klicka på CD/DVD-enhet 1, välj alternativet att montera från en ISO-fil för datalager och bläddra till den plats där du överförde ISO-konfigurationsfilen.

  4. Markera Ansluten och Anslut vid påslagen.

  5. Spara ändringarna och starta om den virtuella datorn.

Nästa steg

Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.

Konfigurera HDS-noden för proxy-integrering

Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.

Innan du börjar

1

Skriv in URL: en för HDS-nodens konfiguration , https://[HDS nod IP eller FQDN]/Setup i en webbläsare, ange administratörs uppgifterna som du har angett för noden och klicka sedan på Logga in.

2

Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
  • Transparent proxy utan inspektion – noder är inte konfigurerade att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
  • Transparent inspekterande proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga ändringar av HTTPS-konfigurationen behövs för hybridens säkerhets distribution, men HDS-noderna behöver en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
  • Explicit proxy – Med explicit proxy talar du om för klienten (HDS-noder) vilken proxyserver som ska användas, och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxy Protocol – Välj http (visar och styr alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver har stöd för.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt för HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy.

3

Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn.

Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

4

Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn.

Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge.

5

När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

6

Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo.

Noden startas om inom några minuter.

7

När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

Registrera den första noden i klustret

Den här uppgiften tar den allmänna nod som du har skapat i Konfigurera VM för datasäkerhet för hybrid, registrerar noden i Webex-molnet och omvandlar den till en datasäkerhetsnod för hybrid.

När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera.

4

Klicka på Lägg till en resurs på sidan som öppnas.

5

I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till.

Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

6

I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen.

Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet.

Ett meddelande visas som anger att du kan registrera din nod till Webex.
7

Klicka på Gå till nod.

Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.

8

Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
9

Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.

Skapa och registrera fler noder

Om du vill lägga till ytterligare noder i ditt kluster skapar du bara ytterligare VM-datorer och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA.

2

Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet.

3

Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn.

4

Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

5

Registrera noden.

  1. I https://admin.webex.com väljer du Tjänster från menyn till vänster på skärmen.

  2. I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Visa alla.

    Sidan Hybrid-datasäkerhetsresurser visas.

  3. Det nyskapade klustret visas på sidan Resurser .

  4. Klicka på klustret för att visa de noder som tilldelats klustret.

  5. Klicka på Lägg till en nod till höger på skärmen.

  6. Ange din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klicka på Lägg till.

    En sida öppnas med ett meddelande som anger att du kan registrera din nod i Webex-molnet. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge organisationen behörighet att komma åt din nod.

  7. Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.

  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

    Popup-meddelandet Nod tillagd visas också längst ned på skärmen i partnerhubben.

    Din nod är registrerad.

Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid

Aktivera HDS för flera klienter i partnerhubben

Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.

Innan du börjar

Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

4

Klicka på Aktivera HDS på kortet HDS-status .

Lägg till klientorganisationer i Partner Hub

I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

Klicka på klustret som du vill att en kund ska tilldelas till.

5

Gå till fliken Tilldelade kunder .

6

Klicka på Lägg till kunder.

7

Välj kunden som du vill lägga till från rullgardinsmenyn.

8

Klicka på Lägg till, kunden kommer att läggas till i klustret.

9

Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster.

10

Klicka på Klar längst ner på skärmen när du har lagt till kunderna.

Nästa steg

Kör HDS-konfigurationsverktyget enligt beskrivningen i Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen.

Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget

Innan du börjar

Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

Se till att du är ansluten till databasen för att utföra CMK-hantering.
11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Skapa CMK för alla organisationer eller Skapa CMK – klicka på den här knappen på banderollen högst upp på skärmen för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Skapa CMK:er för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på nära CMK-hanteringens väntande status för en viss organisation i tabellen och klicka på Skapa CMK för att skapa CMK för den organisationen.
12

När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad.

13

Om CMK inte kan skapas visas ett fel.

Ta bort klientorganisationer

Innan du börjar

När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från.

5

Klicka på Tilldelade kunder på sidan som öppnas.

6

I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster.

Nästa steg

Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.

Återkalla CMK:er för klienter som tagits bort från HDS.

Innan du börjar

Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Återkalla CMK för alla ORGANISATIONER eller Återkalla CMK – klicka på den här knappen på banderollen högst upp på skärmen för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Återkalla CMK:er för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på nära statusen CMK som ska återkallas för en specifik organisation i tabellen och klicka på Återkalla CMK för att återkalla CMK för den specifika organisationen.
12

När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen.

13

Om CMK-återkallelsen misslyckas visas ett fel.

Testa din datasäkerhetsdistribution för hybrid

Testa din datasäkerhetsdistribution för hybrid

Använd denna procedur för att testa Hybrid-datasäkerhetskrypteringsscenarier för flera klienter.

Innan du börjar

  • Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.

  • Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.

1

Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme.

Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

2

Skicka meddelanden till det nya utrymmet.

3

Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet.

  1. För att kontrollera om en användare först har etablerat en säker kanal till KMS, filtrera på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bör hitta en post som följande (identifierare förkortas för läsbarhet):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriVärd=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=NYCKEL:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=hämta, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriVärd=ciscospark.com, kms.data.type=NYCKEL, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=skapa, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. För att söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller annan skyddad resurs skapas, filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

    Du ska nu hitta en post som till exempel följande: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_SAMLING, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Övervaka datasäkerhet för hybrid

En statusindikator i partnerhubben visar om allt är bra med Multi-Tenant-distributionen av Hybrid-datasäkerhet. Registrera dig för e-postaviseringar om du vill ha mer proaktiv avisering. Du meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
1

I Partner Hub väljer du Tjänster i menyn till vänster på skärmen.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

Sidan Inställningar för Hybrid-datasäkerhet visas.
3

I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

Hantera din HDS-distribution

Hantera HDS-distribution

Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.

Ställ in schema för klusteruppgradering

Programvaruuppgraderingar för Hybrid-datasäkerhet görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt klustrets uppgraderingsschema. När en programvaruuppgradering blir tillgänglig har du möjlighet att uppgradera klustret manuellt före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat 3:00 AM Daily USA: Amerika/Los Angeles. Du kan även välja att skjuta upp en kommande uppgradering om det behövs.

Så här ställer du in uppgraderingsschemat:

1

Logga in på Partner Hub.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera

4

Välj klustret på sidan Hybrid-datasäkerhetsresurser.

5

Klicka på fliken Klusterinställningar .

6

Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar.

Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar.

Ändra nodkonfigurationen

Ibland kan du behöva ändra konfigurationen av din Hybrid-datasäkerhetsnod av exempelvis:

  • Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.

    Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

  • Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.

  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:

  • Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.

  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.

Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

Innan du börjar

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.

1

Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

  1. På din dators kommandorad anger du lämpligt kommando för din miljö:

    I vanliga miljöer:

    docker rmi ciscocitg/hds-inställning: stable

    I FedRAMP-miljöer:

    docker rmi ciscocitg/hds-setup-fedramp: stable

    Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

  2. För att logga in på Docker-bildregistret anger du följande:

    docker inloggning -u hdscustomersro

  3. Vid lösenordsupp prompten anger du detta hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Hämta den senaste stabil bild för din miljö:

    I vanliga miljöer:

    docker pull ciscocitg/hds-inställning: stable

    I FedRAMP-miljöer:

    docker pull ciscocitg/hds-setup-fedramp: stable

    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

  5. När pull-in är slutförd anger du lämpligt kommando för din miljö:

    • I vanliga miljöer utan proxy:

      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljöer utan proxy:

      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    När behållaren körs ser du "Expressserverlyssning på port 8080".

  6. Använd en webbläsare för att ansluta till den lokalavärden, http://127.0.0.1:8080.

    Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

  7. Ange inloggningsuppgifterna för din partner Hub-kund när du uppmanas till det och klicka sedan på Godkänn för att fortsätta.

  8. Importera den aktuella ISO-konfigurationsfilen.

  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

    Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

2

Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen ISO. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

  1. Installera HDS-värden OVA.

  2. Konfigurera virtuell dator för HDS.

  3. Montera den uppdaterade konfigurationsfilen.

  4. Registrera den nya noden i partnerhubben.

3

Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod:

  1. Stäng av den virtuella datorn.

  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  3. Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

  4. Markera Anslut vid start.

  5. Spara ändringarna och slå på den virtuella datorn.

4

Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

Inaktivera blockerad extern DNS-Matchningstid

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.

Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.

Innan du börjar

Se till att dina interna DNS-servrar kan matcha allmänna DNS-namn och att noderna kan kommunicera med dem.
1

Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in.

2

Går du till Översikt (standard sidan).

När den är aktive rad är blockerad extern DNS-matchning inställd på Ja.

3

Går du till sidan betrodda certifikat \ proxy .

4

Klicka på kontrol lera proxy-anslutning.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej.

Nästa steg

Upprepa test av anslutnings proxy på alla noder i ditt data säkerhets kluster för Hybrid.

Ta bort en nod

Använd denna procedur för att ta bort en datasäkerhetsnod för hybrid från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

2

Ta bort noden:

  1. Logga in på partnerhubben och välj sedan Tjänster.

  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Datasäkerhetsresurser för hybrid.

  3. Välj ditt kluster för att visa dess översiktspanel.

  4. Klicka på noden som du vill ta bort.

  5. Klicka på Avregistrera den här noden i panelen som visas till höger

  6. Du kan också avregistrera noden genom att klicka på på nodens högra sida och välja Ta bort den här noden.

3

Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.)

Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata.

Katastrofåterställning med Standby-datacenter

Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.

Innan du börjar

Avregistrera alla noder från partnerhubben enligt beskrivningen i Ta bort en nod. Använd den senaste ISO-filen som konfigurerades mot noderna i det kluster som tidigare var aktiva för att utföra den redundans som nämns nedan.
1

Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

2

Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

3

Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

4

I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

5

Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager.

Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats.

6

Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter.

7

Registrera noden i partnerhubben. Se Registrera den första noden i klustret.

8

Upprepa processen för varje nod i datacentret för vänteläge.

Nästa steg

Efter redundans och om det primära datacentret blir aktivt igen, avregistrera du noderna för datacentret i vänteläge och upprepa processen för att konfigurera ISO och registrera noder för det primära datacentret enligt ovan.

(Valfritt) Avmontera ISO efter HDS-konfiguration

Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.

Innan du börjar

Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

1

Stäng av en av dina HDS-noder.

2

Välj HDS-noden i vCenter-serverenheten.

3

Välj Redigera inställningar > CD/DVD-enhet och avmarkera ISO-fil för datalager.

4

Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter.

5

Upprepa för varje HDS-nod i tur och ordning.

Felsök Hybrid-datasäkerhet

Visa aviseringar och felsökning

En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:

  • Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)

  • Meddelanden och utrymmetitlar kan inte avkrypteras för:

    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

    • Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)

  • Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna

Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.

Aviseringar

Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.

Tabell 1. Vanliga problem och steg för att lösa dem

Avisering

Åtgärd

Åtkomstfel i lokal databas.

Kontrollera om det finns databasfel eller problem med det lokala nätverket.

Anslutning till lokal databas misslyckades.

Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen.

Åtkomstfel för molntjänst.

Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning.

Förnyar registrering av molntjänster.

Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår.

Registreringen av molntjänsten har avbrutits.

Registrering till molntjänster har avslutats. Tjänsten stängs av.

Tjänsten är ännu inte aktiverad.

Aktivera HDS i partnerhubben.

Den konfigurerade domänen matchar inte servercertifikatet.

Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen.

Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen.

Det gick inte att autentisera till molntjänster.

Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla.

Det gick inte att öppna den lokala keystore-filen.

Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen.

Det lokala servercertifikatet är ogiltigt.

Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare.

Det gick inte att publicera mätvärden.

Kontrollera lokala nätverksåtkomst till externa molntjänster.

/media/configdrive/hds-katalogen finns inte.

Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras.

Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna

Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget.

Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna

Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget.

Felsök Hybrid-datasäkerhet

Använd följande allmänna riktlinjer vid felsökning av problem med Hybrid-datasäkerhet.
1

Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens.

2

Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning.

3

Kontakta Ciscos support.

Övriga anteckningar

Kända problem med Hybrid-datasäkerhet

  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.

  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).

Använd OpenSSL för att generera en PKCS12-fil

Innan du börjar

  • OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.

  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.

  • Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.

  • Skapa en privat nyckel.

  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

1

När du får servercertifikatet från din CA sparar du det som hdsnode.pem.

2

Visa certifikatet som text och verifiera informationen.

openssl x509 -text -noout -in hdsnode.pem

3

Använd en textredigerare för att skapa en fil med certifikatpaket som heter hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, eventuella mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

-----BEGIN CERTIFICATE------ ### Servercertifikat. ### -----END CERTIFICATE--------------  ### Mellanliggande CA-certifikat. ### -----END CERTIFICATE-----------  ### Rot-CA-certifikat. ### -----END CERTIFICATE------

4

Skapa .p12-filen med det vänliga namnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollera informationen om servercertifikatet.

  1. openssl pkcs12 -i hdsnode.p12

  2. Ange ett lösenord när du uppmanas att kryptera den privata nyckeln så att den listas i utmatningen. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

    Exempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Ange importlösenord: MAC-verifierade attribut för OK-väska vänligNamn: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nyckelattribut:  Ange lösenfras för PEM-pass: Verifierar – ange lösenordsfras för PEM: -----BÖRJA KRYPTERAD PRIVAT NYCKEL-----  -----END KRYPTERAD PRIVAT NYCKEL----- Bag-attribut vänligName: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE-----

Nästa steg

Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12 och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.

Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.

Trafik mellan HDS-noderna och molnet

Insamlingstrafik för utgående mätvärden

Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

Inkommande trafik

Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:

  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

  • Uppgraderingar av nodprogramvaran

Konfigurera squid-proxyservrar för Hybrid-datasäkerhet

WebSocket kan inte ansluta via squid proxy

Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS: trafik för att tjänsterna ska fungera korrekt.

Squid 4 och 5

Lägg till on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alla

Squid-3.5.27

Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla

Ny och ändrad information

Ny och ändrad information

Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.

Datum

Ändringar har gjorts

08 januari 2025

Lade till en anteckning i Utför inledande konfiguration och hämta installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i partnerhubben.

07 januari 2025

Uppdaterade krav för virtuell värd, uppgiftsflöde för distribution av hybrid-datasäkerhet och installera HDS Host OVA för att visa nya krav för ESXi 7.0.

13 december 2024

Först publicerad.

Inaktivera Hybrid-datasäkerhet för flera klienter

Uppgiftsflöde för inaktivering av HDS för flera klienter

Följ dessa steg för att inaktivera HDS för flera klienter helt.

Innan du börjar

Den här uppgiften bör endast utföras av en fullständig partneradministratör.
1

Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer.

2

Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS..

3

Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod.

4

Ta bort alla dina kluster från partnerhubben med en av följande två metoder.

  • Klicka på det kluster som du vill ta bort och välj Ta bort detta kluster i det övre högra hörnet på översiktssidan.
  • På sidan Resurser klickar du på på höger sida av ett kluster och väljer Ta bort kluster.
5

Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet.

Kom igång med Hybrid-datasäkerhet för flera klienter

Översikt över datasäkerhet för flera klienter för hybrid

Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Kärnan i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.

Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.

Partnerorganisationer har kontroll över distribution och hantering men de har inte tillgång till data och innehåll som genereras av kunder. Denna åtkomst är begränsad till kundorganisationer och deras användare.

Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.

Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll

  • Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
  • Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
  • Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
  • Stöder mötes-, meddelande- och samtalsinnehåll.

Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.

Roller i Hybrid-datasäkerhet för flera klienter

  • Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
  • Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
  • Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
  • Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
  • Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.

Säkerhetsarkitektur

Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

Separationsrealm (utan Hybrid-datasäkerhet)

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.

I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:

  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.

  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

  4. Det krypterade meddelandet lagras i lagringssfären.

När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.

Samarbeta med andra organisationer

Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.

Förväntningar på att distribuera Hybrid-datasäkerhet

En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.

För att distribuera Hybrid-datasäkerhet måste du ange:

Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

  • Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.

  • Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.

Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.

Installationsprocess på hög nivå

Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:

  • Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

    Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.

  • Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.

  • Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

Distributionsmodell för Hybrid-datasäkerhet

I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.

Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Distributionsmodell för Hybrid-datasäkerhet

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)

Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.

Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.

Standby-datacenter för katastrofåterställning

Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Före redundans har datacenter A aktiva HDS-noder och den primära PostgreSQL- eller Microsoft SQL Server-databasen, medan B har en kopia av ISO-filen med ytterligare konfigurationer, VM-datorer som är registrerade i organisationen och en databas för vänteläge. Efter redundans har datacenter B aktiva HDS-noder och den primära databasen, medan A har oregistrerade VM-datorer och en kopia av ISO-filen och databasen är i vänteläge.
Manuell redundans till datacenter för vänteläge

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.

De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.

Proxy-Support

Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.

Datanoderna för Hybrid har stöd för följande proxyinställningar:

  • Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.

  • Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.

  • Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).

  • Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:

      • HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.

      • HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt om du har valt HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

Exempel på data säkerhets noder och proxy för Hybrid

Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.

Förbered din miljö

Krav för datasäkerhet för flera klienter för hybrid

Cisco Webex-licenskrav

Så här distribuerar du Hybrid-datasäkerhet för flera klienter:

  • Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.

  • Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Skrivbordskrav för Docker

Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".

X.509-certifikatkrav

Certifikatkedjan måste uppfylla följande krav:

Tabell 1. X.509-certifikatkrav för Hybrid-datasäkerhetsdistribution

Krav

Detaljer

  • Signerat av en betrodd certifikatutfärdare (CA)

Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har ett gemensamt namn (CN)-domännamn som identifierar din datasäkerhetsdistribution för hybrid

  • Är inte ett jokertecken-certifikat

CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.företag.com.

CN får inte innehålla ett * (jokertecken).

CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet.

  • Signatur utan SHA1

KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS.

  • Formaterat som en lösenordsskyddad PKCS #12-fil

  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellanliggande certifikat att ladda upp.

Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

Krav för virtuell värd

De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

  • Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter

  • VMware ESXi 7.0 (eller senare) installerad och körs.

    Du måste uppgradera om du har en tidigare version av ESXi.

  • Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

Krav på databasserver

Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.

Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:

Tabell 2. Krav på databasserver efter typ av databas

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installerad och körs.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerad.

    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:

PostgreSQL

Microsoft SQL-server

Postgres JDBC-drivrutin 42.2.5

SQL Server JDBC-drivrutin 4.6

Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper).

Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

  • Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.

  • Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.

  • DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).

  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.

    HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.

Krav på extern anslutning

Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:

Program

Protokoll

Port

Riktning från appen

Destination

Datasäkerhetsnoder för hybrid

TCP

443

Utgående HTTPS och WSS

  • Webex-servrar:

    • *.wbx2.com

    • *.ciscospark.com

  • Alla värdar för Common Identity

  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster i Nätverkskrav för Webex-tjänster

Inställningsverktyg för HDS

TCP

443

Utgående HTTPS

  • *.wbx2.com

  • Alla värdar för Common Identity

  • hub.docker.com

Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.

URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:

Region

URL:er för Common Identity Host

Nord- och Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europeiska unionen

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Förenade Arabemiraten

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy Server krav

  • Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.

    • Transparent proxy – Cisco webb säkerhetsutrustning (WSA).

    • Explicit proxy – squid.

      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.

  • Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:

    • Ingen autentisering med HTTP eller HTTPS

    • Grundläggande autentisering med HTTP eller HTTPS

    • Digest-autentisering med endast HTTPS

  • För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.

  • Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.

  • Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till wbx2.com och ciscospark.com .

Uppfyll förutsättningarna för Hybrid-datasäkerhet

Använd den här checklistan för att säkerställa att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
1

Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen.

Kundorganisationer bör inte ha någon befintlig HDS-distribution.

2

Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och hämta en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i X.509-certifikatkrav.

3

Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd.

4

Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna.

  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.)

  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

    • värdnamnet eller IP-adressen (värd) och porten

    • namnet på databasen (dbname) för nyckellagring

    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

5

För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer.

6

Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514).

7

Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid.

Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet.

Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar.

8

Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning.

9

Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information.

För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning.

10

Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver.

Konfigurera ett datasäkerhetskluster för hybrid

Uppgiftsflöde för distribution av Hybrid-datasäkerhet

Innan du börjar

1

Utför initial konfiguration och hämta installationsfiler

Hämta OVA-filen till din lokala dator för senare användning.

2

Skapa en konfiguration-ISO för HDS-värdarna

Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid.

3

Installera HDS-värd-OVA

Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

4

Konfigurera VM för datasäkerhet för hybrid

Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

5

Ladda upp och montera ISO för HDS-konfiguration

Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget.

6

Konfigurera HDS-noden för proxy-integrering

Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs.

7

Registrera den första noden i klustret

Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

8

Skapa och registrera fler noder

Slutför klusterkonfigurationen.

9

Aktivera HDS för flera klienter i partnerhubben.

Aktivera HDS och hantera klientorganisationer i partnerhubben.

Utför initial konfiguration och hämta installationsfiler

I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.

1

Logga in på Partner Hub och klicka sedan på Tjänster.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera.

Att klicka på Konfigurera i partnerhubben är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra det här steget.

3

Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara .

Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på Inställningar > Hjälp > Hämta programvara för Hybrid-datasäkerhet.

OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
4

Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig.

Skapa en konfiguration-ISO för HDS-värdarna

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

Innan du börjar
1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import har du följande alternativ:

  • Nej – om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
  • Ja – om du redan har skapat HDS-noder väljer du din ISO-fil i bläddraren och överför den.
10

Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.

  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
  • Om certifikatet är OK klickar du på Fortsätt.
  • Om ditt certifikat har gått ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
11

Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager:

  1. Välj din databastyp (PostgreSQL eller Microsoft SQL Server).

    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

  2. (Endast Microsoft SQL Server ) Välj din autentiseringstyp:

    • Grundläggande autentisering: Du behöver ett lokalt SQL Server-kontonamn i fältet Användarnamn .

    • Windows-autentisering: Du behöver ett Windows-konto i formatet användarnamn@DOMÄN i fältet Användarnamn .

  3. Ange databasserveradressen i formatet : eller :.

    Exempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

  4. Ange databasnamnet.

  5. Ange Användarnamn och Lösenord för en användare med alla privilegier i databasen för nyckellagring.

12

Välj ett anslutningsläge för TLS-databasen:

Mode

Beskrivning

Föredra TLS (standardalternativ)

HDS-noder kräver inte att TLS ansluter till databasservern. Om du aktiverar TLS på databasservern försöker noderna med en krypterad anslutning.

Kräver TLS

HDS-noder ansluter endast om databasservern kan förhandla om TLS.

Kräv TLS och verifiera certifikat signering

Det här läget är inte tillämpligt för SQL Server-databaser.

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

Kräv TLS och verifiera certifikat signering och värdnamn

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databasvärd och -port . Namnen måste matcha exakt, eller så tappar noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.)

13

Konfigurera din Syslogd-server på sidan Systemloggar:

  1. Ange URL för syslog-servern.

    Om servern inte är DNS-lösbar från noderna till ditt HDS-kluster ska du använda en IP-adress i URL:en.

    Exempel:
    udp://10.92.43.23:514 indikerar loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.

  2. Om du konfigurerar servern för TLS-kryptering markerar du Är din syslog-server konfigurerad för SSL-kryptering?.

    Om du markerar den här kryssrutan ska du ange en TCP-URL som tcp://10.92.43.23:514.

  3. Från rullgardinsmenyn Välj avslutning av syslog-post väljer du lämplig inställning för din ISO-fil: Välj eller använd ny linje för Graylog och Rsyslog TCP

    • Null byte -- 00

    • Nyrad -- \n – Välj det här alternativet för Graylog och Rsyslog TCP.

  4. Klicka på Fortsätt.

14

(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra:

app_datasource_connection_pool_maxStorlek: 10
15

Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton .

Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer.

16

Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

17

Gör en säkerhetskopia av ISO-filen på ditt lokala system.

Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

18

Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

Nästa steg

Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.

Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.

Installera HDS-värd-OVA

Använd denna procedur för att skapa en virtuell dator från OVA-filen.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden.

2

Välj Arkiv > Distribuera OVF-mall.

3

I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa.

4

På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa.

5

På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa.

En valideringskontroll körs. När den är klar visas mallinformationen.

6

Verifiera mallinformationen och klicka sedan på Nästa.

7

Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa.

8

På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn.

9

På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn.

10

Konfigurera följande nätverksinställningar på sidan Anpassa mall :

  • Värdnamn – ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

    • Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

    • För att säkerställa en lyckad registrering i molnet ska du endast använda gemener i det FQDN eller värdnamn som du har angett för noden. Det finns för närvarande inget stöd för versalisering.

    • Den totala längden på FQDN får inte överskrida 64 tecken.

  • IP-adress – ange IP-adressen för nodens interna gränssnitt.

    Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

  • Mask – Ange nätmaskens adress med decimalnotation. Till exempel 255.255.255.0.
  • Gateway – ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
  • DNS-servrar – Ange en kommaseparerad lista över DNS-servrar som hanterar översättning av domännamn till numeriska IP-adresser. (Upp till fyra DNS-poster tillåts.)
  • NTP-servrar – ange organisationens NTP-server eller en annan extern NTP-server som kan användas i organisationen. Standard-NTP-servrarna kanske inte fungerar för alla företag. Du kan även använda en kommaavgränsad lista för att ange flera NTP-servrar.

  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

11

Högerklicka på nodens VM och välj sedan Ström > Slå på.

Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

Felsökningstips

Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in.

Konfigurera VM för datasäkerhet för hybrid

Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

1

I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol .

VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
2

Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

  1. Inloggning: Administratör

  2. Lösenord: cisco

Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

3

Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn.

4

Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

5

(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy.

Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

6

Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla.

Ladda upp och montera ISO för HDS-konfiguration

Använd denna procedur för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

Innan du börjar

Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.

1

Ladda upp ISO-filen från datorn:

  1. Klicka på ESXi-servern i VMware vSphere-klientens vänstra navigeringspanel.

  2. På fliken Konfiguration klickar du på Lagring.

  3. Högerklicka på datalagret för dina VM-datorer i listan Datalager och klicka på Bläddra i datalager.

  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

  5. Bläddra till den plats där du hämtade ISO-filen på datorn och klicka på Öppna.

  6. Klicka på Ja för att godkänna varningen om uppladdning/hämtning och stäng dialogrutan för datalagring.

2

Montera ISO-filen:

  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  2. Klicka på OK för att godkänna varningen om begränsade redigeringsalternativ.

  3. Klicka på CD/DVD-enhet 1, välj alternativet att montera från en ISO-fil för datalager och bläddra till den plats där du överförde ISO-konfigurationsfilen.

  4. Markera Ansluten och Anslut vid påslagen.

  5. Spara ändringarna och starta om den virtuella datorn.

Nästa steg

Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.

Konfigurera HDS-noden för proxy-integrering

Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.

Innan du börjar

1

Skriv in URL: en för HDS-nodens konfiguration , https://[HDS nod IP eller FQDN]/Setup i en webbläsare, ange administratörs uppgifterna som du har angett för noden och klicka sedan på Logga in.

2

Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
  • Transparent proxy utan inspektion – noder är inte konfigurerade att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
  • Transparent inspekterande proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga ändringar av HTTPS-konfigurationen behövs för hybridens säkerhets distribution, men HDS-noderna behöver en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
  • Explicit proxy – Med explicit proxy talar du om för klienten (HDS-noder) vilken proxyserver som ska användas, och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxy Protocol – Välj http (visar och styr alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver har stöd för.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt för HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy.

3

Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn.

Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

4

Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn.

Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge.

5

När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

6

Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo.

Noden startas om inom några minuter.

7

När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

Registrera den första noden i klustret

Den här uppgiften tar den allmänna nod som du har skapat i Konfigurera VM för datasäkerhet för hybrid, registrerar noden i Webex-molnet och omvandlar den till en datasäkerhetsnod för hybrid.

När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera.

4

Klicka på Lägg till en resurs på sidan som öppnas.

5

I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till.

Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

6

I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen.

Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet.

Ett meddelande visas som anger att du kan registrera din nod till Webex.
7

Klicka på Gå till nod.

Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.

8

Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
9

Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.

Skapa och registrera fler noder

Om du vill lägga till ytterligare noder i ditt kluster skapar du bara ytterligare VM-datorer och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA.

2

Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet.

3

Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn.

4

Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

5

Registrera noden.

  1. I https://admin.webex.com väljer du Tjänster från menyn till vänster på skärmen.

  2. I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Visa alla.

    Sidan Hybrid-datasäkerhetsresurser visas.

  3. Det nyskapade klustret visas på sidan Resurser .

  4. Klicka på klustret för att visa de noder som tilldelats klustret.

  5. Klicka på Lägg till en nod till höger på skärmen.

  6. Ange din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klicka på Lägg till.

    En sida öppnas med ett meddelande som anger att du kan registrera din nod i Webex-molnet. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge organisationen behörighet att komma åt din nod.

  7. Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.

  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

    Popup-meddelandet Nod tillagd visas också längst ned på skärmen i partnerhubben.

    Din nod är registrerad.

Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid

Aktivera HDS för flera klienter i partnerhubben

Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.

Innan du börjar

Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

4

Klicka på Aktivera HDS på kortet HDS-status .

Lägg till klientorganisationer i Partner Hub

I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

Klicka på klustret som du vill att en kund ska tilldelas till.

5

Gå till fliken Tilldelade kunder .

6

Klicka på Lägg till kunder.

7

Välj kunden som du vill lägga till från rullgardinsmenyn.

8

Klicka på Lägg till, kunden kommer att läggas till i klustret.

9

Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster.

10

Klicka på Klar längst ner på skärmen när du har lagt till kunderna.

Nästa steg

Kör HDS-konfigurationsverktyget enligt beskrivningen i Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen.

Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget

Innan du börjar

Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

Se till att du är ansluten till databasen för att utföra CMK-hantering.
11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Skapa CMK för alla organisationer eller Skapa CMK – klicka på den här knappen på banderollen högst upp på skärmen för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Skapa CMK:er för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på nära CMK-hanteringens väntande status för en viss organisation i tabellen och klicka på Skapa CMK för att skapa CMK för den organisationen.
12

När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad.

13

Om CMK inte kan skapas visas ett fel.

Ta bort klientorganisationer

Innan du börjar

När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från.

5

Klicka på Tilldelade kunder på sidan som öppnas.

6

I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster.

Nästa steg

Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.

Återkalla CMK:er för klienter som tagits bort från HDS.

Innan du börjar

Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Återkalla CMK för alla ORGANISATIONER eller Återkalla CMK – klicka på den här knappen på banderollen högst upp på skärmen för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Återkalla CMK:er för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på nära statusen CMK som ska återkallas för en specifik organisation i tabellen och klicka på Återkalla CMK för att återkalla CMK för den specifika organisationen.
12

När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen.

13

Om CMK-återkallelsen misslyckas visas ett fel.

Testa din datasäkerhetsdistribution för hybrid

Testa din datasäkerhetsdistribution för hybrid

Använd denna procedur för att testa Hybrid-datasäkerhetskrypteringsscenarier för flera klienter.

Innan du börjar

  • Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.

  • Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.

1

Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme.

Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

2

Skicka meddelanden till det nya utrymmet.

3

Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet.

  1. För att kontrollera om en användare först har etablerat en säker kanal till KMS, filtrera på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bör hitta en post som följande (identifierare förkortas för läsbarhet):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriVärd=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=NYCKEL:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=hämta, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriVärd=ciscospark.com, kms.data.type=NYCKEL, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=skapa, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. För att söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller annan skyddad resurs skapas, filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

    Du ska nu hitta en post som till exempel följande: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_SAMLING, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Övervaka datasäkerhet för hybrid

En statusindikator i partnerhubben visar om allt är bra med Multi-Tenant-distributionen av Hybrid-datasäkerhet. Registrera dig för e-postaviseringar om du vill ha mer proaktiv avisering. Du meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
1

I Partner Hub väljer du Tjänster i menyn till vänster på skärmen.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

Sidan Inställningar för Hybrid-datasäkerhet visas.
3

I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

Hantera din HDS-distribution

Hantera HDS-distribution

Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.

Ställ in schema för klusteruppgradering

Programvaruuppgraderingar för Hybrid-datasäkerhet görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt klustrets uppgraderingsschema. När en programvaruuppgradering blir tillgänglig har du möjlighet att uppgradera klustret manuellt före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat 3:00 AM Daily USA: Amerika/Los Angeles. Du kan även välja att skjuta upp en kommande uppgradering om det behövs.

Så här ställer du in uppgraderingsschemat:

1

Logga in på Partner Hub.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera

4

Välj klustret på sidan Hybrid-datasäkerhetsresurser.

5

Klicka på fliken Klusterinställningar .

6

Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar.

Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar.

Ändra nodkonfigurationen

Ibland kan du behöva ändra konfigurationen av din Hybrid-datasäkerhetsnod av exempelvis:

  • Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.

    Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

  • Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.

  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:

  • Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.

  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.

Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

Innan du börjar

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.

1

Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

  1. På din dators kommandorad anger du lämpligt kommando för din miljö:

    I vanliga miljöer:

    docker rmi ciscocitg/hds-inställning: stable

    I FedRAMP-miljöer:

    docker rmi ciscocitg/hds-setup-fedramp: stable

    Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

  2. För att logga in på Docker-bildregistret anger du följande:

    docker inloggning -u hdscustomersro

  3. Vid lösenordsupp prompten anger du detta hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Hämta den senaste stabil bild för din miljö:

    I vanliga miljöer:

    docker pull ciscocitg/hds-inställning: stable

    I FedRAMP-miljöer:

    docker pull ciscocitg/hds-setup-fedramp: stable

    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

  5. När pull-in är slutförd anger du lämpligt kommando för din miljö:

    • I vanliga miljöer utan proxy:

      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljöer utan proxy:

      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    När behållaren körs ser du "Expressserverlyssning på port 8080".

  6. Använd en webbläsare för att ansluta till den lokalavärden, http://127.0.0.1:8080.

    Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

  7. Ange inloggningsuppgifterna för din partner Hub-kund när du uppmanas till det och klicka sedan på Godkänn för att fortsätta.

  8. Importera den aktuella ISO-konfigurationsfilen.

  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

    Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

2

Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

  1. Installera HDS-värden OVA.

  2. Konfigurera virtuell dator för HDS.

  3. Montera den uppdaterade konfigurationsfilen.

  4. Registrera den nya noden i partnerhubben.

3

Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod:

  1. Stäng av den virtuella datorn.

  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  3. Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

  4. Markera Anslut vid start.

  5. Spara ändringarna och slå på den virtuella datorn.

4

Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

Inaktivera blockerad extern DNS-Matchningstid

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.

Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.

Innan du börjar

Se till att dina interna DNS-servrar kan matcha allmänna DNS-namn och att noderna kan kommunicera med dem.
1

Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in.

2

Går du till Översikt (standard sidan).

När den är aktive rad är blockerad extern DNS-matchning inställd på Ja.

3

Går du till sidan betrodda certifikat \ proxy .

4

Klicka på kontrol lera proxy-anslutning.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej.

Nästa steg

Upprepa test av anslutnings proxy på alla noder i ditt data säkerhets kluster för Hybrid.

Ta bort en nod

Använd denna procedur för att ta bort en datasäkerhetsnod för hybrid från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

2

Ta bort noden:

  1. Logga in på partnerhubben och välj sedan Tjänster.

  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Datasäkerhetsresurser för hybrid.

  3. Välj ditt kluster för att visa dess översiktspanel.

  4. Klicka på noden som du vill ta bort.

  5. Klicka på Avregistrera den här noden i panelen som visas till höger

  6. Du kan också avregistrera noden genom att klicka på på nodens högra sida och välja Ta bort den här noden.

3

Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.)

Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata.

Katastrofåterställning med Standby-datacenter

Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.

Innan du börjar

Avregistrera alla noder från partnerhubben enligt beskrivningen i Ta bort en nod. Använd den senaste ISO-filen som konfigurerades mot noderna i det kluster som tidigare var aktiva för att utföra den redundans som nämns nedan.
1

Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

2

Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

3

Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

4

I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

5

Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager.

Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats.

6

Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter.

7

Registrera noden i partnerhubben. Se Registrera den första noden i klustret.

8

Upprepa processen för varje nod i datacentret för vänteläge.

Nästa steg

Efter redundans och om det primära datacentret blir aktivt igen, avregistrera du noderna för datacentret i vänteläge och upprepa processen för att konfigurera ISO och registrera noder för det primära datacentret enligt ovan.

(Valfritt) Avmontera ISO efter HDS-konfiguration

Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.

Innan du börjar

Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

1

Stäng av en av dina HDS-noder.

2

Välj HDS-noden i vCenter-serverenheten.

3

Välj Redigera inställningar > CD/DVD-enhet och avmarkera ISO-fil för datalager.

4

Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter.

5

Upprepa för varje HDS-nod i tur och ordning.

Felsök Hybrid-datasäkerhet

Visa aviseringar och felsökning

En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:

  • Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)

  • Meddelanden och utrymmetitlar kan inte avkrypteras för:

    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

    • Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)

  • Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna

Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.

Aviseringar

Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.

Tabell 1. Vanliga problem och steg för att lösa dem

Avisering

Åtgärd

Åtkomstfel i lokal databas.

Kontrollera om det finns databasfel eller problem med det lokala nätverket.

Anslutning till lokal databas misslyckades.

Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen.

Åtkomstfel för molntjänst.

Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning.

Förnyar registrering av molntjänster.

Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår.

Registreringen av molntjänsten har avbrutits.

Registrering till molntjänster har avslutats. Tjänsten stängs av.

Tjänsten är ännu inte aktiverad.

Aktivera HDS i partnerhubben.

Den konfigurerade domänen matchar inte servercertifikatet.

Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen.

Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen.

Det gick inte att autentisera till molntjänster.

Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla.

Det gick inte att öppna den lokala keystore-filen.

Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen.

Det lokala servercertifikatet är ogiltigt.

Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare.

Det gick inte att publicera mätvärden.

Kontrollera lokala nätverksåtkomst till externa molntjänster.

/media/configdrive/hds-katalogen finns inte.

Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras.

Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna

Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget.

Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna

Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget.

Felsök Hybrid-datasäkerhet

Använd följande allmänna riktlinjer vid felsökning av problem med Hybrid-datasäkerhet.
1

Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens.

2

Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning.

3

Kontakta Ciscos support.

Övriga anteckningar

Kända problem med Hybrid-datasäkerhet

  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.

  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).

Använd OpenSSL för att generera en PKCS12-fil

Innan du börjar

  • OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.

  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.

  • Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.

  • Skapa en privat nyckel.

  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

1

När du får servercertifikatet från din CA sparar du det som hdsnode.pem.

2

Visa certifikatet som text och verifiera informationen.

openssl x509 -text -noout -in hdsnode.pem

3

Använd en textredigerare för att skapa en fil med certifikatpaket som heter hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, eventuella mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

-----BEGIN CERTIFICATE------ ### Servercertifikat. ### -----END CERTIFICATE--------------  ### Mellanliggande CA-certifikat. ### -----END CERTIFICATE-----------  ### Rot-CA-certifikat. ### -----END CERTIFICATE------

4

Skapa .p12-filen med det vänliga namnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollera informationen om servercertifikatet.

  1. openssl pkcs12 -i hdsnode.p12

  2. Ange ett lösenord när du uppmanas att kryptera den privata nyckeln så att den listas i utmatningen. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

    Exempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Ange importlösenord: MAC-verifierade attribut för OK-väska vänligNamn: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nyckelattribut:  Ange lösenfras för PEM-pass: Verifierar – ange lösenordsfras för PEM: -----BÖRJA KRYPTERAD PRIVAT NYCKEL-----  -----END KRYPTERAD PRIVAT NYCKEL----- Bag-attribut vänligName: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE-----

Nästa steg

Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12 och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.

Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.

Trafik mellan HDS-noderna och molnet

Insamlingstrafik för utgående mätvärden

Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

Inkommande trafik

Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:

  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

  • Uppgraderingar av nodprogramvaran

Konfigurera squid-proxyservrar för Hybrid-datasäkerhet

WebSocket kan inte ansluta via squid proxy

Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS: trafik för att tjänsterna ska fungera korrekt.

Squid 4 och 5

Lägg till on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alla

Squid-3.5.27

Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla

Ny och ändrad information

Ny och ändrad information

Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.

Datum

Ändringar har gjorts

08 januari 2025

Lade till en anteckning i Utför inledande konfiguration och hämta installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i partnerhubben.

07 januari 2025

Uppdaterade krav för virtuell värd, uppgiftsflöde för distribution av hybrid-datasäkerhet och installera HDS Host OVA för att visa nya krav för ESXi 7.0.

13 december 2024

Först publicerad.

Inaktivera Hybrid-datasäkerhet för flera klienter

Uppgiftsflöde för inaktivering av HDS för flera klienter

Följ dessa steg för att inaktivera HDS för flera klienter helt.

Innan du börjar

Den här uppgiften bör endast utföras av en fullständig partneradministratör.
1

Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer.

2

Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS..

3

Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod.

4

Ta bort alla dina kluster från partnerhubben med en av följande två metoder.

  • Klicka på det kluster som du vill ta bort och välj Ta bort detta kluster i det övre högra hörnet på översiktssidan.
  • På sidan Resurser klickar du på på höger sida av ett kluster och väljer Ta bort kluster.
5

Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet.

Kom igång med Hybrid-datasäkerhet för flera klienter

Översikt över datasäkerhet för flera klienter för hybrid

Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Kärnan i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.

Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.

Partnerorganisationer har kontroll över distribution och hantering men de har inte tillgång till data och innehåll som genereras av kunder. Denna åtkomst är begränsad till kundorganisationer och deras användare.

Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.

Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll

  • Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
  • Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
  • Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
  • Stöder mötes-, meddelande- och samtalsinnehåll.

Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.

Roller i Hybrid-datasäkerhet för flera klienter

  • Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
  • Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
  • Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
  • Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
  • Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.

Säkerhetsarkitektur

Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

Separationsrealm (utan Hybrid-datasäkerhet)

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.

I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:

  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.

  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

  4. Det krypterade meddelandet lagras i lagringssfären.

När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.

Samarbeta med andra organisationer

Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.

Förväntningar på att distribuera Hybrid-datasäkerhet

En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.

För att distribuera Hybrid-datasäkerhet måste du ange:

Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

  • Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.

  • Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.

Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.

Installationsprocess på hög nivå

Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:

  • Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

    Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.

  • Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.

  • Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

Distributionsmodell för Hybrid-datasäkerhet

I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.

Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Distributionsmodell för Hybrid-datasäkerhet

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)

Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.

Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.

Standby-datacenter för katastrofåterställning

Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Före redundans har datacenter A aktiva HDS-noder och den primära PostgreSQL- eller Microsoft SQL Server-databasen, medan B har en kopia av ISO-filen med ytterligare konfigurationer, VM-datorer som är registrerade i organisationen och en databas för vänteläge. Efter redundans har datacenter B aktiva HDS-noder och den primära databasen, medan A har oregistrerade VM-datorer och en kopia av ISO-filen och databasen är i vänteläge.
Manuell redundans till datacenter för vänteläge

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.

De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.

Proxy-Support

Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.

Datanoderna för Hybrid har stöd för följande proxyinställningar:

  • Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.

  • Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.

  • Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).

  • Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:

      • HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.

      • HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt om du har valt HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

Exempel på data säkerhets noder och proxy för Hybrid

Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.

Förbered din miljö

Krav för datasäkerhet för flera klienter för hybrid

Cisco Webex-licenskrav

Så här distribuerar du Hybrid-datasäkerhet för flera klienter:

  • Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.

  • Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Skrivbordskrav för Docker

Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".

X.509-certifikatkrav

Certifikatkedjan måste uppfylla följande krav:

Tabell 1. X.509-certifikatkrav för Hybrid-datasäkerhetsdistribution

Krav

Detaljer

  • Signerat av en betrodd certifikatutfärdare (CA)

Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har ett gemensamt namn (CN)-domännamn som identifierar din datasäkerhetsdistribution för hybrid

  • Är inte ett jokertecken-certifikat

CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.företag.com.

CN får inte innehålla ett * (jokertecken).

CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet.

  • Signatur utan SHA1

KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS.

  • Formaterat som en lösenordsskyddad PKCS #12-fil

  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellanliggande certifikat att ladda upp.

Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

Krav för virtuell värd

De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

  • Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter

  • VMware ESXi 7.0 (eller senare) installerad och körs.

    Du måste uppgradera om du har en tidigare version av ESXi.

  • Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

Krav på databasserver

Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.

Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:

Tabell 2. Krav på databasserver efter typ av databas

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installerad och körs.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerad.

    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:

PostgreSQL

Microsoft SQL-server

Postgres JDBC-drivrutin 42.2.5

SQL Server JDBC-drivrutin 4.6

Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper).

Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

  • Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.

  • Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.

  • DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).

  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.

    HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.

Krav på extern anslutning

Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:

Program

Protokoll

Port

Riktning från appen

Destination

Datasäkerhetsnoder för hybrid

TCP

443

Utgående HTTPS och WSS

  • Webex-servrar:

    • *.wbx2.com

    • *.ciscospark.com

  • Alla värdar för Common Identity

  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster i Nätverkskrav för Webex-tjänster

Inställningsverktyg för HDS

TCP

443

Utgående HTTPS

  • *.wbx2.com

  • Alla värdar för Common Identity

  • hub.docker.com

Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.

URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:

Region

URL:er för Common Identity Host

Nord- och Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europeiska unionen

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Förenade Arabemiraten

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy Server krav

  • Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.

    • Transparent proxy – Cisco webb säkerhetsutrustning (WSA).

    • Explicit proxy – squid.

      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.

  • Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:

    • Ingen autentisering med HTTP eller HTTPS

    • Grundläggande autentisering med HTTP eller HTTPS

    • Digest-autentisering med endast HTTPS

  • För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.

  • Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.

  • Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till wbx2.com och ciscospark.com .

Uppfyll förutsättningarna för Hybrid-datasäkerhet

Använd den här checklistan för att säkerställa att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
1

Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen.

Kundorganisationer bör inte ha någon befintlig HDS-distribution.

2

Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och hämta en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i X.509-certifikatkrav.

3

Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd.

4

Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna.

  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.)

  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

    • värdnamnet eller IP-adressen (värd) och porten

    • namnet på databasen (dbname) för nyckellagring

    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

5

För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer.

6

Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514).

7

Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid.

Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet.

Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar.

8

Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning.

9

Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information.

För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning.

10

Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver.

Konfigurera ett datasäkerhetskluster för hybrid

Uppgiftsflöde för distribution av Hybrid-datasäkerhet

Innan du börjar

1

Utför initial konfiguration och hämta installationsfiler

Hämta OVA-filen till din lokala dator för senare användning.

2

Skapa en konfiguration-ISO för HDS-värdarna

Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid.

3

Installera HDS-värd-OVA

Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

4

Konfigurera VM för datasäkerhet för hybrid

Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

5

Ladda upp och montera ISO för HDS-konfiguration

Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget.

6

Konfigurera HDS-noden för proxy-integrering

Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs.

7

Registrera den första noden i klustret

Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

8

Skapa och registrera fler noder

Slutför klusterkonfigurationen.

9

Aktivera HDS för flera klienter i partnerhubben.

Aktivera HDS och hantera klientorganisationer i partnerhubben.

Utför initial konfiguration och hämta installationsfiler

I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.

1

Logga in på Partner Hub och klicka sedan på Tjänster.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera.

Att klicka på Konfigurera i partnerhubben är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra det här steget.

3

Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara .

Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på Inställningar > Hjälp > Hämta programvara för Hybrid-datasäkerhet.

OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
4

Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig.

Skapa en konfiguration-ISO för HDS-värdarna

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

Innan du börjar
1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import har du följande alternativ:

  • Nej – om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
  • Ja – om du redan har skapat HDS-noder väljer du din ISO-fil i bläddraren och överför den.
10

Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.

  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
  • Om certifikatet är OK klickar du på Fortsätt.
  • Om ditt certifikat har gått ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
11

Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager:

  1. Välj din databastyp (PostgreSQL eller Microsoft SQL Server).

    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

  2. (Endast Microsoft SQL Server ) Välj din autentiseringstyp:

    • Grundläggande autentisering: Du behöver ett lokalt SQL Server-kontonamn i fältet Användarnamn .

    • Windows-autentisering: Du behöver ett Windows-konto i formatet användarnamn@DOMÄN i fältet Användarnamn .

  3. Ange databasserveradressen i formatet : eller :.

    Exempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

  4. Ange databasnamnet.

  5. Ange Användarnamn och Lösenord för en användare med alla privilegier i databasen för nyckellagring.

12

Välj ett anslutningsläge för TLS-databasen:

Mode

Beskrivning

Föredra TLS (standardalternativ)

HDS-noder kräver inte att TLS ansluter till databasservern. Om du aktiverar TLS på databasservern försöker noderna med en krypterad anslutning.

Kräver TLS

HDS-noder ansluter endast om databasservern kan förhandla om TLS.

Kräv TLS och verifiera certifikat signering

Det här läget är inte tillämpligt för SQL Server-databaser.

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

Kräv TLS och verifiera certifikat signering och värdnamn

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databasvärd och -port . Namnen måste matcha exakt, eller så tappar noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.)

13

Konfigurera din Syslogd-server på sidan Systemloggar:

  1. Ange URL för syslog-servern.

    Om servern inte är DNS-lösbar från noderna till ditt HDS-kluster ska du använda en IP-adress i URL:en.

    Exempel:
    udp://10.92.43.23:514 indikerar loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.

  2. Om du konfigurerar servern för TLS-kryptering markerar du Är din syslog-server konfigurerad för SSL-kryptering?.

    Om du markerar den här kryssrutan ska du ange en TCP-URL som tcp://10.92.43.23:514.

  3. Från rullgardinsmenyn Välj avslutning av syslog-post väljer du lämplig inställning för din ISO-fil: Välj eller använd ny linje för Graylog och Rsyslog TCP

    • Null byte -- 00

    • Nyrad -- \n – Välj det här alternativet för Graylog och Rsyslog TCP.

  4. Klicka på Fortsätt.

14

(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra:

app_datasource_connection_pool_maxStorlek: 10
15

Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton .

Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer.

16

Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

17

Gör en säkerhetskopia av ISO-filen på ditt lokala system.

Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

18

Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

Nästa steg

Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.

Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.

Installera HDS-värd-OVA

Använd denna procedur för att skapa en virtuell dator från OVA-filen.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden.

2

Välj Arkiv > Distribuera OVF-mall.

3

I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa.

4

På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa.

5

På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa.

En valideringskontroll körs. När den är klar visas mallinformationen.

6

Verifiera mallinformationen och klicka sedan på Nästa.

7

Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa.

8

På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn.

9

På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn.

10

Konfigurera följande nätverksinställningar på sidan Anpassa mall :

  • Värdnamn – ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

    • Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

    • För att säkerställa en lyckad registrering i molnet ska du endast använda gemener i det FQDN eller värdnamn som du har angett för noden. Det finns för närvarande inget stöd för versalisering.

    • Den totala längden på FQDN får inte överskrida 64 tecken.

  • IP-adress – ange IP-adressen för nodens interna gränssnitt.

    Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

  • Mask – Ange nätmaskens adress med decimalnotation. Till exempel 255.255.255.0.
  • Gateway – ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
  • DNS-servrar – Ange en kommaseparerad lista över DNS-servrar som hanterar översättning av domännamn till numeriska IP-adresser. (Upp till fyra DNS-poster tillåts.)
  • NTP-servrar – ange organisationens NTP-server eller en annan extern NTP-server som kan användas i organisationen. Standard-NTP-servrarna kanske inte fungerar för alla företag. Du kan även använda en kommaavgränsad lista för att ange flera NTP-servrar.

  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

11

Högerklicka på nodens VM och välj sedan Ström > Slå på.

Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

Felsökningstips

Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in.

Konfigurera VM för datasäkerhet för hybrid

Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

1

I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol .

VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
2

Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

  1. Inloggning: Administratör

  2. Lösenord: cisco

Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

3

Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn.

4

Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

5

(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy.

Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

6

Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla.

Ladda upp och montera ISO för HDS-konfiguration

Använd denna procedur för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

Innan du börjar

Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.

1

Ladda upp ISO-filen från datorn:

  1. Klicka på ESXi-servern i VMware vSphere-klientens vänstra navigeringspanel.

  2. På fliken Konfiguration klickar du på Lagring.

  3. Högerklicka på datalagret för dina VM-datorer i listan Datalager och klicka på Bläddra i datalager.

  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

  5. Bläddra till den plats där du hämtade ISO-filen på datorn och klicka på Öppna.

  6. Klicka på Ja för att godkänna varningen om uppladdning/hämtning och stäng dialogrutan för datalagring.

2

Montera ISO-filen:

  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  2. Klicka på OK för att godkänna varningen om begränsade redigeringsalternativ.

  3. Klicka på CD/DVD-enhet 1, välj alternativet att montera från en ISO-fil för datalager och bläddra till den plats där du överförde ISO-konfigurationsfilen.

  4. Markera Ansluten och Anslut vid påslagen.

  5. Spara ändringarna och starta om den virtuella datorn.

Nästa steg

Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.

Konfigurera HDS-noden för proxy-integrering

Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.

Innan du börjar

1

Skriv in URL: en för HDS-nodens konfiguration , https://[HDS nod IP eller FQDN]/Setup i en webbläsare, ange administratörs uppgifterna som du har angett för noden och klicka sedan på Logga in.

2

Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
  • Transparent proxy utan inspektion – noder är inte konfigurerade att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
  • Transparent inspekterande proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga ändringar av HTTPS-konfigurationen behövs för hybridens säkerhets distribution, men HDS-noderna behöver en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
  • Explicit proxy – Med explicit proxy talar du om för klienten (HDS-noder) vilken proxyserver som ska användas, och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxy Protocol – Välj http (visar och styr alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver har stöd för.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt för HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy.

3

Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn.

Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

4

Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn.

Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge.

5

När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

6

Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo.

Noden startas om inom några minuter.

7

När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

Registrera den första noden i klustret

Den här uppgiften tar den allmänna nod som du har skapat i Konfigurera VM för datasäkerhet för hybrid, registrerar noden i Webex-molnet och omvandlar den till en datasäkerhetsnod för hybrid.

När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera.

4

Klicka på Lägg till en resurs på sidan som öppnas.

5

I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till.

Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

6

I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen.

Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet.

Ett meddelande visas som anger att du kan registrera din nod till Webex.
7

Klicka på Gå till nod.

Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.

8

Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
9

Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.

Skapa och registrera fler noder

Om du vill lägga till ytterligare noder i ditt kluster skapar du bara ytterligare VM-datorer och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA.

2

Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet.

3

Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn.

4

Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

5

Registrera noden.

  1. I https://admin.webex.com väljer du Tjänster från menyn till vänster på skärmen.

  2. I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Visa alla.

    Sidan Hybrid-datasäkerhetsresurser visas.

  3. Det nyskapade klustret visas på sidan Resurser .

  4. Klicka på klustret för att visa de noder som tilldelats klustret.

  5. Klicka på Lägg till en nod till höger på skärmen.

  6. Ange din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klicka på Lägg till.

    En sida öppnas med ett meddelande som anger att du kan registrera din nod i Webex-molnet. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge organisationen behörighet att komma åt din nod.

  7. Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.

  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

    Popup-meddelandet Nod tillagd visas också längst ned på skärmen i partnerhubben.

    Din nod är registrerad.

Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid

Aktivera HDS för flera klienter i partnerhubben

Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.

Innan du börjar

Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

4

Klicka på Aktivera HDS på kortet HDS-status .

Lägg till klientorganisationer i Partner Hub

I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

Klicka på klustret som du vill att en kund ska tilldelas till.

5

Gå till fliken Tilldelade kunder .

6

Klicka på Lägg till kunder.

7

Välj kunden som du vill lägga till från rullgardinsmenyn.

8

Klicka på Lägg till, kunden kommer att läggas till i klustret.

9

Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster.

10

Klicka på Klar längst ner på skärmen när du har lagt till kunderna.

Nästa steg

Kör HDS-konfigurationsverktyget enligt beskrivningen i Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen.

Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget

Innan du börjar

Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

Se till att du är ansluten till databasen för att utföra CMK-hantering.
11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Skapa CMK för alla organisationer eller Skapa CMK – klicka på den här knappen på banderollen högst upp på skärmen för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Skapa CMK:er för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på nära CMK-hanteringens väntande status för en viss organisation i tabellen och klicka på Skapa CMK för att skapa CMK för den organisationen.
12

När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad.

13

Om CMK inte kan skapas visas ett fel.

Ta bort klientorganisationer

Innan du börjar

När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från.

5

Klicka på Tilldelade kunder på sidan som öppnas.

6

I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster.

Nästa steg

Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.

Återkalla CMK:er för klienter som tagits bort från HDS.

Innan du börjar

Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Återkalla CMK för alla ORGANISATIONER eller Återkalla CMK – klicka på den här knappen på banderollen högst upp på skärmen för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Återkalla CMK:er för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på nära statusen CMK som ska återkallas för en specifik organisation i tabellen och klicka på Återkalla CMK för att återkalla CMK för den specifika organisationen.
12

När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen.

13

Om CMK-återkallelsen misslyckas visas ett fel.

Testa din datasäkerhetsdistribution för hybrid

Testa din datasäkerhetsdistribution för hybrid

Använd denna procedur för att testa Hybrid-datasäkerhetskrypteringsscenarier för flera klienter.

Innan du börjar

  • Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.

  • Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.

1

Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme.

Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

2

Skicka meddelanden till det nya utrymmet.

3

Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet.

  1. För att kontrollera om en användare först har etablerat en säker kanal till KMS, filtrera på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bör hitta en post som följande (identifierare förkortas för läsbarhet):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriVärd=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=NYCKEL:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=hämta, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriVärd=ciscospark.com, kms.data.type=NYCKEL, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=skapa, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. För att söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller annan skyddad resurs skapas, filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

    Du ska nu hitta en post som till exempel följande: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_SAMLING, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Övervaka datasäkerhet för hybrid

En statusindikator i partnerhubben visar om allt är bra med Multi-Tenant-distributionen av Hybrid-datasäkerhet. Registrera dig för e-postaviseringar om du vill ha mer proaktiv avisering. Du meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
1

I Partner Hub väljer du Tjänster i menyn till vänster på skärmen.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

Sidan Inställningar för Hybrid-datasäkerhet visas.
3

I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

Hantera din HDS-distribution

Hantera HDS-distribution

Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.

Ställ in schema för klusteruppgradering

Programvaruuppgraderingar för Hybrid-datasäkerhet görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt klustrets uppgraderingsschema. När en programvaruuppgradering blir tillgänglig har du möjlighet att uppgradera klustret manuellt före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat 3:00 AM Daily USA: Amerika/Los Angeles. Du kan även välja att skjuta upp en kommande uppgradering om det behövs.

Så här ställer du in uppgraderingsschemat:

1

Logga in på Partner Hub.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera

4

Välj klustret på sidan Hybrid-datasäkerhetsresurser.

5

Klicka på fliken Klusterinställningar .

6

Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar.

Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar.

Ändra nodkonfigurationen

Ibland kan du behöva ändra konfigurationen av din Hybrid-datasäkerhetsnod av exempelvis:

  • Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.

    Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

  • Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.

  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:

  • Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.

  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.

Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

Innan du börjar

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.

1

Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

  1. På din dators kommandorad anger du lämpligt kommando för din miljö:

    I vanliga miljöer:

    docker rmi ciscocitg/hds-inställning: stable

    I FedRAMP-miljöer:

    docker rmi ciscocitg/hds-setup-fedramp: stable

    Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

  2. För att logga in på Docker-bildregistret anger du följande:

    docker inloggning -u hdscustomersro

  3. Vid lösenordsupp prompten anger du detta hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Hämta den senaste stabil bild för din miljö:

    I vanliga miljöer:

    docker pull ciscocitg/hds-inställning: stable

    I FedRAMP-miljöer:

    docker pull ciscocitg/hds-setup-fedramp: stable

    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

  5. När pull-in är slutförd anger du lämpligt kommando för din miljö:

    • I vanliga miljöer utan proxy:

      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljöer utan proxy:

      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    När behållaren körs ser du "Expressserverlyssning på port 8080".

  6. Använd en webbläsare för att ansluta till den lokalavärden, http://127.0.0.1:8080.

    Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

  7. Ange inloggningsuppgifterna för din partner Hub-kund när du uppmanas till det och klicka sedan på Godkänn för att fortsätta.

  8. Importera den aktuella ISO-konfigurationsfilen.

  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

    Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

2

Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

  1. Installera HDS-värden OVA.

  2. Konfigurera virtuell dator för HDS.

  3. Montera den uppdaterade konfigurationsfilen.

  4. Registrera den nya noden i partnerhubben.

3

Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod:

  1. Stäng av den virtuella datorn.

  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  3. Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

  4. Markera Anslut vid start.

  5. Spara ändringarna och slå på den virtuella datorn.

4

Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

Inaktivera blockerad extern DNS-Matchningstid

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.

Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.

Innan du börjar

Se till att dina interna DNS-servrar kan matcha allmänna DNS-namn och att noderna kan kommunicera med dem.
1

Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in.

2

Går du till Översikt (standard sidan).

När den är aktive rad är blockerad extern DNS-matchning inställd på Ja.

3

Går du till sidan betrodda certifikat \ proxy .

4

Klicka på kontrol lera proxy-anslutning.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej.

Nästa steg

Upprepa test av anslutnings proxy på alla noder i ditt data säkerhets kluster för Hybrid.

Ta bort en nod

Använd denna procedur för att ta bort en datasäkerhetsnod för hybrid från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

2

Ta bort noden:

  1. Logga in på partnerhubben och välj sedan Tjänster.

  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Datasäkerhetsresurser för hybrid.

  3. Välj ditt kluster för att visa dess översiktspanel.

  4. Klicka på noden som du vill ta bort.

  5. Klicka på Avregistrera den här noden i panelen som visas till höger

  6. Du kan också avregistrera noden genom att klicka på på nodens högra sida och välja Ta bort den här noden.

3

Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.)

Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata.

Katastrofåterställning med Standby-datacenter

Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.

Innan du börjar

Avregistrera alla noder från partnerhubben enligt beskrivningen i Ta bort en nod. Använd den senaste ISO-filen som konfigurerades mot noderna i det kluster som tidigare var aktiva för att utföra den redundans som nämns nedan.
1

Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

2

Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

3

Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

4

I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

5

Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager.

Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats.

6

Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter.

7

Registrera noden i partnerhubben. Se Registrera den första noden i klustret.

8

Upprepa processen för varje nod i datacentret för vänteläge.

Nästa steg

Efter redundans och om det primära datacentret blir aktivt igen, avregistrera du noderna för datacentret i vänteläge och upprepa processen för att konfigurera ISO och registrera noder för det primära datacentret enligt ovan.

(Valfritt) Avmontera ISO efter HDS-konfiguration

Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.

Innan du börjar

Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

1

Stäng av en av dina HDS-noder.

2

Välj HDS-noden i vCenter-serverenheten.

3

Välj Redigera inställningar > CD/DVD-enhet och avmarkera ISO-fil för datalager.

4

Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter.

5

Upprepa för varje HDS-nod i tur och ordning.

Felsök Hybrid-datasäkerhet

Visa aviseringar och felsökning

En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:

  • Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)

  • Meddelanden och utrymmetitlar kan inte avkrypteras för:

    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

    • Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)

  • Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna

Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.

Aviseringar

Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.

Tabell 1. Vanliga problem och steg för att lösa dem

Avisering

Åtgärd

Åtkomstfel i lokal databas.

Kontrollera om det finns databasfel eller problem med det lokala nätverket.

Anslutning till lokal databas misslyckades.

Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen.

Åtkomstfel för molntjänst.

Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning.

Förnyar registrering av molntjänster.

Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår.

Registreringen av molntjänsten har avbrutits.

Registrering till molntjänster har avslutats. Tjänsten stängs av.

Tjänsten är ännu inte aktiverad.

Aktivera HDS i partnerhubben.

Den konfigurerade domänen matchar inte servercertifikatet.

Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen.

Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen.

Det gick inte att autentisera till molntjänster.

Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla.

Det gick inte att öppna den lokala keystore-filen.

Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen.

Det lokala servercertifikatet är ogiltigt.

Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare.

Det gick inte att publicera mätvärden.

Kontrollera lokala nätverksåtkomst till externa molntjänster.

/media/configdrive/hds-katalogen finns inte.

Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras.

Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna

Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget.

Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna

Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget.

Felsök Hybrid-datasäkerhet

Använd följande allmänna riktlinjer vid felsökning av problem med Hybrid-datasäkerhet.
1

Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens.

2

Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning.

3

Kontakta Ciscos support.

Övriga anteckningar

Kända problem med Hybrid-datasäkerhet

  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.

  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).

Använd OpenSSL för att generera en PKCS12-fil

Innan du börjar

  • OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.

  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.

  • Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.

  • Skapa en privat nyckel.

  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

1

När du får servercertifikatet från din CA sparar du det som hdsnode.pem.

2

Visa certifikatet som text och verifiera informationen.

openssl x509 -text -noout -in hdsnode.pem

3

Använd en textredigerare för att skapa en fil med certifikatpaket som heter hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, eventuella mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

-----BEGIN CERTIFICATE------ ### Servercertifikat. ### -----END CERTIFICATE--------------  ### Mellanliggande CA-certifikat. ### -----END CERTIFICATE-----------  ### Rot-CA-certifikat. ### -----END CERTIFICATE------

4

Skapa .p12-filen med det vänliga namnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollera informationen om servercertifikatet.

  1. openssl pkcs12 -i hdsnode.p12

  2. Ange ett lösenord när du uppmanas att kryptera den privata nyckeln så att den listas i utmatningen. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

    Exempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Ange importlösenord: MAC-verifierade attribut för OK-väska vänligNamn: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nyckelattribut:  Ange lösenfras för PEM-pass: Verifierar – ange lösenordsfras för PEM: -----BÖRJA KRYPTERAD PRIVAT NYCKEL-----  -----END KRYPTERAD PRIVAT NYCKEL----- Bag-attribut vänligName: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE-----

Nästa steg

Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12 och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.

Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.

Trafik mellan HDS-noderna och molnet

Insamlingstrafik för utgående mätvärden

Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

Inkommande trafik

Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:

  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

  • Uppgraderingar av nodprogramvaran

Konfigurera squid-proxyservrar för Hybrid-datasäkerhet

WebSocket kan inte ansluta via squid proxy

Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS: trafik för att tjänsterna ska fungera korrekt.

Squid 4 och 5

Lägg till on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alla

Squid-3.5.27

Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla

Ny och ändrad information

Ny och ändrad information

Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.

Datum

Ändringar har gjorts

08 januari 2025

Lade till en anteckning i Utför inledande konfiguration och hämta installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i partnerhubben.

07 januari 2025

Uppdaterade krav för virtuell värd, uppgiftsflöde för distribution av hybrid-datasäkerhet och installera HDS Host OVA för att visa nya krav för ESXi 7.0.

13 december 2024

Först publicerad.

Inaktivera Hybrid-datasäkerhet för flera klienter

Uppgiftsflöde för inaktivering av HDS för flera klienter

Följ dessa steg för att inaktivera HDS för flera klienter helt.

Innan du börjar

Den här uppgiften bör endast utföras av en fullständig partneradministratör.
1

Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer.

2

Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS..

3

Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod.

4

Ta bort alla dina kluster från partnerhubben med en av följande två metoder.

  • Klicka på det kluster som du vill ta bort och välj Ta bort detta kluster i det övre högra hörnet på översiktssidan.
  • På sidan Resurser klickar du på på höger sida av ett kluster och väljer Ta bort kluster.
5

Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet.

Kom igång med Hybrid-datasäkerhet för flera klienter

Översikt över datasäkerhet för flera klienter för hybrid

Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Kärnan i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.

Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.

Partnerorganisationer har kontroll över distribution och hantering men de har inte tillgång till data och innehåll som genereras av kunder. Denna åtkomst är begränsad till kundorganisationer och deras användare.

Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.

Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll

  • Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
  • Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
  • Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
  • Stöder mötes-, meddelande- och samtalsinnehåll.

Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.

Roller i Hybrid-datasäkerhet för flera klienter

  • Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
  • Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
  • Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
  • Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
  • Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.

Säkerhetsarkitektur

Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

Separationsrealm (utan Hybrid-datasäkerhet)

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.

I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:

  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.

  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

  4. Det krypterade meddelandet lagras i lagringssfären.

När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.

Samarbeta med andra organisationer

Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.

Förväntningar på att distribuera Hybrid-datasäkerhet

En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.

För att distribuera Hybrid-datasäkerhet måste du ange:

Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

  • Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.

  • Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.

Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.

Installationsprocess på hög nivå

Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:

  • Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

    Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.

  • Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.

  • Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

Distributionsmodell för Hybrid-datasäkerhet

I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.

Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Distributionsmodell för Hybrid-datasäkerhet

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)

Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.

Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.

Standby-datacenter för katastrofåterställning

Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Före redundans har datacenter A aktiva HDS-noder och den primära PostgreSQL- eller Microsoft SQL Server-databasen, medan B har en kopia av ISO-filen med ytterligare konfigurationer, VM-datorer som är registrerade i organisationen och en databas för vänteläge. Efter redundans har datacenter B aktiva HDS-noder och den primära databasen, medan A har oregistrerade VM-datorer och en kopia av ISO-filen och databasen är i vänteläge.
Manuell redundans till datacenter för vänteläge

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.

De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.

Proxy-Support

Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.

Datanoderna för Hybrid har stöd för följande proxyinställningar:

  • Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.

  • Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.

  • Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).

  • Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:

      • HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.

      • HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt om du har valt HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

Exempel på data säkerhets noder och proxy för Hybrid

Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.

Förbered din miljö

Krav för datasäkerhet för flera klienter för hybrid

Cisco Webex-licenskrav

Så här distribuerar du Hybrid-datasäkerhet för flera klienter:

  • Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.

  • Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Skrivbordskrav för Docker

Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".

X.509-certifikatkrav

Certifikatkedjan måste uppfylla följande krav:

Tabell 1. X.509-certifikatkrav för Hybrid-datasäkerhetsdistribution

Krav

Detaljer

  • Signerat av en betrodd certifikatutfärdare (CA)

Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har ett gemensamt namn (CN)-domännamn som identifierar din datasäkerhetsdistribution för hybrid

  • Är inte ett jokertecken-certifikat

CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.företag.com.

CN får inte innehålla ett * (jokertecken).

CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet.

  • Signatur utan SHA1

KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS.

  • Formaterat som en lösenordsskyddad PKCS #12-fil

  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellanliggande certifikat att ladda upp.

Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

Krav för virtuell värd

De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

  • Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter

  • VMware ESXi 7.0 (eller senare) installerad och körs.

    Du måste uppgradera om du har en tidigare version av ESXi.

  • Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

Krav på databasserver

Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.

Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:

Tabell 2. Krav på databasserver efter typ av databas

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installerad och körs.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerad.

    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:

PostgreSQL

Microsoft SQL-server

Postgres JDBC-drivrutin 42.2.5

SQL Server JDBC-drivrutin 4.6

Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper).

Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

  • Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.

  • Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.

  • DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).

  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.

    HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.

Krav på extern anslutning

Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:

Program

Protokoll

Port

Riktning från appen

Destination

Datasäkerhetsnoder för hybrid

TCP

443

Utgående HTTPS och WSS

  • Webex-servrar:

    • *.wbx2.com

    • *.ciscospark.com

  • Alla värdar för Common Identity

  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster i Nätverkskrav för Webex-tjänster

Inställningsverktyg för HDS

TCP

443

Utgående HTTPS

  • *.wbx2.com

  • Alla värdar för Common Identity

  • hub.docker.com

Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.

URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:

Region

URL:er för Common Identity Host

Nord- och Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europeiska unionen

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Förenade Arabemiraten

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy Server krav

  • Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.

    • Transparent proxy – Cisco webb säkerhetsutrustning (WSA).

    • Explicit proxy – squid.

      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.

  • Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:

    • Ingen autentisering med HTTP eller HTTPS

    • Grundläggande autentisering med HTTP eller HTTPS

    • Digest-autentisering med endast HTTPS

  • För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.

  • Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.

  • Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till wbx2.com och ciscospark.com .

Uppfyll förutsättningarna för Hybrid-datasäkerhet

Använd den här checklistan för att säkerställa att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
1

Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen.

Kundorganisationer bör inte ha någon befintlig HDS-distribution.

2

Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och hämta en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i X.509-certifikatkrav.

3

Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd.

4

Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna.

  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.)

  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

    • värdnamnet eller IP-adressen (värd) och porten

    • namnet på databasen (dbname) för nyckellagring

    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

5

För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer.

6

Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514).

7

Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid.

Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet.

Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar.

8

Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning.

9

Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information.

För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning.

10

Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver.

Konfigurera ett datasäkerhetskluster för hybrid

Uppgiftsflöde för distribution av Hybrid-datasäkerhet

Innan du börjar

1

Utför initial konfiguration och hämta installationsfiler

Hämta OVA-filen till din lokala dator för senare användning.

2

Skapa en konfiguration-ISO för HDS-värdarna

Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid.

3

Installera HDS-värd-OVA

Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

4

Konfigurera VM för datasäkerhet för hybrid

Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

5

Ladda upp och montera ISO för HDS-konfiguration

Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget.

6

Konfigurera HDS-noden för proxy-integrering

Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs.

7

Registrera den första noden i klustret

Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

8

Skapa och registrera fler noder

Slutför klusterkonfigurationen.

9

Aktivera HDS för flera klienter i partnerhubben.

Aktivera HDS och hantera klientorganisationer i partnerhubben.

Utför initial konfiguration och hämta installationsfiler

I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.

1

Logga in på Partner Hub och klicka sedan på Tjänster.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera.

Att klicka på Konfigurera i partnerhubben är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra det här steget.

3

Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara .

Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på Inställningar > Hjälp > Hämta programvara för Hybrid-datasäkerhet.

OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
4

Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig.

Skapa en konfiguration-ISO för HDS-värdarna

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

Innan du börjar
1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import har du följande alternativ:

  • Nej – om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
  • Ja – om du redan har skapat HDS-noder väljer du din ISO-fil i bläddraren och överför den.
10

Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.

  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
  • Om certifikatet är OK klickar du på Fortsätt.
  • Om ditt certifikat har gått ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
11

Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager:

  1. Välj din databastyp (PostgreSQL eller Microsoft SQL Server).

    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

  2. (Endast Microsoft SQL Server ) Välj din autentiseringstyp:

    • Grundläggande autentisering: Du behöver ett lokalt SQL Server-kontonamn i fältet Användarnamn .

    • Windows-autentisering: Du behöver ett Windows-konto i formatet användarnamn@DOMÄN i fältet Användarnamn .

  3. Ange databasserveradressen i formatet : eller :.

    Exempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

  4. Ange databasnamnet.

  5. Ange Användarnamn och Lösenord för en användare med alla privilegier i databasen för nyckellagring.

12

Välj ett anslutningsläge för TLS-databasen:

Mode

Beskrivning

Föredra TLS (standardalternativ)

HDS-noder kräver inte att TLS ansluter till databasservern. Om du aktiverar TLS på databasservern försöker noderna med en krypterad anslutning.

Kräver TLS

HDS-noder ansluter endast om databasservern kan förhandla om TLS.

Kräv TLS och verifiera certifikat signering

Det här läget är inte tillämpligt för SQL Server-databaser.

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

Kräv TLS och verifiera certifikat signering och värdnamn

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databasvärd och -port . Namnen måste matcha exakt, eller så tappar noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.)

13

Konfigurera din Syslogd-server på sidan Systemloggar:

  1. Ange URL för syslog-servern.

    Om servern inte är DNS-lösbar från noderna till ditt HDS-kluster ska du använda en IP-adress i URL:en.

    Exempel:
    udp://10.92.43.23:514 indikerar loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.

  2. Om du konfigurerar servern för TLS-kryptering markerar du Är din syslog-server konfigurerad för SSL-kryptering?.

    Om du markerar den här kryssrutan ska du ange en TCP-URL som tcp://10.92.43.23:514.

  3. Från rullgardinsmenyn Välj avslutning av syslog-post väljer du lämplig inställning för din ISO-fil: Välj eller använd ny linje för Graylog och Rsyslog TCP

    • Null byte -- 00

    • Nyrad -- \n – Välj det här alternativet för Graylog och Rsyslog TCP.

  4. Klicka på Fortsätt.

14

(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra:

app_datasource_connection_pool_maxStorlek: 10
15

Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton .

Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer.

16

Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

17

Gör en säkerhetskopia av ISO-filen på ditt lokala system.

Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

18

Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

Nästa steg

Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.

Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.

Installera HDS-värd-OVA

Använd denna procedur för att skapa en virtuell dator från OVA-filen.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden.

2

Välj Arkiv > Distribuera OVF-mall.

3

I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa.

4

På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa.

5

På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa.

En valideringskontroll körs. När den är klar visas mallinformationen.

6

Verifiera mallinformationen och klicka sedan på Nästa.

7

Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa.

8

På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn.

9

På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn.

10

Konfigurera följande nätverksinställningar på sidan Anpassa mall :

  • Värdnamn – ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

    • Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

    • För att säkerställa en lyckad registrering i molnet ska du endast använda gemener i det FQDN eller värdnamn som du har angett för noden. Det finns för närvarande inget stöd för versalisering.

    • Den totala längden på FQDN får inte överskrida 64 tecken.

  • IP-adress – ange IP-adressen för nodens interna gränssnitt.

    Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

  • Mask – Ange nätmaskens adress med decimalnotation. Till exempel 255.255.255.0.
  • Gateway – ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
  • DNS-servrar – Ange en kommaseparerad lista över DNS-servrar som hanterar översättning av domännamn till numeriska IP-adresser. (Upp till fyra DNS-poster tillåts.)
  • NTP-servrar – ange organisationens NTP-server eller en annan extern NTP-server som kan användas i organisationen. Standard-NTP-servrarna kanske inte fungerar för alla företag. Du kan även använda en kommaavgränsad lista för att ange flera NTP-servrar.

  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

11

Högerklicka på nodens VM och välj sedan Ström > Slå på.

Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

Felsökningstips

Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in.

Konfigurera VM för datasäkerhet för hybrid

Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

1

I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol .

VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
2

Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

  1. Inloggning: Administratör

  2. Lösenord: cisco

Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

3

Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn.

4

Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

5

(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy.

Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

6

Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla.

Ladda upp och montera ISO för HDS-konfiguration

Använd denna procedur för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

Innan du börjar

Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.

1

Ladda upp ISO-filen från datorn:

  1. Klicka på ESXi-servern i VMware vSphere-klientens vänstra navigeringspanel.

  2. På fliken Konfiguration klickar du på Lagring.

  3. Högerklicka på datalagret för dina VM-datorer i listan Datalager och klicka på Bläddra i datalager.

  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

  5. Bläddra till den plats där du hämtade ISO-filen på datorn och klicka på Öppna.

  6. Klicka på Ja för att godkänna varningen om uppladdning/hämtning och stäng dialogrutan för datalagring.

2

Montera ISO-filen:

  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  2. Klicka på OK för att godkänna varningen om begränsade redigeringsalternativ.

  3. Klicka på CD/DVD-enhet 1, välj alternativet att montera från en ISO-fil för datalager och bläddra till den plats där du överförde ISO-konfigurationsfilen.

  4. Markera Ansluten och Anslut vid påslagen.

  5. Spara ändringarna och starta om den virtuella datorn.

Nästa steg

Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.

Konfigurera HDS-noden för proxy-integrering

Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.

Innan du börjar

1

Skriv in URL: en för HDS-nodens konfiguration , https://[HDS nod IP eller FQDN]/Setup i en webbläsare, ange administratörs uppgifterna som du har angett för noden och klicka sedan på Logga in.

2

Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
  • Transparent proxy utan inspektion – noder är inte konfigurerade att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
  • Transparent inspekterande proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga ändringar av HTTPS-konfigurationen behövs för hybridens säkerhets distribution, men HDS-noderna behöver en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
  • Explicit proxy – Med explicit proxy talar du om för klienten (HDS-noder) vilken proxyserver som ska användas, och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxy Protocol – Välj http (visar och styr alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver har stöd för.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt för HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy.

3

Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn.

Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

4

Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn.

Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge.

5

När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

6

Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo.

Noden startas om inom några minuter.

7

När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

Registrera den första noden i klustret

Den här uppgiften tar den allmänna nod som du har skapat i Konfigurera VM för datasäkerhet för hybrid, registrerar noden i Webex-molnet och omvandlar den till en datasäkerhetsnod för hybrid.

När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera.

4

Klicka på Lägg till en resurs på sidan som öppnas.

5

I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till.

Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

6

I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen.

Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet.

Ett meddelande visas som anger att du kan registrera din nod till Webex.
7

Klicka på Gå till nod.

Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.

8

Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
9

Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.

Skapa och registrera fler noder

Om du vill lägga till ytterligare noder i ditt kluster skapar du bara ytterligare VM-datorer och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA.

2

Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet.

3

Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn.

4

Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

5

Registrera noden.

  1. I https://admin.webex.com väljer du Tjänster från menyn till vänster på skärmen.

  2. I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Visa alla.

    Sidan Hybrid-datasäkerhetsresurser visas.

  3. Det nyskapade klustret visas på sidan Resurser .

  4. Klicka på klustret för att visa de noder som tilldelats klustret.

  5. Klicka på Lägg till en nod till höger på skärmen.

  6. Ange din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klicka på Lägg till.

    En sida öppnas med ett meddelande som anger att du kan registrera din nod i Webex-molnet. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge organisationen behörighet att komma åt din nod.

  7. Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.

  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

    Popup-meddelandet Nod tillagd visas också längst ned på skärmen i partnerhubben.

    Din nod är registrerad.

Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid

Aktivera HDS för flera klienter i partnerhubben

Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.

Innan du börjar

Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

4

Klicka på Aktivera HDS på kortet HDS-status .

Lägg till klientorganisationer i Partner Hub

I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

Klicka på klustret som du vill att en kund ska tilldelas till.

5

Gå till fliken Tilldelade kunder .

6

Klicka på Lägg till kunder.

7

Välj kunden som du vill lägga till från rullgardinsmenyn.

8

Klicka på Lägg till, kunden kommer att läggas till i klustret.

9

Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster.

10

Klicka på Klar längst ner på skärmen när du har lagt till kunderna.

Nästa steg

Kör HDS-konfigurationsverktyget enligt beskrivningen i Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen.

Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget

Innan du börjar

Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

Se till att du är ansluten till databasen för att utföra CMK-hantering.
11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Skapa CMK för alla organisationer eller Skapa CMK – klicka på den här knappen på banderollen högst upp på skärmen för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Skapa CMK:er för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på nära CMK-hanteringens väntande status för en viss organisation i tabellen och klicka på Skapa CMK för att skapa CMK för den organisationen.
12

När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad.

13

Om CMK inte kan skapas visas ett fel.

Ta bort klientorganisationer

Innan du börjar

När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från.

5

Klicka på Tilldelade kunder på sidan som öppnas.

6

I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster.

Nästa steg

Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.

Återkalla CMK:er för klienter som tagits bort från HDS.

Innan du börjar

Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Återkalla CMK för alla ORGANISATIONER eller Återkalla CMK – klicka på den här knappen på banderollen högst upp på skärmen för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Återkalla CMK:er för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på nära statusen CMK som ska återkallas för en specifik organisation i tabellen och klicka på Återkalla CMK för att återkalla CMK för den specifika organisationen.
12

När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen.

13

Om CMK-återkallelsen misslyckas visas ett fel.

Testa din datasäkerhetsdistribution för hybrid

Testa din datasäkerhetsdistribution för hybrid

Använd denna procedur för att testa Hybrid-datasäkerhetskrypteringsscenarier för flera klienter.

Innan du börjar

  • Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.

  • Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.

1

Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme.

Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

2

Skicka meddelanden till det nya utrymmet.

3

Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet.

  1. För att kontrollera om en användare först har etablerat en säker kanal till KMS, filtrera på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bör hitta en post som följande (identifierare förkortas för läsbarhet):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriVärd=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=NYCKEL:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=hämta, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriVärd=ciscospark.com, kms.data.type=NYCKEL, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=skapa, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. För att söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller annan skyddad resurs skapas, filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

    Du ska nu hitta en post som till exempel följande: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_SAMLING, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Övervaka datasäkerhet för hybrid

En statusindikator i partnerhubben visar om allt är bra med Multi-Tenant-distributionen av Hybrid-datasäkerhet. Registrera dig för e-postaviseringar om du vill ha mer proaktiv avisering. Du meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
1

I Partner Hub väljer du Tjänster i menyn till vänster på skärmen.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

Sidan Inställningar för Hybrid-datasäkerhet visas.
3

I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

Hantera din HDS-distribution

Hantera HDS-distribution

Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.

Ställ in schema för klusteruppgradering

Programvaruuppgraderingar för Hybrid-datasäkerhet görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt klustrets uppgraderingsschema. När en programvaruuppgradering blir tillgänglig har du möjlighet att uppgradera klustret manuellt före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat 3:00 AM Daily USA: Amerika/Los Angeles. Du kan även välja att skjuta upp en kommande uppgradering om det behövs.

Så här ställer du in uppgraderingsschemat:

1

Logga in på Partner Hub.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera

4

Välj klustret på sidan Hybrid-datasäkerhetsresurser.

5

Klicka på fliken Klusterinställningar .

6

Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar.

Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar.

Ändra nodkonfigurationen

Ibland kan du behöva ändra konfigurationen av din Hybrid-datasäkerhetsnod av exempelvis:

  • Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.

    Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

  • Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.

  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:

  • Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.

  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.

Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

Innan du börjar

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.

1

Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

  1. På din dators kommandorad anger du lämpligt kommando för din miljö:

    I vanliga miljöer:

    docker rmi ciscocitg/hds-inställning: stable

    I FedRAMP-miljöer:

    docker rmi ciscocitg/hds-setup-fedramp: stable

    Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

  2. För att logga in på Docker-bildregistret anger du följande:

    docker inloggning -u hdscustomersro

  3. Vid lösenordsupp prompten anger du detta hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Hämta den senaste stabil bild för din miljö:

    I vanliga miljöer:

    docker pull ciscocitg/hds-inställning: stable

    I FedRAMP-miljöer:

    docker pull ciscocitg/hds-setup-fedramp: stable

    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

  5. När pull-in är slutförd anger du lämpligt kommando för din miljö:

    • I vanliga miljöer utan proxy:

      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljöer utan proxy:

      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    När behållaren körs ser du "Expressserverlyssning på port 8080".

  6. Använd en webbläsare för att ansluta till den lokalavärden, http://127.0.0.1:8080.

    Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

  7. Ange inloggningsuppgifterna för din partner Hub-kund när du uppmanas till det och klicka sedan på Godkänn för att fortsätta.

  8. Importera den aktuella ISO-konfigurationsfilen.

  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

    Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

2

Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

  1. Installera HDS-värden OVA.

  2. Konfigurera virtuell dator för HDS.

  3. Montera den uppdaterade konfigurationsfilen.

  4. Registrera den nya noden i partnerhubben.

3

Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod:

  1. Stäng av den virtuella datorn.

  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  3. Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

  4. Markera Anslut vid start.

  5. Spara ändringarna och slå på den virtuella datorn.

4

Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

Inaktivera blockerad extern DNS-Matchningstid

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.

Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.

Innan du börjar

Se till att dina interna DNS-servrar kan matcha allmänna DNS-namn och att noderna kan kommunicera med dem.
1

Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in.

2

Går du till Översikt (standard sidan).

När den är aktive rad är blockerad extern DNS-matchning inställd på Ja.

3

Går du till sidan betrodda certifikat \ proxy .

4

Klicka på kontrol lera proxy-anslutning.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej.

Nästa steg

Upprepa test av anslutnings proxy på alla noder i ditt data säkerhets kluster för Hybrid.

Ta bort en nod

Använd denna procedur för att ta bort en datasäkerhetsnod för hybrid från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

2

Ta bort noden:

  1. Logga in på partnerhubben och välj sedan Tjänster.

  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Datasäkerhetsresurser för hybrid.

  3. Välj ditt kluster för att visa dess översiktspanel.

  4. Klicka på noden som du vill ta bort.

  5. Klicka på Avregistrera den här noden i panelen som visas till höger

  6. Du kan också avregistrera noden genom att klicka på på nodens högra sida och välja Ta bort den här noden.

3

Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.)

Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata.

Katastrofåterställning med Standby-datacenter

Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.

Innan du börjar

Avregistrera alla noder från partnerhubben enligt beskrivningen i Ta bort en nod. Använd den senaste ISO-filen som konfigurerades mot noderna i det kluster som tidigare var aktiva för att utföra den redundans som nämns nedan.
1

Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

2

Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

3

Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

4

I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

5

Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager.

Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats.

6

Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter.

7

Registrera noden i partnerhubben. Se Registrera den första noden i klustret.

8

Upprepa processen för varje nod i datacentret för vänteläge.

Nästa steg

Efter redundans och om det primära datacentret blir aktivt igen, avregistrera du noderna för datacentret i vänteläge och upprepa processen för att konfigurera ISO och registrera noder för det primära datacentret enligt ovan.

(Valfritt) Avmontera ISO efter HDS-konfiguration

Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.

Innan du börjar

Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

1

Stäng av en av dina HDS-noder.

2

Välj HDS-noden i vCenter-serverenheten.

3

Välj Redigera inställningar > CD/DVD-enhet och avmarkera ISO-fil för datalager.

4

Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter.

5

Upprepa för varje HDS-nod i tur och ordning.

Felsök Hybrid-datasäkerhet

Visa aviseringar och felsökning

En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:

  • Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)

  • Meddelanden och utrymmetitlar kan inte avkrypteras för:

    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

    • Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)

  • Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna

Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.

Aviseringar

Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.

Tabell 1. Vanliga problem och steg för att lösa dem

Avisering

Åtgärd

Åtkomstfel i lokal databas.

Kontrollera om det finns databasfel eller problem med det lokala nätverket.

Anslutning till lokal databas misslyckades.

Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen.

Åtkomstfel för molntjänst.

Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning.

Förnyar registrering av molntjänster.

Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår.

Registreringen av molntjänsten har avbrutits.

Registrering till molntjänster har avslutats. Tjänsten stängs av.

Tjänsten är ännu inte aktiverad.

Aktivera HDS i partnerhubben.

Den konfigurerade domänen matchar inte servercertifikatet.

Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen.

Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen.

Det gick inte att autentisera till molntjänster.

Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla.

Det gick inte att öppna den lokala keystore-filen.

Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen.

Det lokala servercertifikatet är ogiltigt.

Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare.

Det gick inte att publicera mätvärden.

Kontrollera lokala nätverksåtkomst till externa molntjänster.

/media/configdrive/hds-katalogen finns inte.

Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras.

Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna

Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget.

Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna

Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget.

Felsök Hybrid-datasäkerhet

Använd följande allmänna riktlinjer vid felsökning av problem med Hybrid-datasäkerhet.
1

Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens.

2

Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning.

3

Kontakta Ciscos support.

Övriga anteckningar

Kända problem med Hybrid-datasäkerhet

  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.

  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).

Använd OpenSSL för att generera en PKCS12-fil

Innan du börjar

  • OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.

  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.

  • Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.

  • Skapa en privat nyckel.

  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

1

När du får servercertifikatet från din CA sparar du det som hdsnode.pem.

2

Visa certifikatet som text och verifiera informationen.

openssl x509 -text -noout -in hdsnode.pem

3

Använd en textredigerare för att skapa en fil med certifikatpaket som heter hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, eventuella mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

-----BEGIN CERTIFICATE------ ### Servercertifikat. ### -----END CERTIFICATE--------------  ### Mellanliggande CA-certifikat. ### -----END CERTIFICATE-----------  ### Rot-CA-certifikat. ### -----END CERTIFICATE------

4

Skapa .p12-filen med det vänliga namnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollera informationen om servercertifikatet.

  1. openssl pkcs12 -i hdsnode.p12

  2. Ange ett lösenord när du uppmanas att kryptera den privata nyckeln så att den listas i utmatningen. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

    Exempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Ange importlösenord: MAC-verifierade attribut för OK-väska vänligNamn: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nyckelattribut:  Ange lösenfras för PEM-pass: Verifierar – ange lösenordsfras för PEM: -----BÖRJA KRYPTERAD PRIVAT NYCKEL-----  -----END KRYPTERAD PRIVAT NYCKEL----- Bag-attribut vänligName: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE-----

Nästa steg

Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12 och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.

Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.

Trafik mellan HDS-noderna och molnet

Insamlingstrafik för utgående mätvärden

Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

Inkommande trafik

Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:

  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

  • Uppgraderingar av nodprogramvaran

Konfigurera squid-proxyservrar för Hybrid-datasäkerhet

WebSocket kan inte ansluta via squid proxy

Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS: trafik för att tjänsterna ska fungera korrekt.

Squid 4 och 5

Lägg till on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alla

Squid-3.5.27

Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla

Ny och ändrad information

Ny och ändrad information

Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.

Datum

Ändringar har gjorts

15 januari 2025

Lade till begränsningar för Hybrid-datasäkerhet för flera klienter.

08 januari 2025

Lade till en anteckning i Utför inledande konfiguration och hämta installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i partnerhubben.

07 januari 2025

Uppdaterade krav för virtuell värd, uppgiftsflöde för distribution av hybrid-datasäkerhet och installera HDS Host OVA för att visa nya krav för ESXi 7.0.

13 december 2024

Först publicerad.

Inaktivera Hybrid-datasäkerhet för flera klienter

Uppgiftsflöde för inaktivering av HDS för flera klienter

Följ dessa steg för att inaktivera HDS för flera klienter helt.

Innan du börjar

Den här uppgiften bör endast utföras av en fullständig partneradministratör.
1

Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer.

2

Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS..

3

Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod.

4

Ta bort alla dina kluster från partnerhubben med en av följande två metoder.

  • Klicka på det kluster som du vill ta bort och välj Ta bort detta kluster i det övre högra hörnet på översiktssidan.
  • På sidan Resurser klickar du på på höger sida av ett kluster och väljer Ta bort kluster.
5

Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet.

Kom igång med Hybrid-datasäkerhet för flera klienter

Översikt över datasäkerhet för flera klienter för hybrid

Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Kärnan i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.

Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.

Partnerorganisationer har kontroll över distribution och hantering men de har inte tillgång till data och innehåll som genereras av kunder. Denna åtkomst är begränsad till kundorganisationer och deras användare.

Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.

Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll

  • Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
  • Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
  • Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
  • Stöder mötes-, meddelande- och samtalsinnehåll.

Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.

Begränsningar för datasäkerhet för flera klienter för hybrid

  • Partnerorganisationer får inte ha någon befintlig HDS-distribution aktiv i Control Hub.
  • Klientorganisationer eller kundorganisationer som vill hanteras av en partner får inte ha någon befintlig HDS-distribution i Control Hub.
  • När Multi-Tenant HDS har distribuerats av partnern börjar alla användare i kundorganisationer och användare i partnerorganisationen använda Multi-Tenant HDS för sina krypteringstjänster.

    Partnerorganisationen och kundorganisationerna som de hanterar kommer att ha samma HDS-distribution för flera klienter.

    Partnerorganisationen kommer inte längre att använda moln-KMS när HDS för flera klienter har distribuerats.

  • Det finns ingen mekanism för att flytta nycklar tillbaka till moln-KMS efter en HDS-distribution.
  • För närvarande kan varje HDS-distribution med flera klienter endast ha ett kluster, med flera noder under det.
  • Administratörsroller har vissa begränsningar, se avsnittet nedan för mer information.

Roller i Hybrid-datasäkerhet för flera klienter

  • Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
  • Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
  • Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
  • Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
  • Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.

Säkerhetsarkitektur

Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

Separationsrealm (utan Hybrid-datasäkerhet)

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.

I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:

  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.

  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

  4. Det krypterade meddelandet lagras i lagringssfären.

När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.

Samarbeta med andra organisationer

Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.

Förväntningar på att distribuera Hybrid-datasäkerhet

En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.

För att distribuera Hybrid-datasäkerhet måste du ange:

Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

  • Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.

  • Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.

Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.

Installationsprocess på hög nivå

Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:

  • Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

    Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.

  • Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.

  • Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

Distributionsmodell för Hybrid-datasäkerhet

I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.

Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Distributionsmodell för Hybrid-datasäkerhet

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)

Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.

Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.

Standby-datacenter för katastrofåterställning

Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Före redundans har datacenter A aktiva HDS-noder och den primära PostgreSQL- eller Microsoft SQL Server-databasen, medan B har en kopia av ISO-filen med ytterligare konfigurationer, VM-datorer som är registrerade i organisationen och en databas för vänteläge. Efter redundans har datacenter B aktiva HDS-noder och den primära databasen, medan A har oregistrerade VM-datorer och en kopia av ISO-filen och databasen är i vänteläge.
Manuell redundans till datacenter för vänteläge

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.

De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.

Proxy-Support

Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.

Datanoderna för Hybrid har stöd för följande proxyinställningar:

  • Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.

  • Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.

  • Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).

  • Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:

      • HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.

      • HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt om du har valt HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

Exempel på data säkerhets noder och proxy för Hybrid

Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.

Förbered din miljö

Krav för datasäkerhet för flera klienter för hybrid

Cisco Webex-licenskrav

Så här distribuerar du Hybrid-datasäkerhet för flera klienter:

  • Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.

  • Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Skrivbordskrav för Docker

Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".

X.509-certifikatkrav

Certifikatkedjan måste uppfylla följande krav:

Tabell 1. X.509-certifikatkrav för Hybrid-datasäkerhetsdistribution

Krav

Detaljer

  • Signerat av en betrodd certifikatutfärdare (CA)

Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har ett gemensamt namn (CN)-domännamn som identifierar din datasäkerhetsdistribution för hybrid

  • Är inte ett jokertecken-certifikat

CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.företag.com.

CN får inte innehålla ett * (jokertecken).

CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet.

  • Signatur utan SHA1

KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS.

  • Formaterat som en lösenordsskyddad PKCS #12-fil

  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellanliggande certifikat att ladda upp.

Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

Krav för virtuell värd

De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

  • Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter

  • VMware ESXi 7.0 (eller senare) installerad och körs.

    Du måste uppgradera om du har en tidigare version av ESXi.

  • Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

Krav på databasserver

Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.

Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:

Tabell 2. Krav på databasserver efter typ av databas

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installerad och körs.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerad.

    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:

PostgreSQL

Microsoft SQL-server

Postgres JDBC-drivrutin 42.2.5

SQL Server JDBC-drivrutin 4.6

Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper).

Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

  • Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.

  • Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.

  • DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).

  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.

    HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.

Krav på extern anslutning

Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:

Program

Protokoll

Port

Riktning från appen

Destination

Datasäkerhetsnoder för hybrid

TCP

443

Utgående HTTPS och WSS

  • Webex-servrar:

    • *.wbx2.com

    • *.ciscospark.com

  • Alla värdar för Common Identity

  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster i Nätverkskrav för Webex-tjänster

Inställningsverktyg för HDS

TCP

443

Utgående HTTPS

  • *.wbx2.com

  • Alla värdar för Common Identity

  • hub.docker.com

Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.

URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:

Region

URL:er för Common Identity Host

Nord- och Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europeiska unionen

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Förenade Arabemiraten

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy Server krav

  • Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.

    • Transparent proxy – Cisco webb säkerhetsutrustning (WSA).

    • Explicit proxy – squid.

      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.

  • Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:

    • Ingen autentisering med HTTP eller HTTPS

    • Grundläggande autentisering med HTTP eller HTTPS

    • Digest-autentisering med endast HTTPS

  • För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.

  • Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.

  • Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till wbx2.com och ciscospark.com .

Uppfyll förutsättningarna för Hybrid-datasäkerhet

Använd den här checklistan för att säkerställa att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
1

Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen.

Kundorganisationer bör inte ha någon befintlig HDS-distribution.

2

Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och hämta en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i X.509-certifikatkrav.

3

Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd.

4

Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna.

  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.)

  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

    • värdnamnet eller IP-adressen (värd) och porten

    • namnet på databasen (dbname) för nyckellagring

    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

5

För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer.

6

Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514).

7

Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid.

Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet.

Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar.

8

Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning.

9

Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information.

För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning.

10

Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver.

Konfigurera ett datasäkerhetskluster för hybrid

Uppgiftsflöde för distribution av Hybrid-datasäkerhet

Innan du börjar

1

Utför initial konfiguration och hämta installationsfiler

Hämta OVA-filen till din lokala dator för senare användning.

2

Skapa en konfiguration-ISO för HDS-värdarna

Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid.

3

Installera HDS-värd-OVA

Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

4

Konfigurera VM för datasäkerhet för hybrid

Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

5

Ladda upp och montera ISO för HDS-konfiguration

Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget.

6

Konfigurera HDS-noden för proxy-integrering

Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs.

7

Registrera den första noden i klustret

Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

8

Skapa och registrera fler noder

Slutför klusterkonfigurationen.

9

Aktivera HDS för flera klienter i partnerhubben.

Aktivera HDS och hantera klientorganisationer i partnerhubben.

Utför initial konfiguration och hämta installationsfiler

I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.

1

Logga in på partnerhubben och klicka sedan på Tjänster.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera.

Att klicka på Konfigurera i partnerhubben är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra det här steget.

3

Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara .

Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på Inställningar > Hjälp > Hämta programvara för Hybrid-datasäkerhet.

OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
4

Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig.

Skapa en konfiguration-ISO för HDS-värdarna

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

Innan du börjar
1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import har du följande alternativ:

  • Nej – om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
  • Ja – om du redan har skapat HDS-noder väljer du din ISO-fil i bläddraren och överför den.
10

Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.

  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
  • Om certifikatet är OK klickar du på Fortsätt.
  • Om ditt certifikat har gått ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
11

Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager:

  1. Välj din databastyp (PostgreSQL eller Microsoft SQL Server).

    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

  2. (Endast Microsoft SQL Server ) Välj din autentiseringstyp:

    • Grundläggande autentisering: Du behöver ett lokalt SQL Server-kontonamn i fältet Användarnamn .

    • Windows-autentisering: Du behöver ett Windows-konto i formatet användarnamn@DOMÄN i fältet Användarnamn .

  3. Ange databasserveradressen i formatet : eller :.

    Exempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

  4. Ange databasnamnet.

  5. Ange Användarnamn och Lösenord för en användare med alla privilegier i databasen för nyckellagring.

12

Välj ett anslutningsläge för TLS-databasen:

Mode

Beskrivning

Föredra TLS (standardalternativ)

HDS-noder kräver inte att TLS ansluter till databasservern. Om du aktiverar TLS på databasservern försöker noderna med en krypterad anslutning.

Kräver TLS

HDS-noder ansluter endast om databasservern kan förhandla om TLS.

Kräv TLS och verifiera certifikat signering

Det här läget är inte tillämpligt för SQL Server-databaser.

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

Kräv TLS och verifiera certifikat signering och värdnamn

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databasvärd och -port . Namnen måste matcha exakt, eller så tappar noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.)

13

Konfigurera din Syslogd-server på sidan Systemloggar:

  1. Ange URL för syslog-servern.

    Om servern inte är DNS-lösbar från noderna till ditt HDS-kluster ska du använda en IP-adress i URL:en.

    Exempel:
    udp://10.92.43.23:514 indikerar loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.

  2. Om du konfigurerar servern för TLS-kryptering markerar du Är din syslog-server konfigurerad för SSL-kryptering?.

    Om du markerar den här kryssrutan ska du ange en TCP-URL som tcp://10.92.43.23:514.

  3. Från rullgardinsmenyn Välj avslutning av syslog-post väljer du lämplig inställning för din ISO-fil: Välj eller använd ny linje för Graylog och Rsyslog TCP

    • Null byte -- 00

    • Nyrad -- \n – Välj det här alternativet för Graylog och Rsyslog TCP.

  4. Klicka på Fortsätt.

14

(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra:

app_datasource_connection_pool_maxStorlek: 10
15

Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton .

Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer.

16

Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

17

Gör en säkerhetskopia av ISO-filen på ditt lokala system.

Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

18

Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

Nästa steg

Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.

Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.

Installera HDS-värd-OVA

Använd denna procedur för att skapa en virtuell dator från OVA-filen.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden.

2

Välj Arkiv > Distribuera OVF-mall.

3

I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa.

4

På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa.

5

På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa.

En valideringskontroll körs. När den är klar visas mallinformationen.

6

Verifiera mallinformationen och klicka sedan på Nästa.

7

Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa.

8

På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn.

9

På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn.

10

Konfigurera följande nätverksinställningar på sidan Anpassa mall :

  • Värdnamn – ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

    • Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

    • För att säkerställa en lyckad registrering i molnet ska du endast använda gemener i det FQDN eller värdnamn som du har angett för noden. Det finns för närvarande inget stöd för versalisering.

    • Den totala längden på FQDN får inte överskrida 64 tecken.

  • IP-adress – ange IP-adressen för nodens interna gränssnitt.

    Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

  • Mask – Ange nätmaskens adress med decimalnotation. Till exempel 255.255.255.0.
  • Gateway – ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
  • DNS-servrar – Ange en kommaseparerad lista över DNS-servrar som hanterar översättning av domännamn till numeriska IP-adresser. (Upp till fyra DNS-poster tillåts.)
  • NTP-servrar – ange organisationens NTP-server eller en annan extern NTP-server som kan användas i organisationen. Standard-NTP-servrarna kanske inte fungerar för alla företag. Du kan även använda en kommaavgränsad lista för att ange flera NTP-servrar.

  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

11

Högerklicka på nodens VM och välj sedan Ström > Slå på.

Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

Felsökningstips

Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in.

Konfigurera VM för datasäkerhet för hybrid

Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

1

I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol .

VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
2

Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

  1. Inloggning: Administratör

  2. Lösenord: cisco

Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

3

Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn.

4

Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

5

(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy.

Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

6

Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla.

Ladda upp och montera ISO för HDS-konfiguration

Använd denna procedur för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

Innan du börjar

Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.

1

Ladda upp ISO-filen från datorn:

  1. Klicka på ESXi-servern i VMware vSphere-klientens vänstra navigeringspanel.

  2. På fliken Konfiguration klickar du på Lagring.

  3. Högerklicka på datalagret för dina VM-datorer i listan Datalager och klicka på Bläddra i datalager.

  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

  5. Bläddra till den plats där du hämtade ISO-filen på datorn och klicka på Öppna.

  6. Klicka på Ja för att godkänna varningen om uppladdning/hämtning och stäng dialogrutan för datalagring.

2

Montera ISO-filen:

  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  2. Klicka på OK för att godkänna varningen om begränsade redigeringsalternativ.

  3. Klicka på CD/DVD-enhet 1, välj alternativet att montera från en ISO-fil för datalager och bläddra till den plats där du överförde ISO-konfigurationsfilen.

  4. Markera Ansluten och Anslut vid påslagen.

  5. Spara ändringarna och starta om den virtuella datorn.

Nästa steg

Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.

Konfigurera HDS-noden för proxy-integrering

Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.

Innan du börjar

1

Skriv in URL: en för HDS-nodens konfiguration , https://[HDS nod IP eller FQDN]/Setup i en webbläsare, ange administratörs uppgifterna som du har angett för noden och klicka sedan på Logga in.

2

Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
  • Transparent proxy utan inspektion – noder är inte konfigurerade att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
  • Transparent inspekterande proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga ändringar av HTTPS-konfigurationen behövs för hybridens säkerhets distribution, men HDS-noderna behöver en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
  • Explicit proxy – Med explicit proxy talar du om för klienten (HDS-noder) vilken proxyserver som ska användas, och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxy Protocol – Välj http (visar och styr alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver har stöd för.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt för HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy.

3

Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn.

Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

4

Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn.

Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge.

5

När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

6

Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo.

Noden startas om inom några minuter.

7

När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

Registrera den första noden i klustret

Den här uppgiften tar den allmänna nod som du har skapat i Konfigurera VM för datasäkerhet för hybrid, registrerar noden i Webex-molnet och omvandlar den till en datasäkerhetsnod för hybrid.

När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera.

4

Klicka på Lägg till en resurs på sidan som öppnas.

5

I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till.

Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

6

I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen.

Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet.

Ett meddelande visas som anger att du kan registrera din nod till Webex.
7

Klicka på Gå till nod.

Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.

8

Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
9

Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.

Skapa och registrera fler noder

Om du vill lägga till ytterligare noder i ditt kluster skapar du bara ytterligare VM-datorer och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA.

2

Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet.

3

Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn.

4

Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

5

Registrera noden.

  1. I https://admin.webex.com väljer du Tjänster från menyn till vänster på skärmen.

  2. I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Visa alla.

    Sidan Hybrid-datasäkerhetsresurser visas.

  3. Det nyskapade klustret visas på sidan Resurser .

  4. Klicka på klustret för att visa de noder som tilldelats klustret.

  5. Klicka på Lägg till en nod till höger på skärmen.

  6. Ange din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klicka på Lägg till.

    En sida öppnas med ett meddelande som anger att du kan registrera din nod i Webex-molnet. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge organisationen behörighet att komma åt din nod.

  7. Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.

  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

    Popup-meddelandet Nod tillagd visas också längst ned på skärmen i partnerhubben.

    Din nod är registrerad.

Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid

Aktivera HDS för flera klienter i partnerhubben

Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.

Innan du börjar

Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

4

Klicka på Aktivera HDS på kortet HDS-status .

Lägg till klientorganisationer i Partner Hub

I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

Klicka på klustret som du vill att en kund ska tilldelas till.

5

Gå till fliken Tilldelade kunder .

6

Klicka på Lägg till kunder.

7

Välj kunden som du vill lägga till från rullgardinsmenyn.

8

Klicka på Lägg till, kunden kommer att läggas till i klustret.

9

Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster.

10

Klicka på Klar längst ner på skärmen när du har lagt till kunderna.

Nästa steg

Kör HDS-konfigurationsverktyget enligt beskrivningen i Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen.

Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget

Innan du börjar

Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

Se till att du är ansluten till databasen för att utföra CMK-hantering.
11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Skapa CMK för alla organisationer eller Skapa CMK – klicka på den här knappen på banderollen högst upp på skärmen för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Skapa CMK:er för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på nära CMK-hanteringens väntande status för en viss organisation i tabellen och klicka på Skapa CMK för att skapa CMK för den organisationen.
12

När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad.

13

Om CMK inte kan skapas visas ett fel.

Ta bort klientorganisationer

Innan du börjar

När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från.

5

Klicka på Tilldelade kunder på sidan som öppnas.

6

I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster.

Nästa steg

Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.

Återkalla CMK:er för klienter som tagits bort från HDS.

Innan du börjar

Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Återkalla CMK för alla ORGANISATIONER eller Återkalla CMK – klicka på den här knappen på banderollen högst upp på skärmen för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Återkalla CMK:er för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på nära statusen CMK som ska återkallas för en specifik organisation i tabellen och klicka på Återkalla CMK för att återkalla CMK för den specifika organisationen.
12

När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen.

13

Om CMK-återkallelsen misslyckas visas ett fel.

Testa din datasäkerhetsdistribution för hybrid

Testa din datasäkerhetsdistribution för hybrid

Använd denna procedur för att testa Hybrid-datasäkerhetskrypteringsscenarier för flera klienter.

Innan du börjar

  • Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.

  • Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.

1

Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme.

Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

2

Skicka meddelanden till det nya utrymmet.

3

Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet.

  1. För att kontrollera om en användare först har etablerat en säker kanal till KMS, filtrera på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bör hitta en post som följande (identifierare förkortas för läsbarhet):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriVärd=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=NYCKEL:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=hämta, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriVärd=ciscospark.com, kms.data.type=NYCKEL, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=skapa, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. För att söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller annan skyddad resurs skapas, filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

    Du ska nu hitta en post som till exempel följande: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_SAMLING, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Övervaka datasäkerhet för hybrid

En statusindikator i partnerhubben visar om allt är bra med Multi-Tenant-distributionen av Hybrid-datasäkerhet. Registrera dig för e-postaviseringar om du vill ha mer proaktiv avisering. Du meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
1

I Partner Hub väljer du Tjänster i menyn till vänster på skärmen.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

Sidan Inställningar för Hybrid-datasäkerhet visas.
3

I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

Hantera din HDS-distribution

Hantera HDS-distribution

Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.

Ställ in schema för klusteruppgradering

Programvaruuppgraderingar för Hybrid-datasäkerhet görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt klustrets uppgraderingsschema. När en programvaruuppgradering blir tillgänglig har du möjlighet att uppgradera klustret manuellt före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat 3:00 AM Daily USA: Amerika/Los Angeles. Du kan även välja att skjuta upp en kommande uppgradering om det behövs.

Så här ställer du in uppgraderingsschemat:

1

Logga in på Partner Hub.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera

4

Välj klustret på sidan Hybrid-datasäkerhetsresurser.

5

Klicka på fliken Klusterinställningar .

6

Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar.

Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar.

Ändra nodkonfigurationen

Ibland kan du behöva ändra konfigurationen av din Hybrid-datasäkerhetsnod av exempelvis:

  • Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.

    Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

  • Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.

  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:

  • Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.

  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.

Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

Innan du börjar

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.

1

Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

  1. På din dators kommandorad anger du lämpligt kommando för din miljö:

    I vanliga miljöer:

    docker rmi ciscocitg/hds-inställning: stable

    I FedRAMP-miljöer:

    docker rmi ciscocitg/hds-setup-fedramp: stable

    Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

  2. För att logga in på Docker-bildregistret anger du följande:

    docker inloggning -u hdscustomersro

  3. Vid lösenordsupp prompten anger du detta hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Hämta den senaste stabil bild för din miljö:

    I vanliga miljöer:

    docker pull ciscocitg/hds-inställning: stable

    I FedRAMP-miljöer:

    docker pull ciscocitg/hds-setup-fedramp: stable

    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

  5. När pull-in är slutförd anger du lämpligt kommando för din miljö:

    • I vanliga miljöer utan proxy:

      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljöer utan proxy:

      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    När behållaren körs ser du "Expressserverlyssning på port 8080".

  6. Använd en webbläsare för att ansluta till den lokalavärden, http://127.0.0.1:8080.

    Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

  7. Ange inloggningsuppgifterna för din partner Hub-kund när du uppmanas till det och klicka sedan på Godkänn för att fortsätta.

  8. Importera den aktuella ISO-konfigurationsfilen.

  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

    Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

2

Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

  1. Installera HDS-värden OVA.

  2. Konfigurera virtuell dator för HDS.

  3. Montera den uppdaterade konfigurationsfilen.

  4. Registrera den nya noden i partnerhubben.

3

Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod:

  1. Stäng av den virtuella datorn.

  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  3. Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

  4. Markera Anslut vid start.

  5. Spara ändringarna och slå på den virtuella datorn.

4

Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

Inaktivera blockerad extern DNS-Matchningstid

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.

Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.

Innan du börjar

Se till att dina interna DNS-servrar kan matcha allmänna DNS-namn och att noderna kan kommunicera med dem.
1

Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in.

2

Går du till Översikt (standard sidan).

När den är aktive rad är blockerad extern DNS-matchning inställd på Ja.

3

Går du till sidan betrodda certifikat \ proxy .

4

Klicka på kontrol lera proxy-anslutning.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej.

Nästa steg

Upprepa test av anslutnings proxy på alla noder i ditt data säkerhets kluster för Hybrid.

Ta bort en nod

Använd denna procedur för att ta bort en datasäkerhetsnod för hybrid från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

2

Ta bort noden:

  1. Logga in på partnerhubben och välj sedan Tjänster.

  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Datasäkerhetsresurser för hybrid.

  3. Välj ditt kluster för att visa dess översiktspanel.

  4. Klicka på noden som du vill ta bort.

  5. Klicka på Avregistrera den här noden i panelen som visas till höger

  6. Du kan också avregistrera noden genom att klicka på på nodens högra sida och välja Ta bort den här noden.

3

Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.)

Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata.

Katastrofåterställning med Standby-datacenter

Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.

Innan du börjar

Avregistrera alla noder från partnerhubben enligt beskrivningen i Ta bort en nod. Använd den senaste ISO-filen som konfigurerades mot noderna i det kluster som tidigare var aktiva för att utföra den redundans som nämns nedan.
1

Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

2

Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

3

Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

4

I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

5

Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager.

Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats.

6

Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter.

7

Registrera noden i partnerhubben. Se Registrera den första noden i klustret.

8

Upprepa processen för varje nod i datacentret för vänteläge.

Nästa steg

Efter redundans och om det primära datacentret blir aktivt igen, avregistrera du noderna för datacentret i vänteläge och upprepa processen för att konfigurera ISO och registrera noder för det primära datacentret enligt ovan.

(Valfritt) Avmontera ISO efter HDS-konfiguration

Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.

Innan du börjar

Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

1

Stäng av en av dina HDS-noder.

2

Välj HDS-noden i vCenter-serverenheten.

3

Välj Redigera inställningar > CD/DVD-enhet och avmarkera ISO-fil för datalager.

4

Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter.

5

Upprepa för varje HDS-nod i tur och ordning.

Felsök Hybrid-datasäkerhet

Visa aviseringar och felsökning

En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:

  • Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)

  • Meddelanden och utrymmetitlar kan inte avkrypteras för:

    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

    • Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)

  • Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna

Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.

Aviseringar

Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.

Tabell 1. Vanliga problem och steg för att lösa dem

Avisering

Åtgärd

Åtkomstfel i lokal databas.

Kontrollera om det finns databasfel eller problem med det lokala nätverket.

Anslutning till lokal databas misslyckades.

Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen.

Åtkomstfel för molntjänst.

Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning.

Förnyar registrering av molntjänster.

Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår.

Registreringen av molntjänsten har avbrutits.

Registrering till molntjänster har avslutats. Tjänsten stängs av.

Tjänsten är ännu inte aktiverad.

Aktivera HDS i partnerhubben.

Den konfigurerade domänen matchar inte servercertifikatet.

Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen.

Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen.

Det gick inte att autentisera till molntjänster.

Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla.

Det gick inte att öppna den lokala keystore-filen.

Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen.

Det lokala servercertifikatet är ogiltigt.

Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare.

Det gick inte att publicera mätvärden.

Kontrollera lokala nätverksåtkomst till externa molntjänster.

/media/configdrive/hds-katalogen finns inte.

Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras.

Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna

Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget.

Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna

Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget.

Felsök Hybrid-datasäkerhet

Använd följande allmänna riktlinjer vid felsökning av problem med Hybrid-datasäkerhet.
1

Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens.

2

Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning.

3

Kontakta Ciscos support.

Övriga anteckningar

Kända problem med Hybrid-datasäkerhet

  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.

  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).

Använd OpenSSL för att generera en PKCS12-fil

Innan du börjar

  • OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.

  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.

  • Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.

  • Skapa en privat nyckel.

  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

1

När du får servercertifikatet från din CA sparar du det som hdsnode.pem.

2

Visa certifikatet som text och verifiera informationen.

openssl x509 -text -noout -in hdsnode.pem

3

Använd en textredigerare för att skapa en fil med certifikatpaket som heter hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, eventuella mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

-----BEGIN CERTIFICATE------ ### Servercertifikat. ### -----END CERTIFICATE--------------  ### Mellanliggande CA-certifikat. ### -----END CERTIFICATE-----------  ### Rot-CA-certifikat. ### -----END CERTIFICATE------

4

Skapa .p12-filen med det vänliga namnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollera informationen om servercertifikatet.

  1. openssl pkcs12 -i hdsnode.p12

  2. Ange ett lösenord när du uppmanas att kryptera den privata nyckeln så att den listas i utmatningen. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

    Exempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Ange importlösenord: MAC-verifierade attribut för OK-väska vänligNamn: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nyckelattribut:  Ange lösenfras för PEM-pass: Verifierar – ange lösenordsfras för PEM: -----BÖRJA KRYPTERAD PRIVAT NYCKEL-----  -----END KRYPTERAD PRIVAT NYCKEL----- Bag-attribut vänligName: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE-----

Nästa steg

Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12 och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.

Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.

Trafik mellan HDS-noderna och molnet

Insamlingstrafik för utgående mätvärden

Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

Inkommande trafik

Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:

  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

  • Uppgraderingar av nodprogramvaran

Konfigurera squid-proxyservrar för Hybrid-datasäkerhet

WebSocket kan inte ansluta via squid proxy

Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS: trafik för att tjänsterna ska fungera korrekt.

Squid 4 och 5

Lägg till on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alla

Squid-3.5.27

Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla

Ny och ändrad information

Ny och ändrad information

Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.

Datum

Ändringar har gjorts

30 januari 2025

Lade till SQL-serverversion 2022 i listan över SQL-servrar som stöds i Databasserverkrav.

15 januari 2025

Lade till begränsningar för Hybrid-datasäkerhet för flera klienter.

08 januari 2025

Lade till en anteckning i Utför inledande konfiguration och hämta installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i partnerhubben.

07 januari 2025

Uppdaterade krav för virtuell värd, uppgiftsflöde för distribution av hybrid-datasäkerhet och installera HDS Host OVA för att visa nya krav för ESXi 7.0.

13 december 2024

Först publicerad.

Inaktivera Hybrid-datasäkerhet för flera klienter

Uppgiftsflöde för inaktivering av HDS för flera klienter

Följ dessa steg för att inaktivera HDS för flera klienter helt.

Innan du börjar

Den här uppgiften bör endast utföras av en fullständig partneradministratör.
1

Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer.

2

Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS..

3

Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod.

4

Ta bort alla dina kluster från partnerhubben med en av följande två metoder.

  • Klicka på det kluster som du vill ta bort och välj Ta bort detta kluster i det övre högra hörnet på översiktssidan.
  • På sidan Resurser klickar du på på höger sida av ett kluster och väljer Ta bort kluster.
5

Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet.

Kom igång med Hybrid-datasäkerhet för flera klienter

Översikt över datasäkerhet för flera klienter för hybrid

Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Kärnan i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.

Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.

Partnerorganisationer har kontroll över distribution och hantering men de har inte tillgång till data och innehåll som genereras av kunder. Denna åtkomst är begränsad till kundorganisationer och deras användare.

Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.

Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll

  • Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
  • Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
  • Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
  • Stöder mötes-, meddelande- och samtalsinnehåll.

Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.

Begränsningar för datasäkerhet för flera klienter för hybrid

  • Partnerorganisationer får inte ha någon befintlig HDS-distribution aktiv i Control Hub.
  • Klientorganisationer eller kundorganisationer som vill hanteras av en partner får inte ha någon befintlig HDS-distribution i Control Hub.
  • När Multi-Tenant HDS har distribuerats av partnern börjar alla användare i kundorganisationer och användare i partnerorganisationen använda Multi-Tenant HDS för sina krypteringstjänster.

    Partnerorganisationen och kundorganisationerna som de hanterar kommer att ha samma HDS-distribution för flera klienter.

    Partnerorganisationen kommer inte längre att använda moln-KMS när HDS för flera klienter har distribuerats.

  • Det finns ingen mekanism för att flytta nycklar tillbaka till moln-KMS efter en HDS-distribution.
  • För närvarande kan varje HDS-distribution med flera klienter endast ha ett kluster, med flera noder under det.
  • Administratörsroller har vissa begränsningar, se avsnittet nedan för mer information.

Roller i Hybrid-datasäkerhet för flera klienter

  • Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
  • Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
  • Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
  • Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
  • Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.

Säkerhetsarkitektur

Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

Separationsrealm (utan Hybrid-datasäkerhet)

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.

I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:

  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.

  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

  4. Det krypterade meddelandet lagras i lagringssfären.

När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.

Samarbeta med andra organisationer

Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.

Förväntningar på att distribuera Hybrid-datasäkerhet

En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.

För att distribuera Hybrid-datasäkerhet måste du ange:

Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

  • Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.

  • Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.

Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.

Installationsprocess på hög nivå

Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:

  • Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

    Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.

  • Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.

  • Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

Distributionsmodell för Hybrid-datasäkerhet

I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.

Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Distributionsmodell för Hybrid-datasäkerhet

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)

Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.

Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.

Standby-datacenter för katastrofåterställning

Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Före redundans har datacenter A aktiva HDS-noder och den primära PostgreSQL- eller Microsoft SQL Server-databasen, medan B har en kopia av ISO-filen med ytterligare konfigurationer, VM-datorer som är registrerade i organisationen och en databas för vänteläge. Efter redundans har datacenter B aktiva HDS-noder och den primära databasen, medan A har oregistrerade VM-datorer och en kopia av ISO-filen och databasen är i vänteläge.
Manuell redundans till datacenter för vänteläge

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.

De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.

Proxy-Support

Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.

Datanoderna för Hybrid har stöd för följande proxyinställningar:

  • Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.

  • Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.

  • Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).

  • Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:

      • HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.

      • HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt om du har valt HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

Exempel på data säkerhets noder och proxy för Hybrid

Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.

Förbered din miljö

Krav för datasäkerhet för flera klienter för hybrid

Cisco Webex-licenskrav

Så här distribuerar du Hybrid-datasäkerhet för flera klienter:

  • Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.

  • Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Skrivbordskrav för Docker

Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".

X.509-certifikatkrav

Certifikatkedjan måste uppfylla följande krav:

Tabell 1. X.509-certifikatkrav för Hybrid-datasäkerhetsdistribution

Krav

Detaljer

  • Signerat av en betrodd certifikatutfärdare (CA)

Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har ett gemensamt namn (CN)-domännamn som identifierar din datasäkerhetsdistribution för hybrid

  • Är inte ett jokertecken-certifikat

CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.företag.com.

CN får inte innehålla ett * (jokertecken).

CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet.

  • Signatur utan SHA1

KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS.

  • Formaterat som en lösenordsskyddad PKCS #12-fil

  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellanliggande certifikat att ladda upp.

Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

Krav för virtuell värd

De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

  • Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter

  • VMware ESXi 7.0 (eller senare) installerad och körs.

    Du måste uppgradera om du har en tidigare version av ESXi.

  • Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

Krav på databasserver

Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.

Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:

Tabell 2. Krav på databasserver efter typ av databas

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installerad och körs.

  • SQL Server 2016, 2017, 2019 eller 2022 (Enterprise eller Standard) installerad.

    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:

PostgreSQL

Microsoft SQL-server

Postgres JDBC-drivrutin 42.2.5

SQL Server JDBC-drivrutin 4.6

Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper).

Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

  • Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.

  • Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.

  • DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).

  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.

    HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.

Krav på extern anslutning

Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:

Program

Protokoll

Port

Riktning från appen

Destination

Datasäkerhetsnoder för hybrid

TCP

443

Utgående HTTPS och WSS

  • Webex-servrar:

    • *.wbx2.com

    • *.ciscospark.com

  • Alla värdar för Common Identity

  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster i Nätverkskrav för Webex-tjänster

Inställningsverktyg för HDS

TCP

443

Utgående HTTPS

  • *.wbx2.com

  • Alla värdar för Common Identity

  • hub.docker.com

Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.

URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:

Region

URL:er för Common Identity Host

Nord- och Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europeiska unionen

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Förenade Arabemiraten

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy Server krav

  • Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.

    • Transparent proxy – Cisco webb säkerhetsutrustning (WSA).

    • Explicit proxy – squid.

      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.

  • Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:

    • Ingen autentisering med HTTP eller HTTPS

    • Grundläggande autentisering med HTTP eller HTTPS

    • Digest-autentisering med endast HTTPS

  • För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.

  • Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.

  • Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till wbx2.com och ciscospark.com .

Uppfyll förutsättningarna för Hybrid-datasäkerhet

Använd den här checklistan för att säkerställa att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
1

Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen.

Kundorganisationer bör inte ha någon befintlig HDS-distribution.

2

Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och hämta en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i X.509-certifikatkrav.

3

Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd.

4

Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna.

  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.)

  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

    • värdnamnet eller IP-adressen (värd) och porten

    • namnet på databasen (dbname) för nyckellagring

    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

5

För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer.

6

Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514).

7

Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid.

Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet.

Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar.

8

Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning.

9

Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information.

För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning.

10

Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver.

Konfigurera ett datasäkerhetskluster för hybrid

Uppgiftsflöde för distribution av Hybrid-datasäkerhet

Innan du börjar

1

Utför initial konfiguration och hämta installationsfiler

Hämta OVA-filen till din lokala dator för senare användning.

2

Skapa en konfiguration-ISO för HDS-värdarna

Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid.

3

Installera HDS-värd-OVA

Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

4

Konfigurera VM för datasäkerhet för hybrid

Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

5

Ladda upp och montera ISO för HDS-konfiguration

Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget.

6

Konfigurera HDS-noden för proxy-integrering

Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs.

7

Registrera den första noden i klustret

Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

8

Skapa och registrera fler noder

Slutför klusterkonfigurationen.

9

Aktivera HDS för flera klienter i partnerhubben.

Aktivera HDS och hantera klientorganisationer i partnerhubben.

Utför initial konfiguration och hämta installationsfiler

I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.

1

Logga in på partnerhubben och klicka sedan på Tjänster.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera.

Att klicka på Konfigurera i partnerhubben är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra det här steget.

3

Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara .

Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på Inställningar > Hjälp > Hämta programvara för Hybrid-datasäkerhet.

OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
4

Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig.

Skapa en konfiguration-ISO för HDS-värdarna

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

Innan du börjar
1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import har du följande alternativ:

  • Nej – om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
  • Ja – om du redan har skapat HDS-noder väljer du din ISO-fil i bläddraren och överför den.
10

Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.

  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
  • Om certifikatet är OK klickar du på Fortsätt.
  • Om ditt certifikat har gått ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
11

Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager:

  1. Välj din databastyp (PostgreSQL eller Microsoft SQL Server).

    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

  2. (Endast Microsoft SQL Server ) Välj din autentiseringstyp:

    • Grundläggande autentisering: Du behöver ett lokalt SQL Server-kontonamn i fältet Användarnamn .

    • Windows-autentisering: Du behöver ett Windows-konto i formatet användarnamn@DOMÄN i fältet Användarnamn .

  3. Ange databasserveradressen i formatet : eller :.

    Exempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

  4. Ange databasnamnet.

  5. Ange Användarnamn och Lösenord för en användare med alla privilegier i databasen för nyckellagring.

12

Välj ett anslutningsläge för TLS-databasen:

Mode

Beskrivning

Föredra TLS (standardalternativ)

HDS-noder kräver inte att TLS ansluter till databasservern. Om du aktiverar TLS på databasservern försöker noderna med en krypterad anslutning.

Kräver TLS

HDS-noder ansluter endast om databasservern kan förhandla om TLS.

Kräv TLS och verifiera certifikat signering

Det här läget är inte tillämpligt för SQL Server-databaser.

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

Kräv TLS och verifiera certifikat signering och värdnamn

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databasvärd och -port . Namnen måste matcha exakt, eller så tappar noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.)

13

Konfigurera din Syslogd-server på sidan Systemloggar:

  1. Ange URL för syslog-servern.

    Om servern inte är DNS-lösbar från noderna till ditt HDS-kluster ska du använda en IP-adress i URL:en.

    Exempel:
    udp://10.92.43.23:514 indikerar loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.

  2. Om du konfigurerar servern för TLS-kryptering markerar du Är din syslog-server konfigurerad för SSL-kryptering?.

    Om du markerar den här kryssrutan ska du ange en TCP-URL som tcp://10.92.43.23:514.

  3. Från rullgardinsmenyn Välj avslutning av syslog-post väljer du lämplig inställning för din ISO-fil: Välj eller använd ny linje för Graylog och Rsyslog TCP

    • Null byte -- 00

    • Nyrad -- \n – Välj det här alternativet för Graylog och Rsyslog TCP.

  4. Klicka på Fortsätt.

14

(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra:

app_datasource_connection_pool_maxStorlek: 10
15

Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton .

Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer.

16

Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

17

Gör en säkerhetskopia av ISO-filen på ditt lokala system.

Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

18

Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

Nästa steg

Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.

Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.

Installera HDS-värd-OVA

Använd denna procedur för att skapa en virtuell dator från OVA-filen.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden.

2

Välj Arkiv > Distribuera OVF-mall.

3

I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa.

4

På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa.

5

På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa.

En valideringskontroll körs. När den är klar visas mallinformationen.

6

Verifiera mallinformationen och klicka sedan på Nästa.

7

Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa.

8

På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn.

9

På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn.

10

Konfigurera följande nätverksinställningar på sidan Anpassa mall :

  • Värdnamn – ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

    • Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

    • För att säkerställa en lyckad registrering i molnet ska du endast använda gemener i det FQDN eller värdnamn som du har angett för noden. Det finns för närvarande inget stöd för versalisering.

    • Den totala längden på FQDN får inte överskrida 64 tecken.

  • IP-adress – ange IP-adressen för nodens interna gränssnitt.

    Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

  • Mask – Ange nätmaskens adress med decimalnotation. Till exempel 255.255.255.0.
  • Gateway – ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
  • DNS-servrar – Ange en kommaseparerad lista över DNS-servrar som hanterar översättning av domännamn till numeriska IP-adresser. (Upp till fyra DNS-poster tillåts.)
  • NTP-servrar – ange organisationens NTP-server eller en annan extern NTP-server som kan användas i organisationen. Standard-NTP-servrarna kanske inte fungerar för alla företag. Du kan även använda en kommaavgränsad lista för att ange flera NTP-servrar.

  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

11

Högerklicka på nodens VM och välj sedan Ström > Slå på.

Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

Felsökningstips

Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in.

Konfigurera VM för datasäkerhet för hybrid

Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

1

I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol .

VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
2

Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

  1. Inloggning: Administratör

  2. Lösenord: cisco

Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

3

Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn.

4

Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

5

(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy.

Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

6

Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla.

Ladda upp och montera ISO för HDS-konfiguration

Använd denna procedur för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

Innan du börjar

Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.

1

Ladda upp ISO-filen från datorn:

  1. Klicka på ESXi-servern i VMware vSphere-klientens vänstra navigeringspanel.

  2. På fliken Konfiguration klickar du på Lagring.

  3. Högerklicka på datalagret för dina VM-datorer i listan Datalager och klicka på Bläddra i datalager.

  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

  5. Bläddra till den plats där du hämtade ISO-filen på datorn och klicka på Öppna.

  6. Klicka på Ja för att godkänna varningen om uppladdning/hämtning och stäng dialogrutan för datalagring.

2

Montera ISO-filen:

  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  2. Klicka på OK för att godkänna varningen om begränsade redigeringsalternativ.

  3. Klicka på CD/DVD-enhet 1, välj alternativet att montera från en ISO-fil för datalager och bläddra till den plats där du överförde ISO-konfigurationsfilen.

  4. Markera Ansluten och Anslut vid påslagen.

  5. Spara ändringarna och starta om den virtuella datorn.

Nästa steg

Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.

Konfigurera HDS-noden för proxy-integrering

Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.

Innan du börjar

1

Skriv in URL: en för HDS-nodens konfiguration , https://[HDS nod IP eller FQDN]/Setup i en webbläsare, ange administratörs uppgifterna som du har angett för noden och klicka sedan på Logga in.

2

Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
  • Transparent proxy utan inspektion – noder är inte konfigurerade att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
  • Transparent inspekterande proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga ändringar av HTTPS-konfigurationen behövs för hybridens säkerhets distribution, men HDS-noderna behöver en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
  • Explicit proxy – Med explicit proxy talar du om för klienten (HDS-noder) vilken proxyserver som ska användas, och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxy Protocol – Välj http (visar och styr alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver har stöd för.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt för HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy.

3

Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn.

Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

4

Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn.

Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge.

5

När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

6

Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo.

Noden startas om inom några minuter.

7

När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

Registrera den första noden i klustret

Den här uppgiften tar den allmänna nod som du har skapat i Konfigurera VM för datasäkerhet för hybrid, registrerar noden i Webex-molnet och omvandlar den till en datasäkerhetsnod för hybrid.

När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera.

4

Klicka på Lägg till en resurs på sidan som öppnas.

5

I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till.

Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

6

I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen.

Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet.

Ett meddelande visas som anger att du kan registrera din nod till Webex.
7

Klicka på Gå till nod.

Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.

8

Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
9

Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.

Skapa och registrera fler noder

Om du vill lägga till ytterligare noder i ditt kluster skapar du bara ytterligare VM-datorer och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA.

2

Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet.

3

Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn.

4

Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

5

Registrera noden.

  1. I https://admin.webex.com väljer du Tjänster från menyn till vänster på skärmen.

  2. I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Visa alla.

    Sidan Hybrid-datasäkerhetsresurser visas.

  3. Det nyskapade klustret visas på sidan Resurser .

  4. Klicka på klustret för att visa de noder som tilldelats klustret.

  5. Klicka på Lägg till en nod till höger på skärmen.

  6. Ange din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klicka på Lägg till.

    En sida öppnas med ett meddelande som anger att du kan registrera din nod i Webex-molnet. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge organisationen behörighet att komma åt din nod.

  7. Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.

  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

    Popup-meddelandet Nod tillagd visas också längst ned på skärmen i partnerhubben.

    Din nod är registrerad.

Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid

Aktivera HDS för flera klienter i partnerhubben

Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.

Innan du börjar

Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

4

Klicka på Aktivera HDS på kortet HDS-status .

Lägg till klientorganisationer i Partner Hub

I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

Klicka på klustret som du vill att en kund ska tilldelas till.

5

Gå till fliken Tilldelade kunder .

6

Klicka på Lägg till kunder.

7

Välj kunden som du vill lägga till från rullgardinsmenyn.

8

Klicka på Lägg till, kunden kommer att läggas till i klustret.

9

Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster.

10

Klicka på Klar längst ner på skärmen när du har lagt till kunderna.

Nästa steg

Kör HDS-konfigurationsverktyget enligt beskrivningen i Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen.

Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget

Innan du börjar

Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

Se till att du är ansluten till databasen för att utföra CMK-hantering.
11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Skapa CMK för alla organisationer eller Skapa CMK – klicka på den här knappen på banderollen högst upp på skärmen för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Skapa CMK:er för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på nära CMK-hanteringens väntande status för en viss organisation i tabellen och klicka på Skapa CMK för att skapa CMK för den organisationen.
12

När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad.

13

Om CMK inte kan skapas visas ett fel.

Ta bort klientorganisationer

Innan du börjar

När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från.

5

Klicka på Tilldelade kunder på sidan som öppnas.

6

I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster.

Nästa steg

Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.

Återkalla CMK:er för klienter som tagits bort från HDS.

Innan du börjar

Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Återkalla CMK för alla ORGANISATIONER eller Återkalla CMK – klicka på den här knappen på banderollen högst upp på skärmen för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Återkalla CMK:er för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på nära statusen CMK som ska återkallas för en specifik organisation i tabellen och klicka på Återkalla CMK för att återkalla CMK för den specifika organisationen.
12

När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen.

13

Om CMK-återkallelsen misslyckas visas ett fel.

Testa din datasäkerhetsdistribution för hybrid

Testa din datasäkerhetsdistribution för hybrid

Använd denna procedur för att testa Hybrid-datasäkerhetskrypteringsscenarier för flera klienter.

Innan du börjar

  • Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.

  • Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.

1

Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme.

Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

2

Skicka meddelanden till det nya utrymmet.

3

Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet.

  1. För att kontrollera om en användare först har etablerat en säker kanal till KMS, filtrera på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bör hitta en post som följande (identifierare förkortas för läsbarhet):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriVärd=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=NYCKEL:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=hämta, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriVärd=ciscospark.com, kms.data.type=NYCKEL, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=skapa, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. För att söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller annan skyddad resurs skapas, filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

    Du ska nu hitta en post som till exempel följande: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_SAMLING, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Övervaka datasäkerhet för hybrid

En statusindikator i partnerhubben visar om allt är bra med Multi-Tenant-distributionen av Hybrid-datasäkerhet. Registrera dig för e-postaviseringar om du vill ha mer proaktiv avisering. Du meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
1

I Partner Hub väljer du Tjänster i menyn till vänster på skärmen.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

Sidan Inställningar för Hybrid-datasäkerhet visas.
3

I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

Hantera din HDS-distribution

Hantera HDS-distribution

Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.

Ställ in schema för klusteruppgradering

Programvaruuppgraderingar för Hybrid-datasäkerhet görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt klustrets uppgraderingsschema. När en programvaruuppgradering blir tillgänglig har du möjlighet att uppgradera klustret manuellt före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat 3:00 AM Daily USA: Amerika/Los Angeles. Du kan även välja att skjuta upp en kommande uppgradering om det behövs.

Så här ställer du in uppgraderingsschemat:

1

Logga in på Partner Hub.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera

4

Välj klustret på sidan Hybrid-datasäkerhetsresurser.

5

Klicka på fliken Klusterinställningar .

6

Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar.

Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar.

Ändra nodkonfigurationen

Ibland kan du behöva ändra konfigurationen av din Hybrid-datasäkerhetsnod av exempelvis:

  • Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.

    Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

  • Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.

  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:

  • Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.

  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.

Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

Innan du börjar

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.

1

Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

  1. På din dators kommandorad anger du lämpligt kommando för din miljö:

    I vanliga miljöer:

    docker rmi ciscocitg/hds-inställning: stable

    I FedRAMP-miljöer:

    docker rmi ciscocitg/hds-setup-fedramp: stable

    Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

  2. För att logga in på Docker-bildregistret anger du följande:

    docker inloggning -u hdscustomersro

  3. Vid lösenordsupp prompten anger du detta hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Hämta den senaste stabil bild för din miljö:

    I vanliga miljöer:

    docker pull ciscocitg/hds-inställning: stable

    I FedRAMP-miljöer:

    docker pull ciscocitg/hds-setup-fedramp: stable

    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

  5. När pull-in är slutförd anger du lämpligt kommando för din miljö:

    • I vanliga miljöer utan proxy:

      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljöer utan proxy:

      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    När behållaren körs ser du "Expressserverlyssning på port 8080".

  6. Använd en webbläsare för att ansluta till den lokalavärden, http://127.0.0.1:8080.

    Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

  7. Ange inloggningsuppgifterna för din partner Hub-kund när du uppmanas till det och klicka sedan på Godkänn för att fortsätta.

  8. Importera den aktuella ISO-konfigurationsfilen.

  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

    Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

2

Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

  1. Installera HDS-värden OVA.

  2. Konfigurera virtuell dator för HDS.

  3. Montera den uppdaterade konfigurationsfilen.

  4. Registrera den nya noden i partnerhubben.

3

Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod:

  1. Stäng av den virtuella datorn.

  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  3. Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

  4. Markera Anslut vid start.

  5. Spara ändringarna och slå på den virtuella datorn.

4

Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

Inaktivera blockerad extern DNS-Matchningstid

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.

Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.

Innan du börjar

Se till att dina interna DNS-servrar kan matcha allmänna DNS-namn och att noderna kan kommunicera med dem.
1

Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in.

2

Går du till Översikt (standard sidan).

När den är aktive rad är blockerad extern DNS-matchning inställd på Ja.

3

Går du till sidan betrodda certifikat \ proxy .

4

Klicka på kontrol lera proxy-anslutning.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej.

Nästa steg

Upprepa test av anslutnings proxy på alla noder i ditt data säkerhets kluster för Hybrid.

Ta bort en nod

Använd denna procedur för att ta bort en datasäkerhetsnod för hybrid från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

2

Ta bort noden:

  1. Logga in på partnerhubben och välj sedan Tjänster.

  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Datasäkerhetsresurser för hybrid.

  3. Välj ditt kluster för att visa dess översiktspanel.

  4. Klicka på noden som du vill ta bort.

  5. Klicka på Avregistrera den här noden i panelen som visas till höger

  6. Du kan också avregistrera noden genom att klicka på på nodens högra sida och välja Ta bort den här noden.

3

Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.)

Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata.

Katastrofåterställning med Standby-datacenter

Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.

Innan du börjar

Avregistrera alla noder från partnerhubben enligt beskrivningen i Ta bort en nod. Använd den senaste ISO-filen som konfigurerades mot noderna i det kluster som tidigare var aktiva för att utföra den redundans som nämns nedan.
1

Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

2

Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

3

Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

4

I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

5

Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager.

Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats.

6

Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter.

7

Registrera noden i partnerhubben. Se Registrera den första noden i klustret.

8

Upprepa processen för varje nod i datacentret för vänteläge.

Nästa steg

Efter redundans och om det primära datacentret blir aktivt igen, avregistrera du noderna för datacentret i vänteläge och upprepa processen för att konfigurera ISO och registrera noder för det primära datacentret enligt ovan.

(Valfritt) Avmontera ISO efter HDS-konfiguration

Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.

Innan du börjar

Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

1

Stäng av en av dina HDS-noder.

2

Välj HDS-noden i vCenter-serverenheten.

3

Välj Redigera inställningar > CD/DVD-enhet och avmarkera ISO-fil för datalager.

4

Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter.

5

Upprepa för varje HDS-nod i tur och ordning.

Felsök Hybrid-datasäkerhet

Visa aviseringar och felsökning

En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:

  • Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)

  • Meddelanden och utrymmetitlar kan inte avkrypteras för:

    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

    • Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)

  • Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna

Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.

Aviseringar

Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.

Tabell 1. Vanliga problem och steg för att lösa dem

Avisering

Åtgärd

Åtkomstfel i lokal databas.

Kontrollera om det finns databasfel eller problem med det lokala nätverket.

Anslutning till lokal databas misslyckades.

Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen.

Åtkomstfel för molntjänst.

Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning.

Förnyar registrering av molntjänster.

Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår.

Registreringen av molntjänsten har avbrutits.

Registrering till molntjänster har avslutats. Tjänsten stängs av.

Tjänsten är ännu inte aktiverad.

Aktivera HDS i partnerhubben.

Den konfigurerade domänen matchar inte servercertifikatet.

Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen.

Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen.

Det gick inte att autentisera till molntjänster.

Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla.

Det gick inte att öppna den lokala keystore-filen.

Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen.

Det lokala servercertifikatet är ogiltigt.

Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare.

Det gick inte att publicera mätvärden.

Kontrollera lokala nätverksåtkomst till externa molntjänster.

/media/configdrive/hds-katalogen finns inte.

Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras.

Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna

Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget.

Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna

Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget.

Felsök Hybrid-datasäkerhet

Använd följande allmänna riktlinjer vid felsökning av problem med Hybrid-datasäkerhet.
1

Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens.

2

Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning.

3

Kontakta Ciscos support.

Övriga anteckningar

Kända problem med Hybrid-datasäkerhet

  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.

  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).

Använd OpenSSL för att generera en PKCS12-fil

Innan du börjar

  • OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.

  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.

  • Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.

  • Skapa en privat nyckel.

  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

1

När du får servercertifikatet från din CA sparar du det som hdsnode.pem.

2

Visa certifikatet som text och verifiera informationen.

openssl x509 -text -noout -in hdsnode.pem

3

Använd en textredigerare för att skapa en fil med certifikatpaket som heter hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, eventuella mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

-----BEGIN CERTIFICATE------ ### Servercertifikat. ### -----END CERTIFICATE--------------  ### Mellanliggande CA-certifikat. ### -----END CERTIFICATE-----------  ### Rot-CA-certifikat. ### -----END CERTIFICATE------

4

Skapa .p12-filen med det vänliga namnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollera informationen om servercertifikatet.

  1. openssl pkcs12 -i hdsnode.p12

  2. Ange ett lösenord när du uppmanas att kryptera den privata nyckeln så att den listas i utmatningen. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

    Exempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Ange importlösenord: MAC-verifierade attribut för OK-väska vänligNamn: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nyckelattribut:  Ange lösenfras för PEM-pass: Verifierar – ange lösenordsfras för PEM: -----BÖRJA KRYPTERAD PRIVAT NYCKEL-----  -----END KRYPTERAD PRIVAT NYCKEL----- Bag-attribut vänligName: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE-----

Nästa steg

Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12 och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.

Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.

Trafik mellan HDS-noderna och molnet

Insamlingstrafik för utgående mätvärden

Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

Inkommande trafik

Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:

  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

  • Uppgraderingar av nodprogramvaran

Konfigurera squid-proxyservrar för Hybrid-datasäkerhet

WebSocket kan inte ansluta via squid proxy

Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS: trafik för att tjänsterna ska fungera korrekt.

Squid 4 och 5

Lägg till on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alla

Squid-3.5.27

Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla

Ny och ändrad information

Ny och ändrad information

Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.

Datum

Ändringar har gjorts

30 januari 2025

Lade till SQL-serverversion 2022 i listan över SQL-servrar som stöds i Databasserverkrav.

15 januari 2025

Lade till begränsningar för Hybrid-datasäkerhet för flera klienter.

08 januari 2025

Lade till en anteckning i Utför inledande konfiguration och hämta installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i partnerhubben.

07 januari 2025

Uppdaterade krav för virtuell värd, uppgiftsflöde för distribution av hybrid-datasäkerhet och installera HDS Host OVA för att visa nya krav för ESXi 7.0.

13 december 2024

Först publicerad.

Inaktivera Hybrid-datasäkerhet för flera klienter

Uppgiftsflöde för inaktivering av HDS för flera klienter

Följ dessa steg för att inaktivera HDS för flera klienter helt.

Innan du börjar

Den här uppgiften bör endast utföras av en fullständig partneradministratör.
1

Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer.

2

Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS..

3

Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod.

4

Ta bort alla dina kluster från partnerhubben med en av följande två metoder.

  • Klicka på det kluster som du vill ta bort och välj Ta bort detta kluster i det övre högra hörnet på översiktssidan.
  • På sidan Resurser klickar du på på höger sida av ett kluster och väljer Ta bort kluster.
5

Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet.

Kom igång med Hybrid-datasäkerhet för flera klienter

Översikt över datasäkerhet för flera klienter för hybrid

Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Kärnan i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.

Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.

Partnerorganisationer har kontroll över distribution och hantering men de har inte tillgång till data och innehåll som genereras av kunder. Denna åtkomst är begränsad till kundorganisationer och deras användare.

Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.

Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll

  • Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
  • Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
  • Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
  • Stöder mötes-, meddelande- och samtalsinnehåll.

Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.

Begränsningar för datasäkerhet för flera klienter för hybrid

  • Partnerorganisationer får inte ha någon befintlig HDS-distribution aktiv i Control Hub.
  • Klientorganisationer eller kundorganisationer som vill hanteras av en partner får inte ha någon befintlig HDS-distribution i Control Hub.
  • När Multi-Tenant HDS har distribuerats av partnern börjar alla användare i kundorganisationer och användare i partnerorganisationen använda Multi-Tenant HDS för sina krypteringstjänster.

    Partnerorganisationen och kundorganisationerna som de hanterar kommer att ha samma HDS-distribution för flera klienter.

    Partnerorganisationen kommer inte längre att använda moln-KMS när HDS för flera klienter har distribuerats.

  • Det finns ingen mekanism för att flytta nycklar tillbaka till moln-KMS efter en HDS-distribution.
  • För närvarande kan varje HDS-distribution med flera klienter endast ha ett kluster, med flera noder under det.
  • Administratörsroller har vissa begränsningar, se avsnittet nedan för mer information.

Roller i Hybrid-datasäkerhet för flera klienter

  • Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
  • Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
  • Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
  • Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
  • Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.

Säkerhetsarkitektur

Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

Separationsrealm (utan Hybrid-datasäkerhet)

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.

I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:

  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.

  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

  4. Det krypterade meddelandet lagras i lagringssfären.

När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.

Samarbeta med andra organisationer

Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.

Förväntningar på att distribuera Hybrid-datasäkerhet

En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.

För att distribuera Hybrid-datasäkerhet måste du ange:

Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

  • Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.

  • Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.

Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.

Installationsprocess på hög nivå

Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:

  • Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

    Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.

  • Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.

  • Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

Distributionsmodell för Hybrid-datasäkerhet

I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.

Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Distributionsmodell för Hybrid-datasäkerhet

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)

Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.

Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.

Standby-datacenter för katastrofåterställning

Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Före redundans har datacenter A aktiva HDS-noder och den primära PostgreSQL- eller Microsoft SQL Server-databasen, medan B har en kopia av ISO-filen med ytterligare konfigurationer, VM-datorer som är registrerade i organisationen och en databas för vänteläge. Efter redundans har datacenter B aktiva HDS-noder och den primära databasen, medan A har oregistrerade VM-datorer och en kopia av ISO-filen och databasen är i vänteläge.
Manuell redundans till datacenter för vänteläge

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.

De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.

Proxy-Support

Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.

Datanoderna för Hybrid har stöd för följande proxyinställningar:

  • Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.

  • Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.

  • Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).

  • Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:

      • HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.

      • HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt om du har valt HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

Exempel på data säkerhets noder och proxy för Hybrid

Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.

Förbered din miljö

Krav för datasäkerhet för flera klienter för hybrid

Cisco Webex-licenskrav

Så här distribuerar du Hybrid-datasäkerhet för flera klienter:

  • Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.

  • Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Skrivbordskrav för Docker

Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".

X.509-certifikatkrav

Certifikatkedjan måste uppfylla följande krav:

Tabell 1. X.509-certifikatkrav för Hybrid-datasäkerhetsdistribution

Krav

Detaljer

  • Signerat av en betrodd certifikatutfärdare (CA)

Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har ett gemensamt namn (CN)-domännamn som identifierar din datasäkerhetsdistribution för hybrid

  • Är inte ett jokertecken-certifikat

CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.företag.com.

CN får inte innehålla ett * (jokertecken).

CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet.

  • Signatur utan SHA1

KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS.

  • Formaterat som en lösenordsskyddad PKCS #12-fil

  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellanliggande certifikat att ladda upp.

Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

Krav för virtuell värd

De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

  • Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter

  • VMware ESXi 7.0 (eller senare) installerad och körs.

    Du måste uppgradera om du har en tidigare version av ESXi.

  • Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

Krav på databasserver

Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.

Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:

Tabell 2. Krav på databasserver efter typ av databas

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installerad och körs.

  • SQL Server 2016, 2017, 2019 eller 2022 (Enterprise eller Standard) installerad.

    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:

PostgreSQL

Microsoft SQL-server

Postgres JDBC-drivrutin 42.2.5

SQL Server JDBC-drivrutin 4.6

Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper).

Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

  • Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.

  • Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.

  • DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).

  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.

    HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.

Krav på extern anslutning

Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:

Program

Protokoll

Port

Riktning från appen

Destination

Datasäkerhetsnoder för hybrid

TCP

443

Utgående HTTPS och WSS

  • Webex-servrar:

    • *.wbx2.com

    • *.ciscospark.com

  • Alla värdar för Common Identity

  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster i Nätverkskrav för Webex-tjänster

Inställningsverktyg för HDS

TCP

443

Utgående HTTPS

  • *.wbx2.com

  • Alla värdar för Common Identity

  • hub.docker.com

Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.

URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:

Region

URL:er för Common Identity Host

Nord- och Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europeiska unionen

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Förenade Arabemiraten

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy Server krav

  • Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.

    • Transparent proxy – Cisco webb säkerhetsutrustning (WSA).

    • Explicit proxy – squid.

      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.

  • Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:

    • Ingen autentisering med HTTP eller HTTPS

    • Grundläggande autentisering med HTTP eller HTTPS

    • Digest-autentisering med endast HTTPS

  • För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.

  • Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.

  • Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till wbx2.com och ciscospark.com .

Uppfyll förutsättningarna för Hybrid-datasäkerhet

Använd den här checklistan för att säkerställa att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
1

Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen.

Kundorganisationer bör inte ha någon befintlig HDS-distribution.

2

Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och hämta en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i X.509-certifikatkrav.

3

Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd.

4

Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna.

  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.)

  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

    • värdnamnet eller IP-adressen (värd) och porten

    • namnet på databasen (dbname) för nyckellagring

    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

5

För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer.

6

Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514).

7

Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid.

Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet.

Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar.

8

Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning.

9

Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information.

För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning.

10

Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver.

Konfigurera ett datasäkerhetskluster för hybrid

Uppgiftsflöde för distribution av Hybrid-datasäkerhet

Innan du börjar

1

Utför initial konfiguration och hämta installationsfiler

Hämta OVA-filen till din lokala dator för senare användning.

2

Skapa en konfiguration-ISO för HDS-värdarna

Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid.

3

Installera HDS-värd-OVA

Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

4

Konfigurera VM för datasäkerhet för hybrid

Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

5

Ladda upp och montera ISO för HDS-konfiguration

Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget.

6

Konfigurera HDS-noden för proxy-integrering

Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs.

7

Registrera den första noden i klustret

Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

8

Skapa och registrera fler noder

Slutför klusterkonfigurationen.

9

Aktivera HDS för flera klienter i partnerhubben.

Aktivera HDS och hantera klientorganisationer i partnerhubben.

Utför initial konfiguration och hämta installationsfiler

I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.

1

Logga in på partnerhubben och klicka sedan på Tjänster.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera.

Att klicka på Konfigurera i partnerhubben är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra det här steget.

3

Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara .

Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på Inställningar > Hjälp > Hämta programvara för Hybrid-datasäkerhet.

OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
4

Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig.

Skapa en konfiguration-ISO för HDS-värdarna

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

Innan du börjar
1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import har du följande alternativ:

  • Nej – om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
  • Ja – om du redan har skapat HDS-noder väljer du din ISO-fil i bläddraren och överför den.
10

Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.

  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
  • Om certifikatet är OK klickar du på Fortsätt.
  • Om ditt certifikat har gått ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
11

Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager:

  1. Välj din databastyp (PostgreSQL eller Microsoft SQL Server).

    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

  2. (Endast Microsoft SQL Server ) Välj din autentiseringstyp:

    • Grundläggande autentisering: Du behöver ett lokalt SQL Server-kontonamn i fältet Användarnamn .

    • Windows-autentisering: Du behöver ett Windows-konto i formatet användarnamn@DOMÄN i fältet Användarnamn .

  3. Ange databasserveradressen i formatet : eller :.

    Exempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

  4. Ange databasnamnet.

  5. Ange Användarnamn och Lösenord för en användare med alla privilegier i databasen för nyckellagring.

12

Välj ett anslutningsläge för TLS-databasen:

Mode

Beskrivning

Föredra TLS (standardalternativ)

HDS-noder kräver inte att TLS ansluter till databasservern. Om du aktiverar TLS på databasservern försöker noderna med en krypterad anslutning.

Kräver TLS

HDS-noder ansluter endast om databasservern kan förhandla om TLS.

Kräv TLS och verifiera certifikat signering

Det här läget är inte tillämpligt för SQL Server-databaser.

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

Kräv TLS och verifiera certifikat signering och värdnamn

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databasvärd och -port . Namnen måste matcha exakt, eller så tappar noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.)

13

Konfigurera din Syslogd-server på sidan Systemloggar:

  1. Ange URL för syslog-servern.

    Om servern inte är DNS-lösbar från noderna till ditt HDS-kluster ska du använda en IP-adress i URL:en.

    Exempel:
    udp://10.92.43.23:514 indikerar loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.

  2. Om du konfigurerar servern för TLS-kryptering markerar du Är din syslog-server konfigurerad för SSL-kryptering?.

    Om du markerar den här kryssrutan ska du ange en TCP-URL som tcp://10.92.43.23:514.

  3. Från rullgardinsmenyn Välj avslutning av syslog-post väljer du lämplig inställning för din ISO-fil: Välj eller använd ny linje för Graylog och Rsyslog TCP

    • Null byte -- 00

    • Nyrad -- \n – Välj det här alternativet för Graylog och Rsyslog TCP.

  4. Klicka på Fortsätt.

14

(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra:

app_datasource_connection_pool_maxStorlek: 10
15

Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton .

Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer.

16

Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

17

Gör en säkerhetskopia av ISO-filen på ditt lokala system.

Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

18

Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

Nästa steg

Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.

Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.

Installera HDS-värd-OVA

Använd denna procedur för att skapa en virtuell dator från OVA-filen.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden.

2

Välj Arkiv > Distribuera OVF-mall.

3

I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa.

4

På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa.

5

På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa.

En valideringskontroll körs. När den är klar visas mallinformationen.

6

Verifiera mallinformationen och klicka sedan på Nästa.

7

Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa.

8

På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn.

9

På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn.

10

Konfigurera följande nätverksinställningar på sidan Anpassa mall :

  • Värdnamn – ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

    • Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

    • För att säkerställa en lyckad registrering i molnet ska du endast använda gemener i det FQDN eller värdnamn som du har angett för noden. Det finns för närvarande inget stöd för versalisering.

    • Den totala längden på FQDN får inte överskrida 64 tecken.

  • IP-adress – ange IP-adressen för nodens interna gränssnitt.

    Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

  • Mask – Ange nätmaskens adress med decimalnotation. Till exempel 255.255.255.0.
  • Gateway – ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
  • DNS-servrar – Ange en kommaseparerad lista över DNS-servrar som hanterar översättning av domännamn till numeriska IP-adresser. (Upp till fyra DNS-poster tillåts.)
  • NTP-servrar – ange organisationens NTP-server eller en annan extern NTP-server som kan användas i organisationen. Standard-NTP-servrarna kanske inte fungerar för alla företag. Du kan även använda en kommaavgränsad lista för att ange flera NTP-servrar.

  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

11

Högerklicka på nodens VM och välj sedan Ström > Slå på.

Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

Felsökningstips

Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in.

Konfigurera VM för datasäkerhet för hybrid

Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

1

I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol .

VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
2

Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

  1. Inloggning: Administratör

  2. Lösenord: cisco

Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

3

Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn.

4

Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

5

(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy.

Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

6

Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla.

Ladda upp och montera ISO för HDS-konfiguration

Använd denna procedur för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

Innan du börjar

Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.

1

Ladda upp ISO-filen från datorn:

  1. Klicka på ESXi-servern i VMware vSphere-klientens vänstra navigeringspanel.

  2. På fliken Konfiguration klickar du på Lagring.

  3. Högerklicka på datalagret för dina VM-datorer i listan Datalager och klicka på Bläddra i datalager.

  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

  5. Bläddra till den plats där du hämtade ISO-filen på datorn och klicka på Öppna.

  6. Klicka på Ja för att godkänna varningen om uppladdning/hämtning och stäng dialogrutan för datalagring.

2

Montera ISO-filen:

  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  2. Klicka på OK för att godkänna varningen om begränsade redigeringsalternativ.

  3. Klicka på CD/DVD-enhet 1, välj alternativet att montera från en ISO-fil för datalager och bläddra till den plats där du överförde ISO-konfigurationsfilen.

  4. Markera Ansluten och Anslut vid påslagen.

  5. Spara ändringarna och starta om den virtuella datorn.

Nästa steg

Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.

Konfigurera HDS-noden för proxy-integrering

Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.

Innan du börjar

1

Skriv in URL: en för HDS-nodens konfiguration , https://[HDS nod IP eller FQDN]/Setup i en webbläsare, ange administratörs uppgifterna som du har angett för noden och klicka sedan på Logga in.

2

Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
  • Transparent proxy utan inspektion – noder är inte konfigurerade att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
  • Transparent inspekterande proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga ändringar av HTTPS-konfigurationen behövs för hybridens säkerhets distribution, men HDS-noderna behöver en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
  • Explicit proxy – Med explicit proxy talar du om för klienten (HDS-noder) vilken proxyserver som ska användas, och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxy Protocol – Välj http (visar och styr alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver har stöd för.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt för HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy.

3

Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn.

Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

4

Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn.

Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge.

5

När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

6

Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo.

Noden startas om inom några minuter.

7

När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

Registrera den första noden i klustret

Den här uppgiften tar den allmänna nod som du har skapat i Konfigurera VM för datasäkerhet för hybrid, registrerar noden i Webex-molnet och omvandlar den till en datasäkerhetsnod för hybrid.

När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera.

4

Klicka på Lägg till en resurs på sidan som öppnas.

5

I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till.

Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

6

I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen.

Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet.

Ett meddelande visas som anger att du kan registrera din nod till Webex.
7

Klicka på Gå till nod.

Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.

8

Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
9

Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.

Skapa och registrera fler noder

Om du vill lägga till ytterligare noder i ditt kluster skapar du bara ytterligare VM-datorer och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA.

2

Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet.

3

Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn.

4

Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

5

Registrera noden.

  1. I https://admin.webex.com väljer du Tjänster från menyn till vänster på skärmen.

  2. I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Visa alla.

    Sidan Hybrid-datasäkerhetsresurser visas.

  3. Det nyskapade klustret visas på sidan Resurser .

  4. Klicka på klustret för att visa de noder som tilldelats klustret.

  5. Klicka på Lägg till en nod till höger på skärmen.

  6. Ange din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klicka på Lägg till.

    En sida öppnas med ett meddelande som anger att du kan registrera din nod i Webex-molnet. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge organisationen behörighet att komma åt din nod.

  7. Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.

  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

    Popup-meddelandet Nod tillagd visas också längst ned på skärmen i partnerhubben.

    Din nod är registrerad.

Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid

Aktivera HDS för flera klienter i partnerhubben

Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.

Innan du börjar

Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

4

Klicka på Aktivera HDS på kortet HDS-status .

Lägg till klientorganisationer i Partner Hub

I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

Klicka på klustret som du vill att en kund ska tilldelas till.

5

Gå till fliken Tilldelade kunder .

6

Klicka på Lägg till kunder.

7

Välj kunden som du vill lägga till från rullgardinsmenyn.

8

Klicka på Lägg till, kunden kommer att läggas till i klustret.

9

Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster.

10

Klicka på Klar längst ner på skärmen när du har lagt till kunderna.

Nästa steg

Kör HDS-konfigurationsverktyget enligt beskrivningen i Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen.

Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget

Innan du börjar

Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

Se till att du är ansluten till databasen för att utföra CMK-hantering.
11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Skapa CMK för alla organisationer eller Skapa CMK – klicka på den här knappen på banderollen högst upp på skärmen för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Skapa CMK:er för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på nära CMK-hanteringens väntande status för en viss organisation i tabellen och klicka på Skapa CMK för att skapa CMK för den organisationen.
12

När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad.

13

Om CMK inte kan skapas visas ett fel.

Ta bort klientorganisationer

Innan du börjar

När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från.

5

Klicka på Tilldelade kunder på sidan som öppnas.

6

I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster.

Nästa steg

Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.

Återkalla CMK:er för klienter som tagits bort från HDS.

Innan du börjar

Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp: stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker inloggning -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-inställning: stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp: stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Återkalla CMK för alla ORGANISATIONER eller Återkalla CMK – klicka på den här knappen på banderollen högst upp på skärmen för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Återkalla CMK:er för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på nära statusen CMK som ska återkallas för en specifik organisation i tabellen och klicka på Återkalla CMK för att återkalla CMK för den specifika organisationen.
12

När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen.

13

Om CMK-återkallelsen misslyckas visas ett fel.

Testa din datasäkerhetsdistribution för hybrid

Testa din datasäkerhetsdistribution för hybrid

Använd denna procedur för att testa Hybrid-datasäkerhetskrypteringsscenarier för flera klienter.

Innan du börjar

  • Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.

  • Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.

1

Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme.

Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

2

Skicka meddelanden till det nya utrymmet.

3

Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet.

  1. För att kontrollera om en användare först har etablerat en säker kanal till KMS, filtrera på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bör hitta en post som följande (identifierare förkortas för läsbarhet):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriVärd=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=NYCKEL:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=hämta, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriVärd=ciscospark.com, kms.data.type=NYCKEL, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=skapa, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. För att söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller annan skyddad resurs skapas, filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

    Du ska nu hitta en post som till exempel följande: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_SAMLING, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Övervaka datasäkerhet för hybrid

En statusindikator i partnerhubben visar om allt är bra med Multi-Tenant-distributionen av Hybrid-datasäkerhet. Registrera dig för e-postaviseringar om du vill ha mer proaktiv avisering. Du meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
1

I Partner Hub väljer du Tjänster i menyn till vänster på skärmen.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

Sidan Inställningar för Hybrid-datasäkerhet visas.
3

I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

Hantera din HDS-distribution

Hantera HDS-distribution

Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.

Ställ in schema för klusteruppgradering

Programvaruuppgraderingar för Hybrid-datasäkerhet görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt klustrets uppgraderingsschema. När en programvaruuppgradering blir tillgänglig har du möjlighet att uppgradera klustret manuellt före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat 3:00 AM Daily USA: Amerika/Los Angeles. Du kan även välja att skjuta upp en kommande uppgradering om det behövs.

Så här ställer du in uppgraderingsschemat:

1

Logga in på Partner Hub.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera

4

Välj klustret på sidan Hybrid-datasäkerhetsresurser.

5

Klicka på fliken Klusterinställningar .

6

Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar.

Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar.

Ändra nodkonfigurationen

Ibland kan du behöva ändra konfigurationen av din Hybrid-datasäkerhetsnod av exempelvis:

  • Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.

    Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

  • Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.

  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:

  • Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.

  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.

Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

Innan du börjar

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.

1

Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

  1. På din dators kommandorad anger du lämpligt kommando för din miljö:

    I vanliga miljöer:

    docker rmi ciscocitg/hds-inställning: stable

    I FedRAMP-miljöer:

    docker rmi ciscocitg/hds-setup-fedramp: stable

    Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

  2. För att logga in på Docker-bildregistret anger du följande:

    docker inloggning -u hdscustomersro

  3. Vid lösenordsupp prompten anger du detta hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Hämta den senaste stabil bild för din miljö:

    I vanliga miljöer:

    docker pull ciscocitg/hds-inställning: stable

    I FedRAMP-miljöer:

    docker pull ciscocitg/hds-setup-fedramp: stable

    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

  5. När pull-in är slutförd anger du lämpligt kommando för din miljö:

    • I vanliga miljöer utan proxy:

      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljöer utan proxy:

      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    När behållaren körs ser du "Expressserverlyssning på port 8080".

  6. Använd en webbläsare för att ansluta till den lokalavärden, http://127.0.0.1:8080.

    Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

  7. Ange inloggningsuppgifterna för din partner Hub-kund när du uppmanas till det och klicka sedan på Godkänn för att fortsätta.

  8. Importera den aktuella ISO-konfigurationsfilen.

  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

    Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

2

Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

  1. Installera HDS-värden OVA.

  2. Konfigurera virtuell dator för HDS.

  3. Montera den uppdaterade konfigurationsfilen.

  4. Registrera den nya noden i partnerhubben.

3

Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod:

  1. Stäng av den virtuella datorn.

  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  3. Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

  4. Markera Anslut vid start.

  5. Spara ändringarna och slå på den virtuella datorn.

4

Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

Inaktivera blockerad extern DNS-Matchningstid

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.

Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.

Innan du börjar

Se till att dina interna DNS-servrar kan matcha allmänna DNS-namn och att noderna kan kommunicera med dem.
1

Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in.

2

Går du till Översikt (standard sidan).

När den är aktive rad är blockerad extern DNS-matchning inställd på Ja.

3

Går du till sidan betrodda certifikat \ proxy .

4

Klicka på kontrol lera proxy-anslutning.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej.

Nästa steg

Upprepa test av anslutnings proxy på alla noder i ditt data säkerhets kluster för Hybrid.

Ta bort en nod

Använd denna procedur för att ta bort en datasäkerhetsnod för hybrid från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

2

Ta bort noden:

  1. Logga in på partnerhubben och välj sedan Tjänster.

  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Datasäkerhetsresurser för hybrid.

  3. Välj ditt kluster för att visa dess översiktspanel.

  4. Klicka på noden som du vill ta bort.

  5. Klicka på Avregistrera den här noden i panelen som visas till höger

  6. Du kan också avregistrera noden genom att klicka på på nodens högra sida och välja Ta bort den här noden.

3

Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.)

Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata.

Katastrofåterställning med Standby-datacenter

Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.

Innan du börjar

Avregistrera alla noder från partnerhubben enligt beskrivningen i Ta bort en nod. Använd den senaste ISO-filen som konfigurerades mot noderna i det kluster som tidigare var aktiva för att utföra den redundans som nämns nedan.
1

Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

2

Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

3

Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

4

I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

5

Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager.

Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats.

6

Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter.

7

Registrera noden i partnerhubben. Se Registrera den första noden i klustret.

8

Upprepa processen för varje nod i datacentret för vänteläge.

Nästa steg

Efter redundans och om det primära datacentret blir aktivt igen, avregistrera du noderna för datacentret i vänteläge och upprepa processen för att konfigurera ISO och registrera noder för det primära datacentret enligt ovan.

(Valfritt) Avmontera ISO efter HDS-konfiguration

Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.

Innan du börjar

Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

1

Stäng av en av dina HDS-noder.

2

Välj HDS-noden i vCenter-serverenheten.

3

Välj Redigera inställningar > CD/DVD-enhet och avmarkera ISO-fil för datalager.

4

Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter.

5

Upprepa för varje HDS-nod i tur och ordning.

Felsök Hybrid-datasäkerhet

Visa aviseringar och felsökning

En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:

  • Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)

  • Meddelanden och utrymmetitlar kan inte avkrypteras för:

    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

    • Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)

  • Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna

Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.

Aviseringar

Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.

Tabell 1. Vanliga problem och steg för att lösa dem

Avisering

Åtgärd

Åtkomstfel i lokal databas.

Kontrollera om det finns databasfel eller problem med det lokala nätverket.

Anslutning till lokal databas misslyckades.

Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen.

Åtkomstfel för molntjänst.

Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning.

Förnyar registrering av molntjänster.

Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår.

Registreringen av molntjänsten har avbrutits.

Registrering till molntjänster har avslutats. Tjänsten stängs av.

Tjänsten är ännu inte aktiverad.

Aktivera HDS i partnerhubben.

Den konfigurerade domänen matchar inte servercertifikatet.

Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen.

Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen.

Det gick inte att autentisera till molntjänster.

Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla.

Det gick inte att öppna den lokala keystore-filen.

Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen.

Det lokala servercertifikatet är ogiltigt.

Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare.

Det gick inte att publicera mätvärden.

Kontrollera lokala nätverksåtkomst till externa molntjänster.

/media/configdrive/hds-katalogen finns inte.

Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras.

Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna

Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget.

Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna

Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget.

Felsök Hybrid-datasäkerhet

Använd följande allmänna riktlinjer vid felsökning av problem med Hybrid-datasäkerhet.
1

Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens.

2

Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning.

3

Kontakta Ciscos support.

Övriga anteckningar

Kända problem med Hybrid-datasäkerhet

  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.

  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).

Använd OpenSSL för att generera en PKCS12-fil

Innan du börjar

  • OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.

  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.

  • Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.

  • Skapa en privat nyckel.

  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

1

När du får servercertifikatet från din CA sparar du det som hdsnode.pem.

2

Visa certifikatet som text och verifiera informationen.

openssl x509 -text -noout -in hdsnode.pem

3

Använd en textredigerare för att skapa en fil med certifikatpaket som heter hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, eventuella mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

-----BEGIN CERTIFICATE------ ### Servercertifikat. ### -----END CERTIFICATE--------------  ### Mellanliggande CA-certifikat. ### -----END CERTIFICATE-----------  ### Rot-CA-certifikat. ### -----END CERTIFICATE------

4

Skapa .p12-filen med det vänliga namnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollera informationen om servercertifikatet.

  1. openssl pkcs12 -i hdsnode.p12

  2. Ange ett lösenord när du uppmanas att kryptera den privata nyckeln så att den listas i utmatningen. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

    Exempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Ange importlösenord: MAC-verifierade attribut för OK-väska vänligNamn: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nyckelattribut:  Ange lösenfras för PEM-pass: Verifierar – ange lösenordsfras för PEM: -----BÖRJA KRYPTERAD PRIVAT NYCKEL-----  -----END KRYPTERAD PRIVAT NYCKEL----- Bag-attribut vänligName: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE-----

Nästa steg

Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12 och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.

Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.

Trafik mellan HDS-noderna och molnet

Insamlingstrafik för utgående mätvärden

Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

Inkommande trafik

Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:

  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

  • Uppgraderingar av nodprogramvaran

Konfigurera squid-proxyservrar för Hybrid-datasäkerhet

WebSocket kan inte ansluta via squid proxy

Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS: trafik för att tjänsterna ska fungera korrekt.

Squid 4 och 5

Lägg till on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alla

Squid-3.5.27

Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla

Ny och ändrad information

Ny och ändrad information

Den här tabellen omfattar nya funktioner, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguide för Hybrid-datasäkerhet för flera klienter.

Datum

Ändringar har gjorts

4 mars 2025

30 januari 2025

Lade till SQL-serverversion 2022 i listan över SQL-servrar som stöds i Databasserverkrav.

15 januari 2025

Lade till Begränsningar för Hybrid-datasäkerhet för flera klienter.

08 januari 2025

Lade till en anteckning i Utför inledande konfiguration och hämta installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i partnerhubben.

07 januari 2025

Uppdaterade krav för virtuell värd, uppgiftsflöde för distribution av hybrid-datasäkerhet och installera HDS Host OVA för att visa nya krav för ESXi 7.0.

13 december 2024

Först publicerad.

Inaktivera Hybrid-datasäkerhet för flera klienter

Uppgiftsflöde för inaktivering av HDS för flera klienter

Följ dessa steg för att inaktivera HDS för flera klienter helt.

Innan du börjar

Den här uppgiften bör endast utföras av en fullständig partneradministratör.
1

Ta bort alla kunder från alla dina kluster enligt beskrivningen i Ta bort klientorganisationer.

2

Återkalla alla kunders CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS..

3

Ta bort alla noder från alla dina kluster enligt beskrivningen i Ta bort en nod.

4

Ta bort alla dina kluster från partnerhubben med en av följande två metoder.

  • Klicka på det kluster som du vill ta bort och välj Ta bort detta kluster i det övre högra hörnet på översiktssidan.
  • På sidan Resurser klickar du på på höger sida av ett kluster och väljer Ta bort kluster.
5

Klicka på fliken Inställningar på översiktssidan för Hybrid-datasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet.

Kom igång med Hybrid-datasäkerhet för flera klienter

Översikt över datasäkerhet för flera klienter för hybrid

Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Kärnan i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.

Hybrid-datasäkerhet för flera klienter gör det möjligt för organisationer att dra nytta av HDS via en betrodd lokal partner, som kan fungera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Denna konfiguration gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att användardata från kundorganisationer är skyddade mot extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.

Partnerorganisationer har kontroll över distribution och hantering men de har inte tillgång till data och innehåll som genereras av kunder. Denna åtkomst är begränsad till kundorganisationer och deras användare.

Detta gör det också möjligt för mindre organisationer att utnyttja HDS eftersom nyckelhanteringstjänsten och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.

Hur Hybrid-datasäkerhet för flera klienter ger datasuveränitet och datakontroll

  • Användargenererat innehåll skyddas från extern åtkomst, t.ex. molntjänstleverantörer.
  • Lokala betrodda partner hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
  • Alternativ för lokal teknisk support, om den tillhandahålls av partnern.
  • Stöder mötes-, meddelande- och samtalsinnehåll.

Det här dokumentet syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett Hybrid-datasäkerhetssystem för flera klienter.

Begränsningar för datasäkerhet för flera klienter för hybrid

  • Partnerorganisationer får inte ha någon befintlig HDS-distribution aktiv i Control Hub.
  • Klientorganisationer eller kundorganisationer som vill hanteras av en partner får inte ha någon befintlig HDS-distribution i Control Hub.
  • När Multi-Tenant HDS har distribuerats av partnern börjar alla användare i kundorganisationer och användare i partnerorganisationen använda Multi-Tenant HDS för sina krypteringstjänster.

    Partnerorganisationen och kundorganisationerna som de hanterar kommer att ha samma HDS-distribution för flera klienter.

    Partnerorganisationen kommer inte längre att använda moln-KMS när HDS för flera klienter har distribuerats.

  • Det finns ingen mekanism för att flytta nycklar tillbaka till moln-KMS efter en HDS-distribution.
  • För närvarande kan varje HDS-distribution med flera klienter endast ha ett kluster, med flera noder under det.
  • Administratörsroller har vissa begränsningar, se avsnittet nedan för mer information.

Roller i Hybrid-datasäkerhet för flera klienter

  • Fullständig partneradministratör – Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
  • Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
  • Fullständig administratör – administratör för partnerorganisationen som har behörighet att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
  • Fullständig HDS-konfiguration och hantering av alla kundorganisationer från slutpunkt till slutpunkt – fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
  • Hantering av tilldelade klientorganisationer – Partneradministratör och fullständiga administratörsrättigheter krävs.

Säkerhetsarkitektur

Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

Separationsrealm (utan Hybrid-datasäkerhet)

För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.

I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:

  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.

  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

  4. Det krypterade meddelandet lagras i lagringssfären.

När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.

Samarbeta med andra organisationer

Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution för flera klienter.

Förväntningar på att distribuera Hybrid-datasäkerhet

En distribution av Hybrid-datasäkerhet kräver ett betydande engagemang och en medvetenhet om riskerna med att äga krypteringsnycklar.

För att distribuera Hybrid-datasäkerhet måste du ange:

Fullständig förlust av antingen den ISO-konfiguration som du skapar för Hybrid-datasäkerhet eller den databas som du tillhandahåller leder till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

  • Hantera säkerhetskopiering och återställning av databasen och konfigurationsISO.

  • Var beredd på att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.

Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.

Installationsprocess på hög nivå

Det här dokumentet beskriver konfiguration och hantering av en datasäkerhetsdistribution för flera klienter för hybrid:

  • Konfigurera hybrid-datasäkerhet – Detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för hybrid-datasäkerhet, skapande av ett HDS-kluster, tillägg av klientorganisationer i klustret och hantering av kundens huvudnycklar (CMK:er). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

    Konfigurations-, aktiverings- och hanteringsfaserna beskrivs ingående i de följande tre kapitlen.

  • Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i partnerhubben.

  • Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

Distributionsmodell för Hybrid-datasäkerhet

I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.

Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

Distributionsmodell för Hybrid-datasäkerhet

Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)

Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.

Noder blir aktiva när du registrerar dem i partnerhubben. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.

Standby-datacenter för katastrofåterställning

Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

Före redundans har datacenter A aktiva HDS-noder och den primära PostgreSQL- eller Microsoft SQL Server-databasen, medan B har en kopia av ISO-filen med ytterligare konfigurationer, VM-datorer som är registrerade i organisationen och en databas för vänteläge. Efter redundans har datacenter B aktiva HDS-noder och den primära databasen, medan A har oregistrerade VM-datorer och en kopia av ISO-filen och databasen är i vänteläge.
Manuell redundans till datacenter för vänteläge

Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans.

De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.

Proxy-Support

Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.

Datanoderna för Hybrid har stöd för följande proxyinställningar:

  • Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.

  • Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.

  • Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).

  • Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:

      • HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.

      • HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt om du har valt HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

Exempel på data säkerhets noder och proxy för Hybrid

Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.

Förbered din miljö

Krav för datasäkerhet för flera klienter för hybrid

Cisco Webex-licenskrav

Så här distribuerar du Hybrid-datasäkerhet för flera klienter:

  • Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvarige och kontrollera att funktionen för flera klienter är aktiverad.

  • Klientorganisationer: Du måste ha Pro-paketet för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Skrivbordskrav för Docker

Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".

Kunder utan en Docker Desktop-licens kan använda ett verktyg för hantering av behållare med öppen källkod som Podman Desktop för att köra, hantera och skapa behållare. Mer information finns i Kör HDS-konfigurationsverktyg med Podman Desktop .

X.509-certifikatkrav

Certifikatkedjan måste uppfylla följande krav:

Tabell 1. X.509-certifikatkrav för Hybrid-datasäkerhetsdistribution

Krav

Detaljer

  • Signerat av en betrodd certifikatutfärdare (CA)

Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har ett gemensamt namn (CN)-domännamn som identifierar din datasäkerhetsdistribution för hybrid

  • Är inte ett jokertecken-certifikat

CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.company.com.

CN får inte innehålla ett * (jokertecken).

CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet.

  • Signatur utan SHA1

KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS.

  • Formaterat som en lösenordsskyddad PKCS #12-fil

  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, den privata nyckeln och eventuella mellanliggande certifikat att ladda upp.

Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

Krav för virtuell värd

De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

  • Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter

  • VMware ESXi 7.0 (eller senare) installerad och körs.

    Du måste uppgradera om du har en tidigare version av ESXi.

  • Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

Krav på databasserver

Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.

Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:

Tabell 2. Krav på databasserver efter typ av databas

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installerad och körs.

  • SQL Server 2016, 2017, 2019 eller 2022 (Enterprise eller Standard) installerad.

    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:

PostgreSQL

Microsoft SQL-server

Postgres JDBC-drivrutin 42.2.5

SQL Server JDBC-drivrutin 4.6

Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper).

Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

  • Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.

  • Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.

  • DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).

  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.

    HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.

Krav på extern anslutning

Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:

Program

Protokoll

Port

Riktning från appen

Destination

Datasäkerhetsnoder för hybrid

TCP

443

Utgående HTTPS och WSS

  • Webex-servrar:

    • *.wbx2.com

    • *.ciscospark.com

  • Alla värdar för Common Identity

  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster i Nätverkskrav för Webex-tjänster

Inställningsverktyg för HDS

TCP

443

Utgående HTTPS

  • *.wbx2.com

  • Alla värdar för Common Identity

  • hub.docker.com

Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.

URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:

Region

URL:er för Common Identity Host

Nord- och Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europeiska unionen

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Förenade Arabemiraten

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy Server krav

  • Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.

    • Transparent proxy – Cisco webb säkerhetsutrustning (WSA).

    • Explicit proxy – squid.

      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.

  • Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:

    • Ingen autentisering med HTTP eller HTTPS

    • Grundläggande autentisering med HTTP eller HTTPS

    • Digest-autentisering med endast HTTPS

  • För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.

  • Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.

  • Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om detta problem uppstår löser du problemet genom att kringgå (inte inspektera) trafik till wbx2.com och ciscospark.com .

Uppfyll förutsättningarna för Hybrid-datasäkerhet

Använd den här checklistan för att säkerställa att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
1

Se till att din partnerorganisation har HDS-funktionen för flera klienter aktiverad och få inloggningsuppgifterna för ett konto med fullständig partneradministratör och fullständiga administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro-paketet för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen.

Kundorganisationer bör inte ha någon befintlig HDS-distribution.

2

Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och hämta en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i X.509-certifikatkrav.

3

Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd.

4

Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna.

  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.)

  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

    • värdnamnet eller IP-adressen (värd) och porten

    • namnet på databasen (dbname) för nyckellagring

    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

5

För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer.

6

Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514).

7

Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid.

Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet.

Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar.

8

Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning.

9

Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Du kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information.

För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning.

10

Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver.

Konfigurera ett datasäkerhetskluster för hybrid

Uppgiftsflöde för distribution av Hybrid-datasäkerhet

Innan du börjar

1

Utför initial konfiguration och hämta installationsfiler

Hämta OVA-filen till din lokala dator för senare användning.

2

Skapa en konfiguration-ISO för HDS-värdarna

Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid.

3

Installera HDS-värd-OVA

Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

4

Konfigurera VM för datasäkerhet för hybrid

Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

5

Ladda upp och montera ISO för HDS-konfiguration

Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget.

6

Konfigurera HDS-noden för proxy-integrering

Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs.

7

Registrera den första noden i klustret

Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

8

Skapa och registrera fler noder

Slutför klusterkonfigurationen.

9

Aktivera HDS för flera klienter i partnerhubben.

Aktivera HDS och hantera klientorganisationer i partnerhubben.

Utför initial konfiguration och hämta installationsfiler

I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.

1

Logga in på partnerhubben och klicka sedan på Tjänster.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera.

Att klicka på Konfigurera i partnerhubben är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra det här steget.

3

Klicka på Lägg till en resurs och klicka på Hämta .OVA-fil på kortet Installera och konfigurera programvara .

Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

Du kan också när som helst hämta OVA från avsnittet Hjälp . Klicka på Inställningar > Hjälp > Hämta programvara för Hybrid-datasäkerhet.

OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
4

Du kan även klicka på Se distributionsguiden för hybrid-datasäkerhet för att kontrollera om det finns en senare version av guiden tillgänglig.

Skapa en konfiguration-ISO för HDS-värdarna

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

Innan du börjar
1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker login -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import har du följande alternativ:

  • Nej – om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
  • Ja – om du redan har skapat HDS-noder väljer du din ISO-fil i bläddraren och överför den.
10

Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.

  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
  • Om certifikatet är OK klickar du på Fortsätt.
  • Om ditt certifikat har gått ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
11

Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager:

  1. Välj din databastyp (PostgreSQL eller Microsoft SQL Server).

    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

  2. (Endast Microsoft SQL Server ) Välj din autentiseringstyp:

    • Grundläggande autentisering: Du behöver ett lokalt SQL Server-kontonamn i fältet Användarnamn .

    • Windows-autentisering: Du behöver ett Windows-konto i formatet username@DOMAIN i fältet Användarnamn .

  3. Ange adressen till databasservern i formatet : eller :.

    Exempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

  4. Ange databasnamnet.

  5. Ange Användarnamn och Lösenord för en användare med alla privilegier i databasen för nyckellagring.

12

Välj ett anslutningsläge för TLS-databasen:

Mode

Beskrivning

Föredra TLS (standardalternativ)

HDS-noder kräver inte att TLS ansluter till databasservern. Om du aktiverar TLS på databasservern försöker noderna med en krypterad anslutning.

Kräver TLS

HDS-noder ansluter endast om databasservern kan förhandla om TLS.

Kräv TLS och verifiera certifikat signering

Det här läget är inte tillämpligt för SQL Server-databaser.

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

Kräv TLS och verifiera certifikat signering och värdnamn

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databasvärd och -port . Namnen måste matcha exakt, eller så tappar noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.)

13

Konfigurera din Syslogd-server på sidan Systemloggar:

  1. Ange URL för syslog-servern.

    Om servern inte är DNS-lösbar från noderna till ditt HDS-kluster ska du använda en IP-adress i URL:en.

    Exempel:
    udp://10.92.43.23:514 indikerar loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.

  2. Om du konfigurerar servern för TLS-kryptering markerar du Är din syslog-server konfigurerad för SSL-kryptering?.

    Om du markerar den här kryssrutan ska du ange en TCP-URL som tcp://10.92.43.23:514.

  3. Från rullgardinsmenyn Välj avslutning av syslog-post väljer du lämplig inställning för din ISO-fil: Välj eller använd ny linje för Graylog och Rsyslog TCP

    • Null byte -- 00

    • Nyrad -- \n – Välj det här alternativet för Graylog och Rsyslog TCP.

  4. Klicka på Fortsätt.

14

(Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra:

app_datasource_connection_pool_maxSize: 10
15

Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton .

Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer.

16

Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

17

Gör en säkerhetskopia av ISO-filen på ditt lokala system.

Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

18

Om du vill stänga av konfigurationsverktyget skriver du CTRL+C.

Nästa steg

Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.

Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.

Installera HDS-värd-OVA

Använd denna procedur för att skapa en virtuell dator från OVA-filen.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden.

2

Välj Arkiv > Distribuera OVF-mall.

3

I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa.

4

På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa.

5

På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa.

En valideringskontroll körs. När den är klar visas mallinformationen.

6

Verifiera mallinformationen och klicka sedan på Nästa.

7

Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa.

8

På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn.

9

På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn.

10

Konfigurera följande nätverksinställningar på sidan Anpassa mall :

  • Värdnamn – ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

    • Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

    • För att säkerställa en lyckad registrering i molnet ska du endast använda gemener i det FQDN eller värdnamn som du har angett för noden. Det finns för närvarande inget stöd för versalisering.

    • Den totala längden på FQDN får inte överskrida 64 tecken.

  • IP-adress – ange IP-adressen för nodens interna gränssnitt.

    Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

  • Mask – Ange nätmaskens adress med decimalnotation. Till exempel 255.255.255.0.
  • Gateway – ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
  • DNS-servrar – Ange en kommaseparerad lista över DNS-servrar som hanterar översättning av domännamn till numeriska IP-adresser. (Upp till fyra DNS-poster tillåts.)
  • NTP-servrar – ange organisationens NTP-server eller en annan extern NTP-server som kan användas i organisationen. Standard-NTP-servrarna kanske inte fungerar för alla företag. Du kan även använda en kommaavgränsad lista för att ange flera NTP-servrar.

  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen.

Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 7.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

11

Högerklicka på nodens VM och välj sedan Ström > Slå på.

Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

Felsökningstips

Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in.

Konfigurera VM för datasäkerhet för hybrid

Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

1

I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol .

VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
2

Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

  1. Inloggning: admin

  2. Lösenord: cisco

Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

3

Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn.

4

Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

5

(Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy.

Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

6

Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla.

Ladda upp och montera ISO för HDS-konfiguration

Använd denna procedur för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

Innan du börjar

Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.

1

Ladda upp ISO-filen från datorn:

  1. Klicka på ESXi-servern i VMware vSphere-klientens vänstra navigeringspanel.

  2. På fliken Konfiguration klickar du på Lagring.

  3. Högerklicka på datalagret för dina VM-datorer i listan Datalager och klicka på Bläddra i datalager.

  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

  5. Bläddra till den plats där du hämtade ISO-filen på datorn och klicka på Öppna.

  6. Klicka på Ja för att godkänna varningen om uppladdning/hämtning och stäng dialogrutan för datalagring.

2

Montera ISO-filen:

  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  2. Klicka på OK för att godkänna varningen om begränsade redigeringsalternativ.

  3. Klicka på CD/DVD Drive 1, välj alternativet att montera från en ISO-fil för datalager och bläddra till den plats där du överförde ISO-konfigurationsfilen.

  4. Markera Ansluten och Anslut vid påslagen.

  5. Spara ändringarna och starta om den virtuella datorn.

Nästa steg

Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.

Konfigurera HDS-noden för proxy-integrering

Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.

Innan du börjar

1

Ange URL för inställning av HDS-noden https://[HDS Node IP or FQDN]/setup i en webbläsare, ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in.

2

Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
  • Transparent proxy utan inspektion – noder är inte konfigurerade att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
  • Transparent inspekterande proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga ändringar av HTTPS-konfigurationen behövs för hybridens säkerhets distribution, men HDS-noderna behöver en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
  • Explicit proxy – Med explicit proxy talar du om för klienten (HDS-noder) vilken proxyserver som ska användas, och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxy Protocol – Välj http (visar och styr alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver har stöd för.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt för HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy.

3

Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn.

Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

4

Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn.

Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge.

5

När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

6

Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo.

Noden startas om inom några minuter.

7

När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

Registrera den första noden i klustret

Den här uppgiften tar den allmänna nod som du har skapat i Konfigurera VM för datasäkerhet för hybrid, registrerar noden i Webex-molnet och omvandlar den till en datasäkerhetsnod för hybrid.

När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Konfigurera.

4

Klicka på Lägg till en resurs på sidan som öppnas.

5

I det första fältet på kortet Lägg till en nod anger du ett namn på det kluster som du vill tilldela din datasäkerhetsnod för hybrid till.

Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

6

I det andra fältet anger du din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klickar på Lägg till längst ned på skärmen.

Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet.

Ett meddelande visas som anger att du kan registrera din nod till Webex.
7

Klicka på Gå till nod.

Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.

8

Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
9

Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat under fliken Resurser . Noden hämtar automatiskt den senaste programvaran från molnet.

Skapa och registrera fler noder

Om du vill lägga till ytterligare noder i ditt kluster skapar du bara ytterligare VM-datorer och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

Innan du börjar

  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

1

Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA.

2

Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet.

3

Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn.

4

Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

5

Registrera noden.

  1. I https://admin.webex.com väljer du Tjänster från menyn till vänster på skärmen.

  2. I avsnittet Molntjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Visa alla.

    Sidan Hybrid-datasäkerhetsresurser visas.

  3. Det nyskapade klustret visas på sidan Resurser .

  4. Klicka på klustret för att visa de noder som tilldelats klustret.

  5. Klicka på Lägg till en nod till höger på skärmen.

  6. Ange din nods interna IP-adress eller fullständigt kvalificerat domännamn (FQDN) och klicka på Lägg till.

    En sida öppnas med ett meddelande som anger att du kan registrera din nod i Webex-molnet. Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge organisationen behörighet att komma åt din nod.

  7. Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.

  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan för Hybrid-datasäkerhet i partnerhubben.

    Popup-meddelandet Nod tillagd visas också längst ned på skärmen i partnerhubben.

    Din nod är registrerad.

Hantera klientorganisationer för datasäkerhet för flera klienter för hybrid

Aktivera HDS för flera klienter i partnerhubben

Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja använda HDS för lokala krypteringsnycklar och andra säkerhetstjänster.

Innan du börjar

Se till att du har slutfört konfigureringen av ditt HDS-kluster för flera klienter med det antal noder som krävs.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

4

Klicka på Aktivera HDS på kortet HDS-status .

Lägg till klientorganisationer i Partner Hub

I den här uppgiften tilldelar du kundorganisationer till ditt Hybrid-datasäkerhetskluster.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

Klicka på klustret som du vill att en kund ska tilldelas till.

5

Gå till fliken Tilldelade kunder .

6

Klicka på Lägg till kunder.

7

Välj kunden som du vill lägga till från rullgardinsmenyn.

8

Klicka på Lägg till, kunden kommer att läggas till i klustret.

9

Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster.

10

Klicka på Klar längst ner på skärmen när du har lagt till kunderna.

Nästa steg

Kör HDS-konfigurationsverktyget enligt beskrivningen i Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen.

Skapa kundhuvudnycklar (CMK:er) med HDS-konfigurationsverktyget

Innan du börjar

Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till klientorganisationer i partnerhubben. Kör HDS-konfigurationsverktyget för att slutföra konfigurationsprocessen för de nyligen tillagda kundorganisationerna.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker login -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

Se till att du är ansluten till databasen för att utföra CMK-hantering.
11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Skapa CMK för alla organisationer eller Skapa CMK – klicka på den här knappen på banderollen högst upp på skärmen för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Skapa CMK:er för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på nära CMK-hanteringens väntande status för en viss organisation i tabellen och klicka på Skapa CMK för att skapa CMK för den organisationen.
12

När CMK har skapats ändras statusen i tabellen från väntande CMK-hantering till CMK-hanterad.

13

Om CMK inte kan skapas visas ett fel.

Ta bort klientorganisationer

Innan du börjar

När användare i kundorganisationer har tagits bort kommer de inte att kunna använda HDS för sina krypteringsbehov och förlorar alla befintliga utrymmen. Kontakta din Cisco-partner eller kontoansvarige innan du tar bort kundorganisationer.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du efter Hybrid-datasäkerhet och klickar på Visa alla.

4

På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från.

5

Klicka på Tilldelade kunder på sidan som öppnas.

6

I listan över kundorganisationer som visas klickar du på ... till höger om kundorganisationen som du vill ta bort och klickar sedan på Ta bort från kluster.

Nästa steg

Slutför borttagningsprocessen genom att återkalla kundorganisationernas CMK:er enligt beskrivningen i Återkalla CMK:er för klienter som tagits bort från HDS.

Återkalla CMK:er för klienter som tagits bort från HDS.

Innan du börjar

Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort klientorganisationer. Kör HDS-konfigurationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som har tagits bort.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker login -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange administratörsanvändarnamn för partnerhubben när du uppmanas till det.

Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

7

När du blir ombedd anger du inloggningsuppgifterna för administratören för partnerhubben och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

8

Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

11

Gå till fliken Hantering av klient-CMK där du hittar följande tre sätt att hantera klient-CMK:er.

  • Återkalla CMK för alla ORGANISATIONER eller Återkalla CMK – klicka på den här knappen på banderollen högst upp på skärmen för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Återkalla CMK:er för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på nära statusen CMK som ska återkallas för en specifik organisation i tabellen och klicka på Återkalla CMK för att återkalla CMK för den specifika organisationen.
12

När CMK-återkallelsen har lyckats visas inte kundorganisationen längre i tabellen.

13

Om CMK-återkallelsen misslyckas visas ett fel.

Testa din datasäkerhetsdistribution för hybrid

Testa din datasäkerhetsdistribution för hybrid

Använd denna procedur för att testa Hybrid-datasäkerhetskrypteringsscenarier för flera klienter.

Innan du börjar

  • Konfigurera din distribution av Hybrid-datasäkerhet för flera klienter.

  • Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din Hybrid-datasäkerhetsdistribution för flera klienter.

1

Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme.

Om du inaktiverar distributionen av Hybrid-datasäkerhet kommer innehåll i utrymmen som användare skapar inte längre att vara tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

2

Skicka meddelanden till det nya utrymmet.

3

Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet.

  1. Om du vill kontrollera att en användare först har etablerat en säker kanal till KMS filtrerar du på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bör hitta en post som följande (identifierare förkortas för läsbarhet):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Så här söker du efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=KEY:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Om du vill söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

    Du ska nu hitta en post som till exempel följande:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. För att söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller annan skyddad resurs skapas, filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

    Du ska nu hitta en post som till exempel följande: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Övervaka datasäkerhet för hybrid

En statusindikator i partnerhubben visar om allt är bra med Multi-Tenant-distributionen av Hybrid-datasäkerhet. Registrera dig för e-postaviseringar om du vill ha mer proaktiv avisering. Du meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
1

I Partner Hub väljer du Tjänster i menyn till vänster på skärmen.

2

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Redigera inställningar.

Sidan Inställningar för Hybrid-datasäkerhet visas.
3

I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

Hantera din HDS-distribution

Hantera HDS-distribution

Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.

Ställ in schema för klusteruppgradering

Programvaruuppgraderingar för Hybrid-datasäkerhet görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt klustrets uppgraderingsschema. När en programvaruuppgradering blir tillgänglig har du möjlighet att uppgradera klustret manuellt före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat 3:00 AM Daily USA: Amerika/Los Angeles. Du kan även välja att skjuta upp en kommande uppgradering om det behövs.

Så här ställer du in uppgraderingsschemat:

1

Logga in på Partner Hub.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid-datasäkerhet och klickar på Konfigurera

4

Välj klustret på sidan Hybrid-datasäkerhetsresurser.

5

Klicka på fliken Klusterinställningar .

6

Välj tid och tidszon för uppgraderingsschemat under Uppgraderingsschema på sidan Klusterinställningar.

Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg med 24 timmar.

Ändra nodkonfigurationen

Ibland kan du behöva ändra konfigurationen av din Hybrid-datasäkerhetsnod av exempelvis:

  • Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.

    Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

  • Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.

  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:

  • Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.

  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.

Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

Innan du börjar

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifter för ett partnerhubbkonto med fullständiga partneradministratörsrättigheter.

    Om du inte har en Docker Desktop-licens kan du använda Podman Desktop för att köra HDS-konfigurationsverktyget för steg 1.a till 1.e i proceduren nedan. Mer information finns i Kör HDS-konfigurationsverktyg med Podman Desktop .

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.

1

Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

  1. På din dators kommandorad anger du lämpligt kommando för din miljö:

    I vanliga miljöer:

    docker rmi ciscocitg/hds-setup:stable

    I FedRAMP-miljöer:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

  2. För att logga in på Docker-bildregistret anger du följande:

    docker login -u hdscustomersro

  3. Vid lösenordsupp prompten anger du detta hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Hämta den senaste stabil bild för din miljö:

    I vanliga miljöer:

    docker pull ciscocitg/hds-setup:stable

    I FedRAMP-miljöer:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

  5. När pull-in är slutförd anger du lämpligt kommando för din miljö:

    • I vanliga miljöer utan proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljöer utan proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    När behållaren körs ser du "Expressserverlyssning på port 8080".

  6. Använd en webbläsare för att ansluta till den lokalavärden, http://127.0.0.1:8080.

    Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

  7. Ange inloggningsuppgifterna för din partner Hub-kund när du uppmanas till det och klicka sedan på Godkänn för att fortsätta.

  8. Importera den aktuella ISO-konfigurationsfilen.

  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

    Om du vill stänga av konfigurationsverktyget skriver du CTRL+C.

  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

2

Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

  1. Installera HDS-värden OVA.

  2. Konfigurera virtuell dator för HDS.

  3. Montera den uppdaterade konfigurationsfilen.

  4. Registrera den nya noden i partnerhubben.

3

Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod:

  1. Stäng av den virtuella datorn.

  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  3. Klicka på CD/DVD Drive 1, välj alternativet att montera från en ISO-fil och bläddra till den plats där du hämtade den nya ISO-konfigurationsfilen.

  4. Markera Anslut vid start.

  5. Spara ändringarna och slå på den virtuella datorn.

4

Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

Inaktivera blockerad extern DNS-Matchningstid

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.

Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.

Innan du börjar

Se till att dina interna DNS-servrar kan matcha allmänna DNS-namn och att noderna kan kommunicera med dem.
1

Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in.

2

Går du till Översikt (standard sidan).

När den är aktive rad är blockerad extern DNS-matchning inställd på Ja.

3

Går du till sidan betrodda certifikat \ proxy .

4

Klicka på kontrol lera proxy-anslutning.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej.

Nästa steg

Upprepa test av anslutnings proxy på alla noder i ditt data säkerhets kluster för Hybrid.

Ta bort en nod

Använd denna procedur för att ta bort en datasäkerhetsnod för hybrid från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
1

Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

2

Ta bort noden:

  1. Logga in på partnerhubben och välj sedan Tjänster.

  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Datasäkerhetsresurser för hybrid.

  3. Välj ditt kluster för att visa dess översiktspanel.

  4. Klicka på noden som du vill ta bort.

  5. Klicka på Avregistrera den här noden i panelen som visas till höger

  6. Du kan också avregistrera noden genom att klicka på på nodens högra sida och välja Ta bort den här noden.

3

Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.)

Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata.

Katastrofåterställning med Standby-datacenter

Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.

Innan du börjar

Avregistrera alla noder från partnerhubben enligt beskrivningen i Ta bort en nod. Använd den senaste ISO-filen som konfigurerades mot noderna i det kluster som tidigare var aktiva för att utföra den redundans som nämns nedan.
1

Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

2

Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

3

Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

4

I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

5

Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager.

Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats.

6

Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter.

7

Registrera noden i partnerhubben. Se Registrera den första noden i klustret.

8

Upprepa processen för varje nod i datacentret för vänteläge.

Nästa steg

Efter redundans och om det primära datacentret blir aktivt igen, avregistrera du noderna för datacentret i vänteläge och upprepa processen för att konfigurera ISO och registrera noder för det primära datacentret enligt ovan.

(Valfritt) Avmontera ISO efter HDS-konfiguration

Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.

Innan du börjar

Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

1

Stäng av en av dina HDS-noder.

2

Välj HDS-noden i vCenter-serverenheten.

3

Välj Redigera inställningar > CD/DVD-enhet och avmarkera ISO-fil för datalager.

4

Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter.

5

Upprepa för varje HDS-nod i tur och ordning.

Felsök Hybrid-datasäkerhet

Visa aviseringar och felsökning

En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:

  • Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)

  • Meddelanden och utrymmetitlar kan inte avkrypteras för:

    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

    • Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)

  • Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna

Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.

Aviseringar

Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar partnerhubben aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.

Tabell 1. Vanliga problem och steg för att lösa dem

Avisering

Åtgärd

Åtkomstfel i lokal databas.

Kontrollera om det finns databasfel eller problem med det lokala nätverket.

Anslutning till lokal databas misslyckades.

Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen.

Åtkomstfel för molntjänst.

Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning.

Förnyar registrering av molntjänster.

Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår.

Registreringen av molntjänsten har avbrutits.

Registrering till molntjänster har avslutats. Tjänsten stängs av.

Tjänsten är ännu inte aktiverad.

Aktivera HDS i partnerhubben.

Den konfigurerade domänen matchar inte servercertifikatet.

Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen.

Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen.

Det gick inte att autentisera till molntjänster.

Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla.

Det gick inte att öppna den lokala keystore-filen.

Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen.

Det lokala servercertifikatet är ogiltigt.

Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare.

Det gick inte att publicera mätvärden.

Kontrollera lokala nätverksåtkomst till externa molntjänster.

/media/configdrive/hds-katalogen finns inte.

Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras.

Konfigurationen av klientorganisationen är inte slutförd för de tillagda organisationerna

Slutför konfigurationen genom att skapa CMK:er för nyligen tillagda klientorganisationer med hjälp av HDS-konfigurationsverktyget.

Konfigurationen av klientorganisationen har inte slutförts för de borttagna organisationerna

Slutför konfigurationen genom att återkalla CMK:er för klientorganisationer som har tagits bort med HDS-konfigurationsverktyget.

Felsök Hybrid-datasäkerhet

Använd följande allmänna riktlinjer vid felsökning av problem med Hybrid-datasäkerhet.
1

Granska partnerhubben för eventuella aviseringar och fixa alla objekt som du hittar där. Se bilden nedan för referens.

2

Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet. Filtrera efter ord som ”Varning” och ”Fel” för att hjälpa till vid felsökning.

3

Kontakta Ciscos support.

Övriga anteckningar

Kända problem med Hybrid-datasäkerhet

  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i partnerhubben eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan Webex-appanvändare i kundorganisationer inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.

  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme).

Kör HDS-konfigurationsverktyget med Podman-skrivbordet

Podman är ett fritt och öppet verktyg för hantering av containrar som ger ett sätt att köra, hantera och skapa containrar. Podman Desktop kan hämtas från https://podman-desktop.io/downloads.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Hämta och kör Podman på datorn för att komma åt den. Konfigurationsprocessen kräver autentiseringsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

    • Inloggningsuppgifter för databas

    • Certifikatuppdateringar

    • Ändringar i behörighetspolicyn

  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

podman rmi ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

podman rmi ciscocitg/hds-setup-fedramp:stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

podman login docker.io -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

podman pull ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

podman pull ciscocitg/hds-setup-fedramp:stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

Nästa steg

Följ de återstående stegen i Skapa en konfiguration ISO för HDS-värdarna eller Ändra nodkonfiguration för att skapa eller ändra ISO-konfiguration.

Använd OpenSSL för att generera en PKCS12-fil

Innan du börjar

  • OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.

  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.

  • Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.

  • Skapa en privat nyckel.

  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

1

När du får servercertifikatet från din CA sparar du det som hdsnode.pem.

2

Visa certifikatet som text och verifiera informationen.

openssl x509 -text -noout -in hdsnode.pem

3

Använd en textredigerare för att skapa en certifikatpaketfil som heter hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, eventuella mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Skapa .p12-filen med det vänliga namnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollera informationen om servercertifikatet.

  1. openssl pkcs12 -in hdsnode.p12

  2. Ange ett lösenord när du uppmanas att kryptera den privata nyckeln så att den listas i utmatningen. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

    Exempel:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Nästa steg

Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda hdsnode.p12 filen och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.

Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.

Trafik mellan HDS-noderna och molnet

Insamlingstrafik för utgående mätvärden

Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, statistik på synkroniserade och asynkrona trådar, statistik på varningar med tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran, statistik på datalager och statistik för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

Inkommande trafik

Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:

  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

  • Uppgraderingar av nodprogramvaran

Konfigurera squid-proxyservrar för Hybrid-datasäkerhet

WebSocket kan inte ansluta via squid proxy

Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss: trafik för att tjänsterna ska fungera korrekt.

Squid 4 och 5

Lägg till on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel all

Squid-3.5.27

Vi har testat Hybrid-datasäkerhet med följande regler som har lagts till i squid.conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Ny och ändrad information

Ny och ändrad information

Den här tabellen täcker nya funktioner eller funktionalitet, ändringar av befintligt innehåll och eventuella större fel som har åtgärdats i Distributionsguiden för hybriddatasäkerhet för flera hyresgäster.

Datum

Gjorda ändringar

8 maj 2025
4 mars 2025

30 januari 2025

Lade till SQL Server version 2022 i listan över SQL-servrar som stöds i Krav för databasserver.

15 januari 2025

Lade till Begränsningar för hybriddatasäkerhet med flera hyresgäster.

8 januari 2025

Lade till en anmärkning i Utför initial installation och ladda ner installationsfiler som anger att det är ett viktigt steg i installationsprocessen att klicka på Konfigurera på HDS-kortet i Partner Hub.

7 januari 2025

Uppdaterade Krav för virtuella värdar, Aktivitetsflöde för distribution av hybriddatasäkerhetoch Installera HDS-värdens OVA för att visa de nya kraven för ESXi 7.0.

13 december 2024

Först publicerad.

Inaktivera hybriddatasäkerhet för flera hyresgäster

Flöde för inaktivering av HDS för flera hyresgäster

Följ dessa steg för att helt inaktivera HDS med flera hyresgäster.

Innan du börjar

Denna uppgift bör endast utföras av en fullständig Partner-administratör.
1

Ta bort alla kunder från alla dina kluster, som nämns i Ta bort hyresgästorganisationer.

2

Återkalla CMK:er för alla kunder, som nämns i Återkalla CMK:er för hyresgäster som tagits bort från HDS..

3

Ta bort alla noder från alla dina kluster, som nämns i Ta bort en nod.

4

Ta bort alla dina kluster från Partner Hub med hjälp av en av följande två metoder.

  • Klicka på det kluster du vill ta bort och välj Ta bort detta kluster i det övre högra hörnet av översiktssidan.
  • På sidan Resurser klickar du på … till höger om ett kluster och väljer Ta bort kluster.
5

Klicka på fliken Inställningar på översiktssidan för hybriddatasäkerhet och klicka på Inaktivera HDS på HDS-statuskortet.

Kom igång med hybrid datasäkerhet för flera hyresgäster

Översikt över hybrid datasäkerhet för flera hyresgäster

Från dag ett har datasäkerhet varit det primära fokuset vid utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från början till slut, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

Som standard får alla Webex-appkunder end-to-end-kryptering med dynamiska nycklar lagrade i moln-KMS, i Ciscos säkerhetsmiljö. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.

Hybrid datasäkerhet för flera hyresgäster gör det möjligt för organisationer att utnyttja HDS genom en betrodd lokal partner, som kan agera som tjänsteleverantör och hantera lokal kryptering och andra säkerhetstjänster. Den här konfigurationen gör det möjligt för partnerorganisationen att ha fullständig kontroll över distribution och hantering av krypteringsnycklar och säkerställer att kundorganisationernas användardata är skyddade från extern åtkomst. Partnerorganisationer konfigurerar HDS-instanser och skapar HDS-kluster efter behov. Varje instans kan stödja flera kundorganisationer till skillnad från en vanlig HDS-distribution som är begränsad till en enda organisation.

Även om partnerorganisationer har kontroll över distribution och hantering, har de inte tillgång till data och innehåll som genereras av kunder. Denna åtkomst är begränsad till kundorganisationer och deras användare.

Detta gör det också möjligt för mindre organisationer att utnyttja HDS, eftersom nyckelhanteringstjänster och säkerhetsinfrastruktur som datacenter ägs av den betrodda lokala partnern.

Hur hybrid datasäkerhet med flera hyresgäster ger datasuveränitet och datakontroll

  • Användargenererat innehåll är skyddat från extern åtkomst, som från molntjänstleverantörer.
  • Lokala betrodda partners hanterar krypteringsnycklarna för kunder som de redan har en etablerad relation med.
  • Möjlighet till lokal teknisk support, om partnern tillhandahåller detta.
  • Stöder möten, meddelanden och samtalsinnehåll.

Detta dokument syftar till att hjälpa partnerorganisationer att konfigurera och hantera kunder under ett hybridsystem för datasäkerhet med flera hyresgäster.

Begränsningar för hybriddatasäkerhet med flera hyresgäster

  • Partnerorganisationer får inte ha någon befintlig HDS-distribution aktiv i Control Hub.
  • Hyresgäst- eller kundorganisationer som vill hanteras av en partner får inte ha någon befintlig HDS-distribution i Control Hub.
  • När Multi-Tenant HDS har driftsatts av partnern börjar alla användare av kundorganisationer samt användare av partnerorganisationen använda Multi-Tenant HDS för sina krypteringstjänster.

    Partnerorganisationen och kundorganisationerna som de hanterar kommer att finnas på samma HDS-distribution med flera hyresgäster.

    Partnerorganisationen kommer inte längre att använda moln-KMS efter att Multi-Tenant HDS har distribuerats.

  • Det finns ingen mekanism för att flytta nycklar tillbaka till Cloud KMS efter en HDS-distribution.
  • För närvarande kan varje HDS-distribution med flera innehavare bara ha ett kluster, med flera noder under det.
  • Administratörsroller har vissa begränsningar; se avsnittet nedan för mer information.

Roller inom hybrid datasäkerhet med flera hyresgäster

  • Fullständig partneradministratör - Kan hantera inställningar för alla kunder som partnern hanterar. Kan även tilldela administratörsroller till befintliga användare i organisationen och tilldela specifika kunder som ska hanteras av partneradministratörer.
  • Partneradministratör – Kan hantera inställningar för kunder som administratören har etablerat eller som har tilldelats användaren.
  • Fullständig administratör - Administratör för partnerorganisationen som är behörig att utföra uppgifter som att ändra organisationsinställningar, hantera licenser och tilldela roller.
  • Installation och hantering av HDS för flera hyresgäster från hela linjen för alla kundorganisationer - Fullständig partneradministratör och fullständiga administratörsrättigheter krävs.
  • Hantering av tilldelade hyresgästorganisationer - Partneradministratör och fullständiga administratörsrättigheter krävs.

Arkitektur inom säkerhetsområdet

Webex molnarkitektur separerar olika typer av tjänster i separata domäner, eller förtroendedomäner, som visas nedan.

Separationens rike (utan hybrid datasäkerhet)

För att ytterligare förstå hybrid datasäkerhet, låt oss först titta på detta rena molnfall, där Cisco tillhandahåller alla funktioner inom sina molnområden. Identitetstjänsten, den enda platsen där användare direkt kan korreleras med sin personliga information, såsom e-postadress, är logiskt och fysiskt separerad från säkerhetsområdet i datacenter B. Båda är i sin tur separerade från området där krypterat innehåll slutligen lagras, i datacenter C.

I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande att skicka till ett utrymme sker följande steg:

  1. Klienten upprättar en säker anslutning med nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH, och KMS krypterar nyckeln med en AES-256-huvudnyckel.

  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.

  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

  4. Det krypterade meddelandet lagras i lagringsområdet.

När du distribuerar Hybrid Data Security flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) ligger fortfarande inom Ciscos område.

Samarbete med andra organisationer

Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det skapades av en av dina användare) skickar ditt KMS nyckeln till klienten via en ECDH-säkrad kanal. Men när en annan organisation äger nyckeln för utrymmet, dirigerar din KMS begäran ut till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS, och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

KMS-tjänsten som körs på organisation A validerar anslutningarna till KMS:er i andra organisationer med hjälp av x.509 PKI-certifikat. Se Förbered din miljö för information om hur du genererar ett x.509-certifikat som ska användas med din distribution av hybriddatasäkerhet för flera hyresgäster.

Förväntningar för implementering av hybrid datasäkerhet

En hybrid datasäkerhetsimplementering kräver betydande engagemang och en medvetenhet om de risker som följer med att äga krypteringsnycklar.

För att driftsätta hybrid datasäkerhet måste du tillhandahålla:

  • Ett säkert datacenter i ett land som stöds av Cisco Webex Teams-abonnemangen.

  • Utrustningen, programvaran och nätverksåtkomsten som beskrivs i Förbered din miljö.

Fullständig förlust av antingen konfigurations-ISO:n som du skapar för Hybrid Data Security eller databasen som du tillhandahåller kommer att resultera i förlust av nycklarna. Nyckelförlust hindrar användare från att dekryptera utrymmesinnehåll och annan krypterad data i Webex-appen. Om detta händer kan du bygga en ny distribution, men endast nytt innehåll kommer att synas. För att undvika förlust av åtkomst till data måste du:

  • Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO:n.

  • Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel ett diskfel i databasen eller en datacenterkatastrof.

Det finns ingen mekanism för att flytta nycklar tillbaka till molnet efter en HDS-distribution.

Övergripande installationsprocess

Det här dokumentet beskriver installation och hantering av en hybrid datasäkerhetsdistribution med flera hyresgäster:

  • Konfigurera hybrid datasäkerhet— Detta inkluderar att förbereda nödvändig infrastruktur och installera hybrid datasäkerhetsprogramvara, bygga ett HDS-kluster, lägga till hyresgästorganisationer i klustret och hantera deras kundhuvudnycklar (CMK). Detta gör det möjligt för alla användare i dina kundorganisationer att använda ditt hybriddatasäkerhetskluster för säkerhetsfunktioner.

    Installations-, aktiverings- och hanteringsfaserna behandlas i detalj i de kommande tre kapitlen.

  • Underhåll din hybriddatasäkerhetsdistribution— Webex-molnet tillhandahåller automatiskt kontinuerliga uppgraderingar. Er IT-avdelning kan tillhandahålla support på nivå ett för denna implementering och anlita Cisco-support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Partner Hub.

  • Förstå vanliga varningar, felsökningssteg och kända problem— Om du stöter på problem med att distribuera eller använda Hybrid Data Security kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att identifiera och åtgärda problemet.

Hybrid datasäkerhetsdistributionsmodell

Inom ditt företagsdatacenter distribuerar du Hybrid Data Security som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.

Under installationsprocessen förser vi dig med OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-installationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid Data Security-klustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar Syslogd och databasanslutningsdetaljer i HDS-installationsverktyget.)

Hybrid datasäkerhetsdistributionsmodell

Det minsta antalet noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar bara en nod åt gången.)

Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggar aktivitet till samma syslog-server. Noderna själva är tillståndslösa och hanterar viktiga förfrågningar i round-robin-stil, enligt anvisningar från molnet.

Noder blir aktiva när du registrerar dem i Partner Hub. För att ta en enskild nod ur drift kan du avregistrera den och senare registrera om den om det behövs.

Standby-datacenter för katastrofåterställning

Under driftsättningen konfigurerar du ett säkert reservdatacenter. I händelse av en datacenterkatastrof kan du manuellt överföra din distribution till reservdatacentret.

Före redundansväxlingen har datacenter A aktiva HDS-noder och den primära PostgreSQL- eller Microsoft SQL Server-databasen, medan B har en kopia av ISO-filen med ytterligare konfigurationer, virtuella maskiner som är registrerade i organisationen och en reservdatabas. Efter redundansväxlingen har datacenter B aktiva HDS-noder och den primära databasen, medan A har oregistrerade virtuella maskiner och en kopia av ISO-filen, och databasen är i vänteläge.
Manuell redundansväxling till standby-datacenter

Databaserna för de aktiva och standby-datacentren är synkroniserade med varandra vilket minimerar den tid det tar att utföra redundansväxlingen.

De aktiva Hybrid Data Security-noderna måste alltid finnas i samma datacenter som den aktiva databasservern.

Proxy-Support

Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.

Datanoderna för Hybrid har stöd för följande proxyinställningar:

  • Ingen proxy— Standardinställningen om du inte använder HDS-nodens Trust Store-inställningar & Proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.

  • Transparent icke-inspekterande proxy— Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikat uppdatering krävs.

  • Transparent tunnling eller inspektion av proxy— Noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).

  • Explicit proxy— Med explicit proxy anger du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:

    1. Proxy IP/FQDN—Adress som kan användas för att nå proxymaskinen.

    2. Proxyport—Ett portnummer som proxyn använder för att lyssna efter proxytrafik.

    3. Proxyprotokoll—Beroende på vad din proxyserver stöder kan du välja mellan följande protokoll:

      • HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.

      • HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.

    4. Autentiseringstyp— Välj bland följande autentiseringstyper:

      • Ingen—Ingen ytterligare autentisering krävs.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

      • Grundläggande—Används av en HTTP-användaragent för att tillhandahålla ett användarnamn och lösenord vid en begäran. Använder base64-kodning.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

      • Digest— Används för att bekräfta kontot innan känslig information skickas. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt om du har valt HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

Exempel på data säkerhets noder och proxy för Hybrid

Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.

Förbered din miljö

Krav för hybrid datasäkerhet med flera hyresgäster

Cisco Webex-licenskrav

Så här distribuerar du hybrid datasäkerhet för flera hyresgäster:

  • Partnerorganisationer: Kontakta din Cisco-partner eller kontoansvariga och se till att funktionen för flera hyresgäster är aktiverad.

  • Hyresgästorganisationer: Du måste ha Pro Pack för Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav för Docker-skrivbordet

Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett installationsprogram. Docker har nyligen uppdaterat sin licensmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".

Kunder utan Docker Desktop-licens kan använda ett verktyg för containerhantering med öppen källkod, som Podman Desktop, för att köra, hantera och skapa containrar. Se Kör HDS-installationsverktyget med Podman Desktop för mer information.

Krav för X.509-certifikat

Certifikatkedjan måste uppfylla följande krav:

Tabell 1. X.509-certifikatkrav för hybrid datasäkerhetsdistribution

Krav

Detaljer

  • Signerad av en betrodd certifikatutfärdare (CA)

Som standard litar vi på certifikatutfärdarna i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har ett Common Name (CN)-domännamn som identifierar din Hybrid Data Security-distribution

  • Är inte ett jokerteckencertifikat

KN:n behöver inte vara nåbar eller en livevärd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.company.com.

KN-numret får inte innehålla en * (jokertecken).

CN används för att verifiera hybriddatasäkerhetsnoderna till Webex-appklienter. Alla Hybrid Data Security-noder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

När du väl har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet.

  • Icke-SHA1-signatur

KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS:er.

  • Formaterad som ett lösenordsskyddat PKCS #12 fil

  • Använd det vänliga namnet kms-private-key för att tagga certifikatet, den privata nyckeln och eventuella mellanliggande certifikat som ska laddas upp.

Du kan använda en konverterare som OpenSSL för att ändra formatet på ditt certifikat.

Du måste ange lösenordet när du kör HDS Setup Tool.

KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningar. Vissa certifikatutfärdare kräver att utökade nyckelanvändningsbegränsningar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

Krav för virtuella värdar

De virtuella värdar som du kommer att konfigurera som hybriddatasäkerhetsnoder i ditt kluster har följande krav:

  • Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter

  • VMware ESXi 7.0 eller 8.0 installerat och körs.

    Du måste uppgradera om du har en tidigare version av ESXi.

  • Minst 4 vCPU:er, 8 GB primärminne, 30 GB lokal hårddiskutrymme per server

Krav för databasserver

Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-applikationerna skapar databasschemat när de är installerade.

Det finns två alternativ för databasservern. Kraven för var och en är följande:

Tabell 2. Krav för databasserver efter databastyp

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 eller 16, installerat och igång.

  • SQL Server 2016, 2017, 2019 eller 2022 (Enterprise eller Standard) installerat.

    SQL Server 2016 kräver Service Pack 2 och Cumulative Update 2 eller senare.

Minst 8 vCPU:er, 16 GB primärminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under en längre tid utan att behöva öka lagringsutrymmet)

Minst 8 vCPU:er, 16 GB primärminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under en längre tid utan att behöva öka lagringsutrymmet)

HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:

PostgreSQL

Microsoft SQL Server

Postgres JDBC-drivrutin 42.2.5

SQL Server JDBC-drivrutin 4.6

Den här drivrutinsversionen stöder SQL Server Always On ( Always On Failover Cluster Instances och Always On tillgänglighetsgrupper).

Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din nyckeldatabas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

  • HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.

  • Windows-kontot du anger till HDS-noder måste ha read/write åtkomst till databasen.

  • De DNS-servrar som du tillhandahåller HDS-noder måste kunna matcha ditt nyckeldistributionscenter (KDC).

  • Du kan registrera HDS-databasinstansen på din Microsoft SQL Server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett tjänsteprincipalnamn för Kerberos-anslutningar.

    HDS-installationsverktyget, HDS-startprogrammet och det lokala KMS-systemet måste alla använda Windows-autentisering för att komma åt nyckeldatabasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.

Krav för extern anslutning

Konfigurera din brandvägg för att tillåta följande anslutning för HDS-applikationerna:

Program

Protokoll

Port

Vägbeskrivning från appen

Destination

Hybrida datasäkerhetsnoder

TCP

443

Utgående HTTPS och WSS

  • Webex-servrar:

    • *.wbx2.com

    • *.ciscospark.com

  • Alla Common Identity-värdar

  • Andra URL:er som listas för Hybrid Data Security i tabellen Ytterligare URL:er för Webex Hybrid Services i Nätverkskrav för Webex Services

HDS-installationsverktyg

TCP

443

Utgående HTTPS

  • *.wbx2.com

  • Alla Common Identity-värdar

  • hub.docker.com

Hybrid Data Security-noderna fungerar med Network Access Translation (NAT) eller bakom en brandvägg, så länge som NAT:en eller brandväggen tillåter de utgående anslutningar som krävs till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid Data Security-noderna bör inga portar vara synliga från internet. Inom ditt datacenter behöver klienter åtkomst till Hybrid Data Security-noderna på TCP-portarna 443 och 22 för administrativa ändamål.

URL:erna för CI-värdarna (Common Identity) är regionspecifika. Dessa är de nuvarande CI-värdarna:

Region

Vanliga identitetsvärd-URL:er

Nord- och Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europeiska unionen

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Förenade Arabemiraten

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy Server krav

  • Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.

    • Transparent proxy – Cisco webb säkerhetsutrustning (WSA).

    • Explicit proxy – squid.

      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. För att undvika problemet, se Konfigurera Squid-proxyservrar för hybriddatasäkerhet.

  • Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:

    • Ingen autentisering med HTTP eller HTTPS

    • Grundläggande autentisering med HTTP eller HTTPS

    • Digest-autentisering med endast HTTPS

  • För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.

  • Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.

  • Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår, löser man problemet genom att kringgå (utan att inspektera) trafik till wbx2.com och ciscospark.com.

Slutför förutsättningarna för hybrid datasäkerhet

Använd den här checklistan för att säkerställa att du är redo att installera och konfigurera ditt Hybrid Data Security-kluster.
1

Se till att din partnerorganisation har funktionen för flera hyresgäster med HDS aktiverad och hämta autentiseringsuppgifterna för ett konto med fullständig partneradministratörsrättighet och administratörsrättigheter. Se till att din Webex-kundorganisation är aktiverad för Pro Pack för Cisco Webex Control Hub. Kontakta din Cisco-partner eller kontoansvariga för hjälp med den här processen.

Kundorganisationer bör inte ha någon befintlig HDS-distribution.

2

Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och hämta en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i X.509-certifikatkrav.

3

Förbered identiska virtuella värdar som du kommer att konfigurera som hybriddatasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter, som uppfyller kraven i Krav för virtuella värdar.

4

Förbered databasservern som ska fungera som nyckeldatalagring för klustret, enligt Databasserverkrav. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna.

  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen.) HDS-applikationerna skapar databasschemat när de är installerade.)

  2. Samla in de uppgifter som noderna ska använda för att kommunicera med databasservern:

    • värdnamnet eller IP-adressen (värd) och porten

    • namnet på databasen (dbname) för nyckellagring

    • användarnamnet och lösenordet för en användare med alla behörigheter på nyckellagringsdatabasen

5

För snabb katastrofåterställning, konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella maskiner och en säkerhetskopieringsdatabasserver. Om produktionen till exempel har 3 virtuella maskiner som kör HDS-noder, bör säkerhetskopieringsmiljön ha 3 virtuella maskiner.

6

Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in dess nätverksadress och syslogport (standard är UDP 514).

7

Skapa en säker säkerhetskopieringspolicy för Hybrid Data Security-noderna, databasservern och syslog-värden. För att förhindra oåterställbar dataförlust måste du som ett minimum säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för Hybrid Data Security-noderna.

Eftersom hybriddatasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, kommer misslyckande med att upprätthålla en operativ distribution att resultera i OUTERHÄMTNINGSBAR FÖRLUST av innehållet.

Webex-appklienter cachar sina nycklar, så ett avbrott kanske inte märks omedelbart men kommer att bli uppenbart med tiden. Även om tillfälliga avbrott är omöjliga att förhindra, är de återställbara. Emellertid kommer fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurations-ISO-filen att resultera i oåterställbara kunddata. Operatörerna av Hybrid Data Security-noderna förväntas upprätthålla regelbundna säkerhetskopior av databasen och ISO-konfigurationsfilen, och vara beredda att återuppbygga Hybrid Data Security-datacentret om ett katastrofalt fel inträffar.

8

Se till att din brandväggskonfiguration tillåter anslutning för dina Hybrid Data Security-noder enligt beskrivningen i Krav för extern anslutning.

9

Installera Docker ( https://www.docker.com) på valfri lokal maskin som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bit, eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

Du använder Docker-instansen för att ladda ner och köra HDS Setup Tool, som skapar den lokala konfigurationsinformationen för alla Hybrid Data Security-noder. Du kan behöva en Docker Desktop-licens. Se Krav för Docker Desktop för mer information.

För att installera och köra HDS Setup Tool måste den lokala maskinen ha den anslutning som beskrivs i Krav för extern anslutning.

10

Om du integrerar en proxy med Hybrid Data Security, se till att den uppfyller Krav för proxyserver.

Konfigurera ett hybrid-datasäkerhetskluster

Uppgiftsflöde för distribution av hybriddatasäkerhet

Innan du börjar

1

Utför den första installationen och ladda ner installationsfilerna

Ladda ner OVA-filen till din lokala dator för senare användning.

2

Skapa en konfigurations-ISO för HDS-värdarna

Använd HDS-installationsverktyget för att skapa en ISO-konfigurationsfil för Hybrid Data Security-noderna.

3

Installera HDS Host OVA

Skapa en virtuell maskin från OVA-filen och utför den initiala konfigurationen, till exempel nätverksinställningar.

Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 7.0 och 8.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

4

Konfigurera den virtuella hybriddatasäkerhetsdatorn

Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

5

Ladda upp och montera HDS-konfigurations-ISO:n

Konfigurera den virtuella datorn från ISO-konfigurationsfilen som du skapade med HDS-installationsverktyget.

6

Konfigurera HDS-noden för proxy-integrering

Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendearkivet om det behövs.

7

Registrera den första noden i klustret

Registrera den virtuella datorn med Cisco Webex-molnet som en hybrid datasäkerhetsnod.

8

Skapa och registrera fler noder

Slutför klusterinstallationen.

9

Aktivera HDS för flera hyresgäster på Partner Hub.

Aktivera HDS och hantera hyresgästorganisationer på Partner Hub.

Utför den första installationen och ladda ner installationsfilerna

I den här uppgiften laddar du ner en OVA-fil till din dator (inte till de servrar du konfigurerar som Hybrid Data Security-noder). Du använder den här filen senare i installationsprocessen.

1

Logga in på Partner Hub och klicka sedan på Tjänster.

2

I avsnittet Molntjänster letar du upp kortet Hybrid Data Security och klickar sedan på Konfigurera.

Att klicka på Konfigurera i Partner Hub är avgörande för distributionsprocessen. Fortsätt inte med installationen utan att slutföra detta steg.

3

Klicka på Lägg till en resurs och klicka på Ladda ner .OVA-filen på kortet Installera och konfigurera programvara.

Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna för Hybrid Data Security. Detta kan leda till problem vid uppgradering av applikationen. Se till att du laddar ner den senaste versionen av OVA-filen.

Du kan också ladda ner OVA när som helst från Hjälp -avsnittet. Klicka på Inställningar > Hjälp > Ladda ner programvara för hybrid datasäkerhet.

OVA-filen börjar laddas ner automatiskt. Spara filen på en plats på din dator.
4

Du kan också klicka på Se distributionsguide för hybrid datasäkerhet för att kontrollera om det finns en senare version av den här guiden tillgänglig.

Skapa en konfigurations-ISO för HDS-värdarna

Installationsprocessen för Hybrid Data Security skapar en ISO-fil. Sedan använder du ISO-filen för att konfigurera din Hybrid Data Security-värd.

Innan du börjar
1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker login -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Installationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till localhost.

Använd en webbläsare för att gå till localhost, http://127.0.0.1:8080, och ange administratörsanvändarnamnet för Partner Hub vid prompten.

Verktyget använder den första inmatningen av användarnamnet för att ställa in rätt miljö för det kontot. Verktyget visar sedan standardinloggningsfrågan.

7

När du uppmanas anger du dina inloggningsuppgifter för Partner Hub-administratören och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid Data Security.

8

På översiktssidan för installationsverktyget klickar du på Kom igång.

9

På sidan ISO-import har du dessa alternativ:

  • Nej— Om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
  • Ja— Om du redan har skapat HDS-noder väljer du din ISO-fil i bläddringsfältet och laddar upp den.
10

Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.

  • Om du aldrig har laddat upp ett certifikat tidigare, ladda upp X.509-certifikatet, ange lösenordet och klicka på Fortsätt.
  • Om ditt certifikat är OK klickar du på Fortsätt.
  • Om ditt certifikat har gått ut eller om du vill ersätta det, välj Nej för Vill du fortsätta använda HDS-certifikatkedjan och den privata nyckeln från föregående ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
11

Ange databasadressen och kontot för att HDS ska få åtkomst till ditt nyckeldatalager:

  1. Välj din databastyp (PostgreSQL eller Microsoft SQL Server).

    Om du väljer Microsoft SQL Serverfår du ett fält för autentiseringstyp.

  2. (Endast Microsoft SQL Server ) Välj din autentiseringstyp:

    • Grundläggande autentisering: Du behöver ett lokalt SQL Server-kontonamn i fältet Användarnamn.

    • Windows-autentisering: Du behöver ett Windows-konto i formatet username@DOMAIN i fältet Användarnamn.

  3. Ange databasserveradressen i formen : eller :.

    Exempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att matcha värdnamnet.

    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

  4. Ange Databasnamn.

  5. Ange användarnamnetoch lösenordet för en användare med alla behörigheter till nyckellagringsdatabasen.

12

Välj ett TLS-databasanslutningsläge:

Mode

Beskrivning

Föredra TLS (standardalternativ)

HDS-noder kräver inte att TLS ansluter till databasservern. Om du aktiverar TLS på databasservern försöker noderna upprätta en krypterad anslutning.

Kräver TLS

HDS-noder ansluter endast om databasservern kan förhandla om TLS.

Kräv TLS och verifiera certifikat signering

Det här läget är inte tillämpligt för SQL Server-databaser.

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • Efter att en TLS-anslutning har upprättats jämför noden certifikatets signerare från databasservern med certifikatutfärdaren i Databasrotcertifikat. Om noden inte matchar sänker noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

Kräv TLS och verifiera certifikat signering och värdnamn

  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

  • Efter att en TLS-anslutning har upprättats jämför noden certifikatets signerare från databasservern med certifikatutfärdaren i Databasrotcertifikat. Om noden inte matchar sänker noden anslutningen.

  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databasvärd och port. Namnen måste matcha exakt, eller så tappar noden anslutningen.

Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

När du laddar upp rotcertifikatet (om det behövs) och klickar på Fortsätttestar HDS-installationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av skillnader i anslutning kan HDS-noderna eventuellt upprätta TLS-anslutningen även om HDS Setup Tool-datorn inte kan testa den.)

13

På sidan Systemloggar konfigurerar du din Syslogd-server:

  1. Ange URL:en för syslog-servern.

    Om servern inte är DNS-matchbar från noderna för ditt HDS-kluster, använd en IP-adress i URL:en.

    Exempel:
    udp://10.92.43.23:514 indikerar loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.

  2. Om du konfigurerar din server för att använda TLS-kryptering, markera Är din syslog-server konfigurerad för SSL-kryptering?.

    Om du markerar den här kryssrutan, se till att du anger en TCP-URL som tcp://10.92.43.23:514.

  3. Från rullgardinsmenyn Välj syslog-postavslutning väljer du lämplig inställning för din ISO-fil: Choose eller Newline används för Graylog och Rsyslog TCP

    • Nullbyte -- \x00

    • Ny rad -- \n—Välj det här alternativet för Graylog och Rsyslog TCP.

  4. Klicka på Fortsätt.

14

(Valfritt) Du kan ändra standardvärdet för vissa databasanslutningsparametrar i Avancerade inställningar. Generellt sett är den här parametern den enda du kanske vill ändra:

app_datasource_connection_pool_maxSize: 10
15

Klicka på Fortsätt på skärmen Återställ lösenord för servicekonton.

Lösenord för tjänstkonton har en livslängd på nio månader. Använd den här skärmen när dina lösenord närmar sig utgångsdatumet eller om du vill återställa dem för att ogiltigförklara tidigare ISO-filer.

16

Klicka på Ladda ner ISO-fil. Spara filen på en plats som är lätt att hitta.

17

Gör en säkerhetskopia av ISO-filen på ditt lokala system.

Förvara säkerhetskopian säkert. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid Data Security-administratörer som ska göra konfigurationsändringar.

18

För att stänga av installationsverktyget, skriv CTRL+C.

Nästa steg

Säkerhetskopiera konfigurations-ISO-filen. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det är inte möjligt att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.

Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa till om du tappar bort den.

Installera HDS Host OVA

Använd den här proceduren för att skapa en virtuell maskin från OVA-filen.
1

Använd VMware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden.

2

Välj Fil > Distribuera OVF-mall.

3

I guiden anger du platsen för OVA-filen som du laddade ner tidigare och klickar sedan på Nästa.

4

På sidan Välj ett namn och en mapp anger du ett namn på en virtuell maskin för noden (till exempel "HDS_Node_1"), väljer en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa.

5

På sidan Välj en beräkningsresurs väljer du målberäkningsresursen och klickar sedan på Nästa.

En valideringskontroll körs. När det är klart visas mallinformationen.

6

Verifiera mallinformationen och klicka sedan på Nästa.

7

Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa.

8

På sidan Välj lagring klickar du på Nästa för att acceptera standarddiskformatet och policyn för virtuell maskins lagring.

9

På sidan Välj nätverk väljer du nätverksalternativet från listan över poster för att tillhandahålla önskad anslutning till den virtuella datorn.

10

På sidan Anpassa mall konfigurerar du följande nätverksinställningar:

  • Värdnamn—Ange FQDN (värdnamn och domän) eller ett värdnamn med ett enda ord för noden.

    • Du behöver inte ställa in domänen så att den matchar den domän du använde för att hämta X.509-certifikatet.

    • För att säkerställa en lyckad registrering i molnet, använd endast gemener i det FQDN eller värdnamn som du anger för noden. Det finns för närvarande inget stöd för versalisering.

    • Den totala längden på FQDN-koden får inte överstiga 64 tecken.

  • IP-adress— Ange IP-adressen för nodens interna gränssnitt.

    Din nod bör ha en intern IP-adress och ett DNS-namn. DHCP stöds inte.

  • Mask— Ange subnätmaskadressen med punkt-decimal notation. Till exempel, 255.255.255.0.
  • Gateway— Ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som en åtkomstpunkt till ett annat nätverk.
  • DNS-servrar—Ange en kommaseparerad lista över DNS-servrar som hanterar översättning av domännamn till numeriska IP-adresser. (Upp till fyra DNS-poster är tillåtna.)
  • NTP-servrar— Ange din organisations NTP-server eller en annan extern NTP-server som kan användas i din organisation. Standard-NTP-servrarna kanske inte fungerar för alla företag. Du kan också använda en kommaseparerad lista för att ange flera NTP-servrar.

  • Distribuera alla noder på samma undernät eller VLAN, så att alla noder i ett kluster kan nås från klienter i ditt nätverk för administrativa ändamål.

Om du föredrar kan du hoppa över konfigurationen av nätverksinställningarna och följa stegen i Konfigurera den virtuella hybriddatasäkerhetsmaskinen för att konfigurera inställningarna från nodkonsolen.

Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 7.0 och 8.0. Alternativet kanske inte är tillgängligt i tidigare versioner.

11

Högerklicka på nodens virtuella dator och välj sedan Strömförsörjning > Slå på.

Hybrid Data Security-programvaran installeras som gäst på den virtuella datorvärden. Du är nu redo att logga in på konsolen och konfigurera noden.

Felsökningstips

Det kan uppstå en fördröjning på några minuter innan nodbehållarna dyker upp. Ett meddelande om en bryggbrandvägg visas på konsolen under första starten, och under den tiden kan du inte logga in.

Konfigurera den virtuella hybriddatasäkerhetsdatorn

Använd den här proceduren för att logga in på Hybrid Data Security-nodens virtuella datorkonsol för första gången och ange inloggningsuppgifterna. Du kan också använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

1

I VMware vSphere-klienten väljer du din virtuella dator för hybriddatasäkerhetsnoden och väljer fliken Konsol.

Den virtuella maskinen startar och en inloggningsfråga visas. Om inloggningsfrågan inte visas trycker du på Enter.
2

Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

  1. Inloggning: admin

  2. Lösenord: cisco

Eftersom du loggar in på din virtuella dator för första gången måste du ändra administratörslösenordet.

3

Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVAhoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn.

4

Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Din nod bör ha en intern IP-adress och ett DNS-namn. DHCP stöds inte.

5

(Valfritt) Ändra värdnamn, domän eller NTP-server(ar) om det behövs för att matcha din nätverkspolicy.

Du behöver inte ställa in domänen så att den matchar den domän du använde för att hämta X.509-certifikatet.

6

Spara nätverkskonfigurationen och starta om den virtuella datorn så att ändringarna träder i kraft.

Ladda upp och montera HDS-konfigurations-ISO:n

Använd den här proceduren för att konfigurera den virtuella maskinen från ISO-filen som du skapade med HDS Setup Tool.

Innan du börjar

Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras vid behov, för åtkomst av hybriddatasäkerhets-VM:er och eventuella administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer har åtkomst till datalagret.

1

Ladda upp ISO-filen från din dator:

  1. I VMware vSphere-klientens vänstra navigeringsfönster klickar du på ESXi-servern.

  2. På fliken Konfiguration klickar du på Lagring.

  3. I listan Datalager högerklickar du på datalagret för dina virtuella datorer och klickar på Bläddra i datalager.

  4. Klicka på ikonen Ladda upp fil och klicka sedan på Ladda upp fil.

  5. Bläddra till den plats där du laddade ner ISO-filen på din dator och klicka på Öppna.

  6. Klicka på Ja för att acceptera upload/download operationsvarning och stäng datalagrets dialogruta.

2

Montera ISO-filen:

  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  2. Klicka på OK för att acceptera varningen om begränsade redigeringsalternativ.

  3. Klicka på CD/DVD Drive 1, välj alternativet att montera från en ISO-fil för datalager och bläddra till den plats där du laddade upp ISO-filen för konfigurationen.

  4. Markera Ansluten och Anslut vid strömpåslag.

  5. Spara dina ändringar och starta om den virtuella maskinen.

Nästa steg

Om din IT-policy kräver det kan du valfritt avmontera ISO-filen efter att alla dina noder har registrerat konfigurationsändringarna. Se (Valfritt) Avmontera ISO efter HDS-konfiguration för mer information.

Konfigurera HDS-noden för proxy-integrering

Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.

Innan du börjar

1

Ange installations-URL:en för HDS-noden https://[HDS Node IP or FQDN]/setup i en webbläsare, ange administratörsuppgifterna som du har konfigurerat för noden och klicka sedan på Logga in.

2

Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

  • Ingen proxy— Standardalternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
  • Transparent icke-inspekterande proxy— Noder är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikat uppdatering krävs.
  • Transparent inspektionsproxy—Noder är inte konfigurerade för att använda en specifik proxyserveradress. Inga ändringar av HTTPS-konfigurationen behövs för hybridens säkerhets distribution, men HDS-noderna behöver en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
  • Explicit proxy— Med explicit proxy anger du för klienten (HDS-noder) vilken proxyserver som ska användas, och det här alternativet stöder flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:

    1. Proxy IP/FQDN—Adress som kan användas för att nå proxymaskinen.

    2. Proxyport—Ett portnummer som proxyn använder för att lyssna efter proxytrafik.

    3. Proxyprotokoll—Välj http (visar och kontrollerar alla förfrågningar som tas emot från klienten) eller https (tillhandahåller en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver har stöd för.

    4. Autentiseringstyp— Välj bland följande autentiseringstyper:

      • Ingen—Ingen ytterligare autentisering krävs.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

      • Grundläggande—Används av en HTTP-användaragent för att tillhandahålla ett användarnamn och lösenord vid en begäran. Använder base64-kodning.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

      • Digest— Används för att bekräfta kontot innan känslig information skickas. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt för HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy.

3

Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn.

Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

4

Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn.

Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel, slutför dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge.

5

När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

6

Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo.

Noden startas om inom några minuter.

7

När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

Registrera den första noden i klustret

Den här uppgiften tar den generiska noden som du skapade i Konfigurera den virtuella hybriddatasäkerhetsmaskinen, registrerar noden i Webex-molnet och omvandlar den till en hybriddatasäkerhetsnod.

När du registrerar din första nod skapar du ett kluster som noden tilldelas. Ett kluster innehåller en eller flera noder som är distribuerade för att tillhandahålla redundans.

Innan du börjar

  • När du väl har börjat registrera en nod måste du slutföra den inom 60 minuter, annars måste du börja om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp kortet Hybrid Data Security och klickar på Konfigurera.

4

På sidan som öppnas klickar du på Lägg till en resurs.

5

I det första fältet på kortet Lägg till en nod anger du ett namn för det kluster som du vill tilldela din Hybrid Data Security-nod.

Vi rekommenderar att du namnger ett kluster baserat på var klustrets noder finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

6

I det andra fältet anger du den interna IP-adressen eller det fullständiga domännamnet (FQDN) för din nod och klickar på Lägg till längst ner på skärmen.

Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera den virtuella hybriddatasäkerhetsdatorn.

Ett meddelande visas som anger att du kan registrera din nod i Webex.
7

Klicka på Gå till nod.

Efter en liten stund omdirigeras du till nodens anslutningstester för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till hybrid datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.

8

Markera kryssrutan Tillåt åtkomst till din hybriddatasäkerhetsnod och klicka sedan på Fortsätt.

Ditt konto har validerats och meddelandet "Registrering klar" indikerar att din nod nu är registrerad i Webex-molnet.
9

Klicka på länken eller stäng fliken för att gå tillbaka till sidan Partner Hub Hybrid Data Security.

På sidan Hybrid datasäkerhet visas det nya klustret som innehåller noden som du registrerade under fliken Resurser. Noden kommer automatiskt att ladda ner den senaste programvaran från molnet.

Skapa och registrera fler noder

För att lägga till ytterligare noder i ditt kluster skapar du helt enkelt ytterligare virtuella maskiner och monterar samma konfigurations-ISO-fil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

Innan du börjar

  • När du väl har börjat registrera en nod måste du slutföra den inom 60 minuter, annars måste du börja om.

  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

1

Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS Host OVA.

2

Konfigurera den initiala konfigurationen på den nya virtuella datorn och upprepa stegen i Konfigurera den hybrida virtuella datorn för datasäkerhet.

3

Upprepa stegen i Ladda upp och montera HDS-konfigurations-ISOpå den nya virtuella maskinen.

4

Om du konfigurerar en proxy för din distribution, upprepa stegen i Konfigurera HDS-noden för proxyintegration efter behov för den nya noden.

5

Registrera noden.

  1. I https://admin.webex.comväljer du Tjänster från menyn till vänster på skärmen.

  2. I avsnittet Molntjänster letar du upp kortet Hybrid datasäkerhet och klickar på Visa alla.

    Sidan Hybrid datasäkerhetsresurser visas.

  3. Det nyskapade klustret kommer att visas på sidan Resurser.

  4. Klicka på klustret för att visa de noder som är tilldelade klustret.

  5. Klicka på Lägg till en nod på höger sida av skärmen.

  6. Ange den interna IP-adressen eller det fullständiga domännamnet (FQDN) för din nod och klicka på Lägg till.

    En sida öppnas med ett meddelande som anger att du kan registrera din nod i Webex-molnet. Efter en liten stund omdirigeras du till nodens anslutningstester för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till hybrid datasäkerhetsnod. Där bekräftar du att du vill ge din organisation behörighet att komma åt din nod.

  7. Markera kryssrutan Tillåt åtkomst till din hybriddatasäkerhetsnod och klicka sedan på Fortsätt.

    Ditt konto har validerats och meddelandet "Registrering klar" indikerar att din nod nu är registrerad i Webex-molnet.

  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan Partner Hub Hybrid Data Security.

    Popup-meddelandetNod tillagd visas också längst ner på skärmen i Partner Hub.

    Din nod är registrerad.

Hantera hyresgästorganisationer med hybrid datasäkerhet för flera hyresgäster

Aktivera HDS för flera hyresgäster på Partner Hub

Den här uppgiften säkerställer att alla användare i kundorganisationerna kan börja utnyttja HDS för lokala krypteringsnycklar och andra säkerhetstjänster.

Innan du börjar

Se till att du har slutfört konfigureringen av ditt HDS-kluster med flera hyresgäster med det antal noder som krävs.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid datasäkerhet och klickar på Redigera inställningar.

4

Klicka på Aktivera HDS på kortet HDS-status.

Lägg till hyresgästorganisationer i Partner Hub

I den här uppgiften tilldelar du kundorganisationer till ditt hybriddatasäkerhetskluster.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid datasäkerhet och klickar på Visa alla.

4

Klicka på det kluster som du vill att en kund ska tilldelas.

5

Gå till fliken Tilldelade kunder.

6

Klicka på Lägg till kunder.

7

Välj den kund du vill lägga till från rullgardinsmenyn.

8

Klicka på Lägg tillså läggs kunden till i klustret.

9

Upprepa steg 6 till 8 för att lägga till flera kunder i ditt kluster.

10

Klicka på Klar längst ner på skärmen när du har lagt till kunderna.

Nästa steg

Kör HDS-installationsverktyget enligt beskrivningen i Skapa kundhuvudnycklar (CMK) med hjälp av HDS-installationsverktyget för att slutföra installationsprocessen.

Skapa kundhuvudnycklar (CMK) med hjälp av HDS-installationsverktyget

Innan du börjar

Tilldela kunder till lämpligt kluster enligt beskrivningen i Lägg till hyresgästorganisationer i partnerhubben. Kör HDS-installationsverktyget för att slutföra installationsprocessen för de nyligen tillagda kundorganisationerna.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Installationsprocessen kräver inloggningsuppgifter för ett Partner Hub-konto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-installationsverktyget körs bakom en proxy i din miljö, ange proxyinställningarna (server, port, autentiseringsuppgifter) via Docker-miljövariabler när du öppnar Docker-containern i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen varje gång du gör konfigurationsändringar, som dessa:

    • Databasuppgifter

    • Certifikatuppdateringar

    • Ändringar i auktoriseringspolicyn

  • Om du planerar att kryptera databasanslutningar, konfigurera din PostgreSQL- eller SQL Server-distribution för TLS.

Installationsprocessen för Hybrid Data Security skapar en ISO-fil. Sedan använder du ISO-filen för att konfigurera din Hybrid Data Security-värd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker login -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Installationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till localhost.

Använd en webbläsare för att gå till localhost, http://127.0.0.1:8080, och ange administratörsanvändarnamnet för Partner Hub vid prompten.

Verktyget använder den första inmatningen av användarnamnet för att ställa in rätt miljö för det kontot. Verktyget visar sedan standardinloggningsfrågan.

7

När du uppmanas anger du dina inloggningsuppgifter för Partner Hub-administratören och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid Data Security.

8

På översiktssidan för installationsverktyget klickar du på Kom igång.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

Säkerställ anslutning till din databas för att utföra CMK-hantering.
11

Gå till fliken Hantering av hyresgäst-CMK där du hittar följande tre sätt att hantera hyresgäst-CMK:er.

  • Skapa CMK för alla ORG:er eller Skapa CMK – Klicka på den här knappen i bannern högst upp på skärmen för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Skapa CMK:er för att skapa CMK:er för alla nyligen tillagda organisationer.
  • Klicka på … nära statusen för väntande CMK-hantering för en specifik organisation i tabellen och klicka på Skapa CMK för att skapa CMK för den organisationen.
12

När CMK-skapandet har lyckats ändras statusen i tabellen från CMK-hantering väntar till CMK hanterad.

13

Om skapandet av CMK misslyckas visas ett felmeddelande.

Ta bort hyresgästorganisationer

Innan du börjar

När de väl tagits bort kommer användare av kundorganisationer inte att kunna utnyttja HDS för sina krypteringsbehov och kommer att förlora alla befintliga utrymmen. Innan du tar bort kundorganisationer, vänligen kontakta din Cisco-partner eller kontoansvariga.

1

Logga in på https://admin.webex.com.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster letar du upp Hybrid datasäkerhet och klickar på Visa alla.

4

På fliken Resurser klickar du på det kluster som du vill ta bort kundorganisationer från.

5

På sidan som öppnas klickar du på Tilldelade kunder.

6

Från listan över kundorganisationer som visas klickar du på ... till höger om den kundorganisation du vill ta bort och klickar på Ta bort från kluster.

Nästa steg

Slutför borttagningsprocessen genom att återkalla CMK:erna för kundorganisationerna enligt beskrivningen i Återkalla CMK:er för hyresgäster som tagits bort från HDS.

Återkalla CMK:er för hyresgäster som tagits bort från HDS.

Innan du börjar

Ta bort kunder från lämpligt kluster enligt beskrivningen i Ta bort hyresgästorganisationer. Kör HDS-installationsverktyget för att slutföra borttagningsprocessen för de kundorganisationer som togs bort.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Installationsprocessen kräver inloggningsuppgifter för ett Partner Hub-konto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-installationsverktyget körs bakom en proxy i din miljö, ange proxyinställningarna (server, port, autentiseringsuppgifter) via Docker-miljövariabler när du öppnar Docker-containern i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen varje gång du gör konfigurationsändringar, som dessa:

    • Databasuppgifter

    • Certifikatuppdateringar

    • Ändringar i auktoriseringspolicyn

  • Om du planerar att kryptera databasanslutningar, konfigurera din PostgreSQL- eller SQL Server-distribution för TLS.

Installationsprocessen för Hybrid Data Security skapar en ISO-fil. Sedan använder du ISO-filen för att konfigurera din Hybrid Data Security-värd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

docker login -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

6

Installationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till localhost.

Använd en webbläsare för att gå till localhost, http://127.0.0.1:8080, och ange administratörsanvändarnamnet för Partner Hub vid prompten.

Verktyget använder den första inmatningen av användarnamnet för att ställa in rätt miljö för det kontot. Verktyget visar sedan standardinloggningsfrågan.

7

När du uppmanas anger du dina inloggningsuppgifter för Partner Hub-administratören och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid Data Security.

8

På översiktssidan för installationsverktyget klickar du på Kom igång.

9

På sidan ISO-import klickar du på Ja.

10

Välj din ISO-fil i webbläsaren och ladda upp den.

11

Gå till fliken Hantering av hyresgäst-CMK där du hittar följande tre sätt att hantera hyresgäst-CMK:er.

  • Återkalla CMK för alla organisationer eller Återkalla CMK – Klicka på den här knappen i bannern högst upp på skärmen för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på knappen Hantera CMK:er till höger på skärmen och klicka på Återkalla CMK:er för att återkalla CMK:er för alla organisationer som har tagits bort.
  • Klicka på nära statusen CMK som ska återkallas för en specifik organisation i tabellen och klicka på Återkalla CMK för att återkalla CMK för den specifika organisationen.
12

När CMK-återkallandet har lyckats visas kundorganisationen inte längre i tabellen.

13

Om CMK-återkallandet misslyckas visas ett felmeddelande.

Testa din hybriddatasäkerhetsdistribution

Testa din hybrida datasäkerhetsdistribution

Använd den här proceduren för att testa krypteringsscenarier med flera hyresgäster, Hybrid Data Security.

Innan du börjar

  • Konfigurera din distribution av hybrid datasäkerhet med flera innehavare.

  • Se till att du har åtkomst till sysloggen för att verifiera att nyckelförfrågningar skickas till din Multi-Tenant Hybrid Data Security-distribution.

1

Nycklar för ett givet utrymme anges av skaparen av utrymmet. Logga in på Webex-appen som en av kundorganisationens användare och skapa sedan ett utrymme.

Om du inaktiverar Hybrid Data Security-distributionen är innehåll i utrymmen som användare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

2

Skicka meddelanden till det nya utrymmet.

3

Kontrollera syslog-utdata för att verifiera att nyckelförfrågningarna skickas till din Hybrid Data Security-distribution.

Om en användare av en nyligen tillagd kundorganisation utför någon åtgärd visas organisationens organisations-ID i loggarna, och detta kan användas för att verifiera att organisationen använder Multi-Tenant HDS. Kontrollera värdet på kms.data.orgId i sysloggarna.

  1. För att kontrollera om en användare först upprättar en säker kanal till KMS, filtrera på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bör hitta en post som liknar följande (identifierare förkortade för läsbarhet):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. För att kontrollera om en användare begär en befintlig nyckel från KMS, filtrera på kms.data.method=retrieve och kms.data.type=KEY:

    Du ska nu hitta en post som till exempel följande:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. För att kontrollera om en användare begär att en ny KMS-nyckel ska skapas, filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

    Du ska nu hitta en post som till exempel följande:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. För att kontrollera om en användare begär att ett nytt KMS-resursobjekt (KRO) skapas när ett utrymme eller annan skyddad resurs skapas, filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

    Du ska nu hitta en post som till exempel följande: 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Övervaka hybriddatasäkerhetshälsa

En statusindikator i Partner Hub visar om allt är som det ska med distributionen av Hybrid Data Security för flera hyresgäster. För mer proaktiva aviseringar, registrera dig för e-postaviseringar. Du får ett meddelande när det finns larm eller programvaruuppgraderingar som påverkar tjänsten.
1

I Partnerhubbväljer du Tjänster från menyn till vänster på skärmen.

2

I avsnittet Molntjänster letar du upp Hybrid datasäkerhet och klickar på Redigera inställningar.

Sidan Inställningar för hybriddatasäkerhet visas.
3

I avsnittet E-postmeddelanden skriver du en eller flera e-postadresser separerade med kommatecken och trycker på Enter.

Hantera din HDS-distribution

Hantera HDS-distribution

Använd uppgifterna som beskrivs här för att hantera din hybriddatasäkerhetsdistribution.

Ställ in schema för klusteruppgradering

Programuppgraderingar för Hybrid Data Security görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programversion. Uppgraderingar utförs enligt uppgraderingsschemat för klustret. När en programuppgradering blir tillgänglig har du möjlighet att manuellt uppgradera klustret före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat för 3:00 AM Daily USA: America/Los Angeles. Du kan också välja att skjuta upp en kommande uppgradering, om det behövs.

Så här ställer du in uppgraderingsschemat:

1

Logga in på Partner Hub.

2

Från menyn till vänster på skärmen väljer du Tjänster.

3

I avsnittet Molntjänster, leta reda på Hybrid datasäkerhet och klicka på Konfigurera

4

På sidan Hybrid datasäkerhetsresurser väljer du klustret.

5

Klicka på fliken Klusterinställningar.

6

På sidan Klusterinställningar, under Uppgraderingsschema, väljer du tid och tidszon för uppgraderingsschemat.

Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och tid. Du kan skjuta upp uppgraderingen till följande dag om det behövs genom att klicka på Skjut upp med 24 timmar.

Ändra nodkonfigurationen

Ibland kan du behöva ändra konfigurationen av din Hybrid-datasäkerhetsnod av exempelvis:

  • Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.

    Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

  • Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.

  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:

  • Mjuk återställning— Både det gamla och det nya lösenordet fungerar i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.

  • Hård återställning— De gamla lösenorden slutar fungera omedelbart.

Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.

Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

Innan du börjar

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Installationsprocessen kräver inloggningsuppgifter för ett Partner Hub-konto med fullständiga administratörsrättigheter för partnern.

    Om du inte har en Docker Desktop-licens kan du använda Podman Desktop för att köra HDS-installationsverktyget för steg 1.a till 1.e i proceduren nedan. Se Kör HDS-installationsverktyget med Podman Desktop för mer information.

    Om HDS-installationsverktyget körs bakom en proxy i din miljö, ange proxyinställningarna (server, port, autentiseringsuppgifter) via Docker-miljövariabler när du öppnar Docker-containern i 1.e. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.

1

Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

  1. På din dators kommandorad anger du lämpligt kommando för din miljö:

    I vanliga miljöer:

    docker rmi ciscocitg/hds-setup:stable

    I FedRAMP-miljöer:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

  2. För att logga in på Docker-bildregistret anger du följande:

    docker login -u hdscustomersro

  3. Vid lösenordsupp prompten anger du detta hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Hämta den senaste stabil bild för din miljö:

    I vanliga miljöer:

    docker pull ciscocitg/hds-setup:stable

    I FedRAMP-miljöer:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

  5. När pull-in är slutförd anger du lämpligt kommando för din miljö:

    • I vanliga miljöer utan proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanliga miljöer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljöer utan proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljöer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    När behållaren körs ser du "Expressserverlyssning på port 8080".

  6. Använd en webbläsare för att ansluta till den lokalavärden, http://127.0.0.1:8080.

    Installationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till localhost.

  7. När du uppmanas att göra det anger du dina inloggningsuppgifter för Partner Hub-kunden och klickar sedan på Acceptera för att fortsätta.

  8. Importera den aktuella ISO-konfigurationsfilen.

  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

    För att stänga av installationsverktyget, skriv CTRL+C.

  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

2

Om du bara har en HDS-nod som körskapar du en ny virtuell dator med Hybrid Data Security-noden och registrerar den med den nya ISO-konfigurationsfilen. För mer detaljerade instruktioner, se Skapa och registrera fler noder.

  1. Installera HDS-värden OVA.

  2. Konfigurera virtuell dator för HDS.

  3. Montera den uppdaterade konfigurationsfilen.

  4. Registrera den nya noden i Partner Hub.

3

Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod:

  1. Stäng av den virtuella datorn.

  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

  3. Klicka på CD/DVD Drive 1, välj alternativet att montera från en ISO-fil och bläddra till den plats där du hämtade den nya konfigurations-ISO-filen.

  4. Markera Anslut vid start.

  5. Spara ändringarna och slå på den virtuella datorn.

4

Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

Inaktivera blockerad extern DNS-Matchningstid

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.

Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.

Innan du börjar

Se till att dina interna DNS-servrar kan matcha allmänna DNS-namn och att noderna kan kommunicera med dem.
1

I en webbläsare öppnar du nodgränssnittet för Hybrid Data Security (IP) address/setup, till exempel, https://192.0.2.0/setup), ange administratörsuppgifterna som du konfigurerat för noden och klicka sedan på Logga in.

2

Går du till Översikt (standard sidan).

När den är aktive rad är blockerad extern DNS-matchning inställd på Ja.

3

Går du till sidan betrodda certifikat \ proxy .

4

Klicka på kontrol lera proxy-anslutning.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej.

Nästa steg

Upprepa test av anslutnings proxy på alla noder i ditt data säkerhets kluster för Hybrid.

Ta bort en nod

Använd den här proceduren för att ta bort en hybrid datasäkerhetsnod från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
1

Använd VMware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella maskinen.

2

Ta bort noden:

  1. Logga in på Partner Hub och välj sedan Tjänster.

  2. På kortet Hybrid datasäkerhet klickar du på Visa alla för att visa sidan Resurser för hybrid datasäkerhet.

  3. Välj ditt kluster för att visa dess översiktspanel.

  4. Klicka på noden du vill ta bort.

  5. Klicka på Avregistrera den här noden i panelen som visas till höger.

  6. Du kan också avregistrera noden genom att klicka på … på höger sida av noden och välja Ta bort den här noden.

3

Ta bort den virtuella datorn i vSphere-klienten. (Högerklicka på den virtuella datorn i den vänstra navigeringsrutan och klicka på Ta bort.)

Om du inte tar bort den virtuella datorn, kom ihåg att avmontera konfigurations-ISO-filen. Utan ISO-filen kan du inte använda den virtuella datorn för att komma åt dina säkerhetsdata.

Katastrofåterställning med hjälp av Standby Data Center

Den viktigaste tjänsten som ditt hybriddatasäkerhetskluster tillhandahåller är skapandet och lagringen av nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som är tilldelad Hybrid Data Security dirigeras nya förfrågningar om att skapa nycklar till klustret. Klustret ansvarar också för att returnera de nycklar som det skapat till alla användare som är behöriga att hämta dem, till exempel medlemmar i ett konversationsutrymme.

Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopior upprätthålls. Förlust av Hybrid Data Security-databasen eller av den ISO-konfiguration som används för schemat kommer att resultera i en OUTERHÄMTNINGSBAR FÖRLUST av kundinnehåll. Följande rutiner är obligatoriska för att förhindra en sådan förlust:

Om en katastrof gör att HDS-distributionen i det primära datacentret blir otillgänglig, följ den här proceduren för att manuellt redundansväxla till reservdatacentret.

Innan du börjar

Avregistrera alla noder från Partner Hub enligt Ta bort en nod. Använd den senaste ISO-filen som konfigurerades mot noderna i klustret som tidigare var aktivt för att utföra redundansväxlingsproceduren som nämns nedan.
1

Starta HDS-installationsverktyget och följ stegen som anges i Skapa en konfigurations-ISO för HDS-värdarna.

2

Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

3

Gör en säkerhetskopia av ISO-filen på ditt lokala system. Förvara säkerhetskopian säkert. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid Data Security-administratörer som ska göra konfigurationsändringar.

4

I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

5

Klicka på Redigera inställningar >CD/DVD Enhet 1 och välj ISO-fil för datalagring.

Se till att Ansluten och Anslut vid strömpåslag är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna startats.

6

Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

7

Registrera noden i Partner Hub. Se Registrera den första noden i klustret.

8

Upprepa processen för varje nod i standby-datacentret.

Nästa steg

Om det primära datacentret blir aktivt igen efter redundansväxlingen, avregistrera noderna i standby-datacentret och upprepa processen för att konfigurera ISO och registrera noder i det primära datacentret enligt ovan.

(Valfritt) Avmontera ISO efter HDS-konfiguration

Standard-HDS-konfigurationen körs med ISO monterad. Men vissa kunder föredrar att inte lämna ISO-filer kontinuerligt monterade. Du kan avmontera ISO-filen efter att alla HDS-noder har hämtat den nya konfigurationen.

Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO-filen på alla dina HDS-noder. När alla dina noder har registrerat konfigurationsändringarna kan du avmontera ISO-filen igen med den här procedur.

Innan du börjar

Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

1

Stäng av en av dina HDS-noder.

2

I vCenter Server Appliance väljer du HDS-noden.

3

Välj Redigera inställningar > CD/DVD enhet och avmarkera Datastore ISO-fil.

4

Slå på HDS-noden och se till att det inte finns några larm på minst 20 minuter.

5

Upprepa för varje HDS-nod i tur och ordning.

Felsök hybrid datasäkerhet

Visa varningar och felsök

En hybrid datasäkerhetsdistribution anses vara otillgänglig om alla noder i klustret inte kan nås, eller om klustret fungerar så långsamt att tidsgränsen för begäranden uppnås. Om användare inte kan nå ditt Hybrid Data Security-kluster upplever de följande symptom:

  • Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)

  • Meddelanden och rumstitlar misslyckas med att dekryptera för:

    • Nya användare tillagda i ett utrymme (det gick inte att hämta nycklar)

    • Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)

  • Befintliga användare i ett utrymme kommer att fortsätta fungera korrekt så länge deras klienter har en cache med krypteringsnycklarna

Det är viktigt att du övervakar ditt hybriddatasäkerhetskluster ordentligt och åtgärdar eventuella aviseringar omedelbart för att undvika avbrott i tjänsten.

Aviseringar

Om det uppstår problem med konfigurationen av Hybrid Data Security visar Partner Hub aviseringar till organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.

Tabell 1. Vanliga problem och stegen för att lösa dem

Avisering

Åtgärd

Åtkomstfel i lokal databas.

Kontrollera om det finns databasfel eller problem med det lokala nätverket.

Fel på anslutning till den lokala databasen.

Kontrollera att databasservern är tillgänglig och att rätt autentiseringsuppgifter för tjänstkontot användes i nodkonfigurationen.

Fel på åtkomst till molntjänsten.

Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav för extern anslutning.

Förnyar registreringen för molntjänst.

Registreringen till molntjänster har tagits bort. Förnyelse av registreringen pågår.

Registreringen av molntjänsten har avbrutits.

Registreringen till molntjänster har avslutats. Tjänsten stängs ner.

Tjänsten är ännu inte aktiverad.

Aktivera HDS i Partner Hub.

Den konfigurerade domänen matchar inte servercertifikatet.

Se till att ditt servercertifikat matchar den konfigurerade domänen för tjänstaktivering.

Den troligaste orsaken är att certifikatets CN nyligen ändrades och nu skiljer sig från det CN som användes under den första installationen.

Misslyckades med att autentisera mot molntjänster.

Kontrollera noggrannheten och eventuellt utgångsdatum för inloggningsuppgifter för servicekontot.

Misslyckades med att öppna den lokala nyckellagringsfilen.

Kontrollera integritet och lösenordsnoggrannhet på den lokala nyckellagringsfilen.

Det lokala servercertifikatet är ogiltigt.

Kontrollera servercertifikatets utgångsdatum och bekräfta att det utfärdades av en betrodd certifikatutfärdare.

Det gick inte att publicera mätvärden.

Kontrollera lokal nätverksåtkomst till externa molntjänster.

/media/configdrive/hds katalogen finns inte.

Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den är konfigurerad för att monteras vid omstart och att den monteras utan problem.

Installationen av hyresgästorganisationen är inte slutförd för de tillagda organisationerna.

Slutför installationen genom att skapa CMK:er för nyligen tillagda hyresgästorganisationer med hjälp av HDS Setup Tool.

Installationen av hyresgästorganisationen är inte slutförd för de borttagna organisationerna.

Slutför installationen genom att återkalla CMK:er för hyresgästorganisationer som togs bort med HDS-installationsverktyget.

Felsök hybrid datasäkerhet

Använd följande allmänna riktlinjer vid felsökning av problem med hybrid datasäkerhet.
1

Granska Partner Hub för eventuella varningar och åtgärda eventuella fel du hittar där. Se bilden nedan som referens.

2

Granska syslog-serverns utdata för aktivitet från Hybrid Data Security-distributionen. Filtrera efter ord som "Varning" och "Fel" för att underlätta felsökning.

3

Kontakta Cisco-support.

Andra anteckningar

Kända problem för hybrid datasäkerhet

  • Om du stänger av ditt Hybrid Data Security-kluster (genom att ta bort det i Partner Hub eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till nyckeldatabasen, kan Webex-appanvändare av kundorganisationer inte längre använda utrymmen under sin personlista som skapades med nycklar från ditt KMS. Vi har för närvarande ingen lösning eller åtgärd för det här problemet och uppmanar er att inte stänga av era HDS-tjänster när de väl hanterar aktiva användarkonton.

  • En klient som har en befintlig ECDH-anslutning till ett KMS upprätthåller den anslutningen under en tidsperiod (troligen en timme).

Kör HDS Setup-verktyget med Podman Desktop

Podman är ett gratis och öppen källkodsverktyg för containerhantering som ger ett sätt att köra, hantera och skapa containrar. Podman Desktop kan laddas ner från https://podman-desktop.io/downloads.

  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt den, ladda ner och kör Podman på den maskinen. Konfigurationsprocessen kräver autentiseringsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

    Om HDS-installationsverktyget körs bakom en proxy i din miljö, ange proxyinställningarna (server, port, autentiseringsuppgifter) via Docker-miljövariabler när du öppnar Docker-containern i steg 5. Den här tabellen ger några möjliga miljövariabler:

    Beskrivning

    Variabel

    HTTP-proxyserver utan autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy utan autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxyserver med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxyserver med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen varje gång du gör konfigurationsändringar, som dessa:

    • Databasuppgifter

    • Certifikatuppdateringar

    • Ändringar i auktoriseringspolicyn

  • Om du planerar att kryptera databasanslutningar, konfigurera din PostgreSQL- eller SQL Server-distribution för TLS.

Installationsprocessen för Hybrid Data Security skapar en ISO-fil. Sedan använder du ISO-filen för att konfigurera din Hybrid Data Security-värd.

1

På din dators kommandorad anger du lämpligt kommando för din miljö:

I vanliga miljöer:

podman rmi ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

podman rmi ciscocitg/hds-setup-fedramp:stable

Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

2

För att logga in på Docker-bildregistret anger du följande:

podman login docker.io -u hdscustomersro
3

Vid lösenordsupp prompten anger du detta hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Hämta den senaste stabil bild för din miljö:

I vanliga miljöer:

podman pull ciscocitg/hds-setup:stable

I FedRAMP-miljöer:

podman pull ciscocitg/hds-setup-fedramp:stable
5

När pull-in är slutförd anger du lämpligt kommando för din miljö:

  • I vanliga miljöer utan proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanliga miljöer med en HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljöer utan proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljöer med en HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

När behållaren körs ser du "Expressserverlyssning på port 8080".

Nästa steg

Följ de återstående stegen i Skapa en konfigurations-ISO för HDS-värdarna eller Ändra nodkonfigurationen för att skapa eller ändra ISO-konfigurationen.

Flytta den befintliga HDS-distributionen med en enda klientorganisation i Control Hub till en HDS-konfiguration med flera klienter i Partner Hub

Konverteringen från en befintlig HDS-distribution med en enda klientorganisation i en partnerorganisation som hanteras i Control Hub till en HDS-distribution med flera klienter som hanteras i Partner Hub innebär främst att inaktivera HDS-tjänsten i Control Hub, avregistrera noder och ta bort klustret. Du kan sedan logga in på Partner Hub, registrera noderna, aktivera Multi-Tenant HDS och lägga till kunder i ditt kluster.

Termen "enskild hyresgäst" hänvisar helt enkelt till en befintlig HDS-distribution i Control Hub.

Inaktivera HDS, avregistrera noder och ta bort kluster i Control Hub

1

Logga in på kontrollhubben. I den vänstra rutan klickar du på Hybrid. På Hybrid Data Security-kortet klickar du på Redigera inställningar.

2

På inställningssidan, skrolla ner till avsnittet Inaktivera och klicka på Inaktivera.

3

Efter avaktivering klickar du på fliken Resurser.

4

Sidan Resurser listar nedre kluster i din HDS-distribution. Klicka på ett kluster så öppnas en sida med alla noder under det klustret.

5

Klicka på ... till höger och klicka på Avregistrera nod. Upprepa processen för alla noder i klustret.

6

Om din distribution har flera kluster upprepar du steg 4 och steg 5 tills alla noder har avregistrerats.

7

Klicka på Klusterinställningar > Ta bort.

8

Klicka på Bekräfta borttagning för att avregistrera klustret.

9

Upprepa processen för alla kluster i din HDS-distribution.

Efter HDS-deaktivering, avregistrering av noder och borttagning av kluster visas Installationen har inte slutförts längst ner på Hybrid Data Service-kortet på Control Hub.

Aktivera Multi-Tenant HDS för partnerorganisationen på Partner Hub och lägg till kunder

Innan du börjar

Alla förkunskapskrav som nämns i Krav för hybriddatasäkerhet för flera hyresgäster gäller här. Se dessutom till att samma databas och certifikat används under flyttningen till Multi-Tenant HDS.

1

Logga in på Partnerhubben. Klicka på Tjänster i den vänstra rutan.

Använd samma ISO från din tidigare HDS-distribution för att konfigurera noderna. Detta säkerställer att meddelanden och innehåll som genererats av användarna i den tidigare befintliga HDS-distributionen fortfarande är tillgängliga i den nya Multi-Tenant-konfigurationen.

2

I avsnittet Molntjänster letar du upp kortet Hybrid Data Security och klickar på Konfigurera.

3

På sidan som öppnas klickar du på Lägg till en resurs.

4

I det första fältet på kortet Lägg till en nod anger du ett namn för det kluster som du vill tilldela din Hybrid Data Security-nod.

Vi rekommenderar att du namnger ett kluster baserat på var klustrets noder finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

5

I det andra fältet anger du den interna IP-adressen eller det fullständiga domännamnet (FQDN) för din nod och klickar på Lägg till längst ner på skärmen.

Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera den virtuella hybriddatasäkerhetsdatorn.

Ett meddelande visas som anger att du kan registrera din nod i Webex.
6

Klicka på Gå till nod.

Efter en liten stund omdirigeras du till nodens anslutningstester för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till hybrid datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.

7

Markera kryssrutan Tillåt åtkomst till din hybriddatasäkerhetsnod och klicka sedan på Fortsätt.

Ditt konto har validerats och meddelandet "Registrering klar" indikerar att din nod nu är registrerad i Webex Cloud. På sidan Hybrid datasäkerhet visas det nya klustret som innehåller noden som du registrerade under fliken Resurser. Noden kommer automatiskt att ladda ner den senaste programvaran från molnet.
8

Gå till fliken Inställningar och klicka på Aktivera på HDS-statuskortet.

MeddelandetAktiverad HDS visas längst ner på skärmen.
9

I Resurserklickar du på det nyskapade klustret.

10

På sidan som öppnas klickar du på fliken Tilldelade kunder.

11

Klicka på Lägg till kunder.

12

Välj den kund du vill lägga till från rullgardinsmenyn.

13

Klicka på Lägg tillså läggs kunden till i klustret.

14

Upprepa steg 11 till 13 för att lägga till flera kunder i ditt kluster.

15

Klicka på Klar längst ner på skärmen när du har lagt till kunderna.

Nästa steg

Kör HDS-installationsverktyget enligt beskrivningen i Skapa kundhuvudnycklar (CMK) med hjälp av HDS-installationsverktyget för att slutföra installationsprocessen.

Använd OpenSSL för att generera en PKCS12-fil

Innan du börjar

  • OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för laddning i HDS Setup Tool. Det finns andra sätt att göra detta, och vi varken stöder eller främjar det ena sättet framför det andra.

  • Om du väljer att använda OpenSSL tillhandahåller vi den här proceduren som en riktlinje för att hjälpa dig skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.

  • Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.

  • Skapa en privat nyckel.

  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

1

När du får servercertifikatet från din CA, spara det som hdsnode.pem.

2

Visa certifikatet som text och verifiera uppgifterna.

openssl x509 -text -noout -in hdsnode.pem

3

Använd en textredigerare för att skapa en certifikatpaketfil med namnet hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, eventuella mellanliggande CA-certifikat och rot-CA-certifikaten, i formatet nedan:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Skapa .p12-filen med det vänliga namnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollera informationen om servercertifikatet.

  1. openssl pkcs12 -in hdsnode.p12

  2. Ange ett lösenord vid prompten för att kryptera den privata nyckeln så att den listas i utdata. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller raderna friendlyName: kms-private-key.

    Exempel:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Nästa steg

Återgå till Slutför förutsättningarna för hybrid datasäkerhet. Du kommer att använda hdsnode.p12 -filen och lösenordet du har angett för den i Skapa en konfigurations-ISO för HDS-värdarna.

Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet löper ut.

Trafik mellan HDS-noderna och molnet

Utgående mätvärden Insamling av trafik

Hybriddatasäkerhetsnoderna skickar vissa mätvärden till Webex-molnet. Dessa inkluderar systemmått för max heap, heapanvändning, CPU-belastning och trådantal; mått på synkrona och asynkrona trådar; mått på aviseringar som involverar ett tröskelvärde för krypteringsanslutningar, latens eller en begärandekölängd; mått på datalagret; och mått på krypteringsanslutningar. Noderna skickar krypterat nyckelmaterial över en out-of-band (separat från begäran) kanal.

Inkommande trafik

Hybriddatasäkerhetsnoderna tar emot följande typer av inkommande trafik från Webex-molnet:

  • Krypteringsförfrågningar från klienter, som dirigeras av krypteringstjänsten

  • Uppgraderingar av nodprogramvaran

Konfigurera squid-proxyservrar för Hybrid-datasäkerhet

WebSocket kan inte ansluta via squid proxy

Squid-proxyservrar som inspekterar HTTPS-trafik kan störa upprättandet av websocket-anslutningar (wss:) som Hybrid Data Security kräver. Dessa avsnitt ger vägledning om hur man konfigurerar olika versioner av Squid för att ignorera wss: -trafik för att tjänsterna ska fungera korrekt.

Squid 4 och 5

Lägg till direktivet on_unsupported_protocol till squid.conf:

on_unsupported_protocol tunnel all

Squid-3.5.27

Vi testade framgångsrikt hybrid datasäkerhet med följande regler tillagda till squid.conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Var den här artikeln användbar?
Var den här artikeln användbar?
PrissättningWebex-appenMötenCallingMeddelandenSkärmdelning
Webex SuiteCallingMötenMeddelandenSlidoWebbseminarierEventsContact CenterCPaaSSäkerhetControl Hub
HeadsetKamerorSkrivbordsserieRoom-serienBoard-serienTelefonserienTillbehör
UtbildningHälso- och sjukvårdStatliga myndigheterEkonomiSport och nöjeFrontlinjeIdeella organisationerNystartade företagHybridarbete
HämtningarDelta i ett testmöteOnlinekurserIntegreringarHjälpmedelInklusivitetWebbseminarier live och på begäranWebex CommunityWebex för utvecklareNyheter och innovationer
CiscoKontakta supportKontakta försäljningsavdelningenWebex BlogWebex tankeledarskapWebex Merch StoreJobba hos oss
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
VillkorSekretesspolicyCookiesVarumärken
©2025 Cisco och/eller dess dotterbolag. Med ensamrätt.
VillkorSekretesspolicyCookiesVarumärken