Контент деяких статей може відображатися непослідовно. Перепрошуємо за це, триває оновлення вебсайту.
cross icon
У цій статті
dropdown icon
Передмова
    Нова й змінена інформація
    dropdown icon
    Почніть роботу з гібридною безпекою даних
      Огляд гібридної безпеки даних
        dropdown icon
        Архітектура області безпеки
          Області розділення (без гібридної безпеки даних)
        Співпраця з іншими організаціями
          Очікування розгортання гібридної безпеки даних
            Процес налаштування на високому рівні
              dropdown icon
              Модель розгортання гібридної безпеки даних
                Модель розгортання гібридної безпеки даних
              Ознайомлювальний режим гібридної безпеки даних
                dropdown icon
                Центр даних у режимі очікування для відновлення після відмови
                  Налаштування центру обробки даних у режимі очікування для відновлення після відмови
                Підтримка проксі-сервера
                dropdown icon
                Підготуйте своє оточення
                  dropdown icon
                  Вимоги до гібридної безпеки даних
                    Вимоги до ліцензії Cisco Webex
                    Вимоги до робочого стола Docker
                    Вимоги до сертифіката X.509
                    Вимоги до віртуального організатора
                    Вимоги до сервера бази даних
                    Вимоги до зовнішнього з’єднання
                    Вимоги до проксі-сервера
                  Виконати передумови для гібридної безпеки даних
                  dropdown icon
                  Налаштувати кластер гібридної безпеки даних
                    Процес розгортання гібридної безпеки даних
                      Завантажити файли інсталяції
                        Створити ISO конфігурації для хостів HDS
                          Установити OVA організатора HDS
                            Налаштувати VM гібридної безпеки даних
                              Вивантажити та змонтувати ISO конфігурації HDS
                                Налаштування вузла HDS для інтеграції проксі
                                  Зареєструвати перший вузол у кластері.
                                    Створити й зареєструвати більше вузлів
                                    dropdown icon
                                    Запустити ознайомлювальну версію та перейти до виробництва
                                      Ознайомлювальна версія процесу виконання виробничих завдань
                                        Активувати ознайомлювальну версію
                                          Перевірити розгортання гібридної безпеки даних
                                            Моніторинг гібридної безпеки даних
                                              Додайте або видаліть користувачів зі своєї пробної версії
                                                Перейти з пробної версії до виробництва
                                                  Завершити ознайомлювальну версію, не переходячи до виробництва
                                                  dropdown icon
                                                  Керування розгортанням HDS
                                                    Керування розгортанням HDS
                                                      Установити розклад оновлення кластера.
                                                        Змінити конфігурацію вузла
                                                          Вимкнення режиму роздільної здатності заблокованих зовнішніх DNS
                                                            Видалити вузол
                                                              Відновлення після відмови за допомогою центру обробки даних у режимі очікування
                                                                (Необов’язково) Демонтування ISO після конфігурації HDS
                                                                dropdown icon
                                                                Усунення несправностей гібридної безпеки даних
                                                                  Переглянути сповіщення та усунути несправності
                                                                    dropdown icon
                                                                    Оповіщення
                                                                      Загальні проблеми та кроки для їх вирішення
                                                                    Усунення несправностей гібридної безпеки даних
                                                                    dropdown icon
                                                                    Інші примітки
                                                                      Відомі проблеми гібридної безпеки даних
                                                                        Використовуйте OpenSSL для створення файлу PKCS12
                                                                          Трафік між вузлами HDS і хмарою
                                                                            dropdown icon
                                                                            Налаштувати проксі-сервери Squid для гібридної безпеки даних
                                                                              Websocket не може підключитися через проксі-сервер Squid
                                                                          У цій статті
                                                                          cross icon
                                                                          dropdown icon
                                                                          Передмова
                                                                            Нова й змінена інформація
                                                                            dropdown icon
                                                                            Почніть роботу з гібридною безпекою даних
                                                                              Огляд гібридної безпеки даних
                                                                                dropdown icon
                                                                                Архітектура області безпеки
                                                                                  Області розділення (без гібридної безпеки даних)
                                                                                Співпраця з іншими організаціями
                                                                                  Очікування розгортання гібридної безпеки даних
                                                                                    Процес налаштування на високому рівні
                                                                                      dropdown icon
                                                                                      Модель розгортання гібридної безпеки даних
                                                                                        Модель розгортання гібридної безпеки даних
                                                                                      Ознайомлювальний режим гібридної безпеки даних
                                                                                        dropdown icon
                                                                                        Центр даних у режимі очікування для відновлення після відмови
                                                                                          Налаштування центру обробки даних у режимі очікування для відновлення після відмови
                                                                                        Підтримка проксі-сервера
                                                                                        dropdown icon
                                                                                        Підготуйте своє оточення
                                                                                          dropdown icon
                                                                                          Вимоги до гібридної безпеки даних
                                                                                            Вимоги до ліцензії Cisco Webex
                                                                                            Вимоги до робочого стола Docker
                                                                                            Вимоги до сертифіката X.509
                                                                                            Вимоги до віртуального організатора
                                                                                            Вимоги до сервера бази даних
                                                                                            Вимоги до зовнішнього з’єднання
                                                                                            Вимоги до проксі-сервера
                                                                                          Виконати передумови для гібридної безпеки даних
                                                                                          dropdown icon
                                                                                          Налаштувати кластер гібридної безпеки даних
                                                                                            Процес розгортання гібридної безпеки даних
                                                                                              Завантажити файли інсталяції
                                                                                                Створити ISO конфігурації для хостів HDS
                                                                                                  Установити OVA організатора HDS
                                                                                                    Налаштувати VM гібридної безпеки даних
                                                                                                      Вивантажити та змонтувати ISO конфігурації HDS
                                                                                                        Налаштування вузла HDS для інтеграції проксі
                                                                                                          Зареєструвати перший вузол у кластері.
                                                                                                            Створити й зареєструвати більше вузлів
                                                                                                            dropdown icon
                                                                                                            Запустити ознайомлювальну версію та перейти до виробництва
                                                                                                              Ознайомлювальна версія процесу виконання виробничих завдань
                                                                                                                Активувати ознайомлювальну версію
                                                                                                                  Перевірити розгортання гібридної безпеки даних
                                                                                                                    Моніторинг гібридної безпеки даних
                                                                                                                      Додайте або видаліть користувачів зі своєї пробної версії
                                                                                                                        Перейти з пробної версії до виробництва
                                                                                                                          Завершити ознайомлювальну версію, не переходячи до виробництва
                                                                                                                          dropdown icon
                                                                                                                          Керування розгортанням HDS
                                                                                                                            Керування розгортанням HDS
                                                                                                                              Установити розклад оновлення кластера.
                                                                                                                                Змінити конфігурацію вузла
                                                                                                                                  Вимкнення режиму роздільної здатності заблокованих зовнішніх DNS
                                                                                                                                    Видалити вузол
                                                                                                                                      Відновлення після відмови за допомогою центру обробки даних у режимі очікування
                                                                                                                                        (Необов’язково) Демонтування ISO після конфігурації HDS
                                                                                                                                        dropdown icon
                                                                                                                                        Усунення несправностей гібридної безпеки даних
                                                                                                                                          Переглянути сповіщення та усунути несправності
                                                                                                                                            dropdown icon
                                                                                                                                            Оповіщення
                                                                                                                                              Загальні проблеми та кроки для їх вирішення
                                                                                                                                            Усунення несправностей гібридної безпеки даних
                                                                                                                                            dropdown icon
                                                                                                                                            Інші примітки
                                                                                                                                              Відомі проблеми гібридної безпеки даних
                                                                                                                                                Використовуйте OpenSSL для створення файлу PKCS12
                                                                                                                                                  Трафік між вузлами HDS і хмарою
                                                                                                                                                    dropdown icon
                                                                                                                                                    Налаштувати проксі-сервери Squid для гібридної безпеки даних
                                                                                                                                                      Websocket не може підключитися через проксі-сервер Squid

                                                                                                                                                  Посібник із розгортання гібридної безпеки даних Webex

                                                                                                                                                  list-menuУ цій статті
                                                                                                                                                  list-menuНадіслати відгук?
                                                                                                                                                  Передмова

                                                                                                                                                  Нова та змінена інформація

                                                                                                                                                  Дата

                                                                                                                                                  Внесені зміни

                                                                                                                                                  20 жовтня 2023 року

                                                                                                                                                  7 серпня 2023 року

                                                                                                                                                  23 травня 2023 року

                                                                                                                                                  6 грудня 2022 року

                                                                                                                                                  23 листопада 2022 року

                                                                                                                                                  13 жовтня 2021 р.

                                                                                                                                                  Щоб установити вузли HDS, Docker Desktop необхідно запустити програму встановлення. Див Вимоги до Docker Desktop .

                                                                                                                                                  24 червня 2021 року

                                                                                                                                                  Зауважено, що ви можете повторно використовувати файл із закритим ключем і CSR для запиту іншого сертифіката. Див Використовуйте OpenSSL для створення файлу PKCS12 для отримання додаткової інформації.

                                                                                                                                                  30 квітня 2021 р.

                                                                                                                                                  Вимогу до VM щодо простору на локальному жорсткому диску змінено на 30 ГБ. Див Вимоги до віртуального хоста для отримання додаткової інформації.

                                                                                                                                                  24 лютого 2021 р.

                                                                                                                                                  HDS Setup Tool тепер може працювати через проксі. Див Створіть ISO конфігурації для хостів HDS для отримання додаткової інформації.

                                                                                                                                                  2 лютого 2021 р.

                                                                                                                                                  Тепер HDS може працювати без підключеного файлу ISO. Див (Необов’язково) Відключіть ISO після конфігурації HDS для отримання додаткової інформації.

                                                                                                                                                  11 січня 2021 року

                                                                                                                                                  Додано інформацію про інструмент налаштування HDS і проксі в Створіть ISO конфігурації для хостів HDS .

                                                                                                                                                  13 жовтня 2020 р.

                                                                                                                                                  Оновлено Завантажте файли встановлення .

                                                                                                                                                  8 жовтня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла з командами для середовищ FedRAMP.

                                                                                                                                                  14 серпня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла зі змінами в процесі входу.

                                                                                                                                                  5 серпня 2020 р.

                                                                                                                                                  Оновлено Перевірте розгортання гібридної безпеки даних для змін у повідомленнях журналу.

                                                                                                                                                  Оновлено Вимоги до віртуального хоста щоб видалити максимальну кількість хостів.

                                                                                                                                                  16 червня 2020 р.

                                                                                                                                                  Оновлено Видалити вузол для змін в інтерфейсі користувача Control Hub.

                                                                                                                                                  4 червня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS для змін у розширених налаштуваннях, які ви можете встановити.

                                                                                                                                                  29 травня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS щоб показати, що також можна використовувати TLS з базами даних SQL Server, змінами інтерфейсу користувача та іншими роз’ясненнями.

                                                                                                                                                  5 травня 2020 р.

                                                                                                                                                  Оновлено Вимоги до віртуального хоста щоб відобразити нові вимоги ESXi 6.5.

                                                                                                                                                  21 квітня 2020 р

                                                                                                                                                  Оновлено Вимоги до зовнішнього підключення з новими хостами CI Північної і Південної Америки.

                                                                                                                                                  1 квітня 2020 р

                                                                                                                                                  Оновлено Вимоги до зовнішнього підключення з інформацією про регіональні хости CI.

                                                                                                                                                  20 лютого 2020 р.Оновлено Створіть ISO конфігурації для хостів HDS з інформацією на новому екрані додаткових додаткових параметрів у інструменті налаштування HDS.
                                                                                                                                                  4 лютого 2020 рОновлено Вимоги до проксі-сервера .
                                                                                                                                                  16 грудня 2019 р.Роз’яснено вимоги до роботи в режимі роздільної здатності заблокованого зовнішнього DNS Вимоги до проксі-сервера .
                                                                                                                                                  19 листопада 2019 р.

                                                                                                                                                  Додано інформацію про режим дозволу заблокованого зовнішнього DNS в таких розділах:

                                                                                                                                                  8 листопада 2019 р.

                                                                                                                                                  Тепер можна налаштувати параметри мережі для вузла під час розгортання OVA, а не пізніше.

                                                                                                                                                  Відповідно оновлено такі розділи:


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  6 вересня 2019 р.

                                                                                                                                                  Стандартний SQL Server додано до Вимоги до сервера бази даних .

                                                                                                                                                  29 серпня 2019 рокуДодано Налаштуйте проксі Squid для гібридної безпеки даних додаток із інструкціями щодо налаштування проксі Squid для ігнорування трафіку вебсокетів для належної роботи.
                                                                                                                                                  20 серпня 2019 р.

                                                                                                                                                  Додані й оновлені розділи, які охоплюють підтримку проксі-сервера для зв’язку вузла гібридної безпеки даних із хмарою Webex.

                                                                                                                                                  Щоб отримати доступ лише до контенту підтримки проксі для наявного розгортання, див Підтримка проксі для гібридної безпеки даних і Webex Video Mesh довідкова стаття.

                                                                                                                                                  13 червня 2019 рокуОновлено Потік завдань із пробної версії до виробничого з нагадуванням про синхронізацію HdsTrialGroup об’єкт групи перед початком ознайомлювальної версії, якщо ваша організація використовує синхронізацію каталогів.
                                                                                                                                                  6 березня 2019 року
                                                                                                                                                  28 лютого 2019 року
                                                                                                                                                  • Виправлено кількість простору локального жорсткого диска на сервер, який ви повинні були виділити під час підготовки віртуальних хостів, які стануть вузлами гібридної безпеки даних, з 50 ГБ до 20 ГБ, щоб відобразити розмір диска, який створює OVA.

                                                                                                                                                  26 лютого 2019 р.
                                                                                                                                                  • Вузли гібридної безпеки даних тепер підтримують зашифровані підключення до серверів баз даних PostgreSQL, а також зашифровані підключення для ведення журналів до сервера системного журналу з підтримкою TLS. Оновлено Створіть ISO конфігурації для хостів HDS з інструкціями.

                                                                                                                                                  • Цільові URL-адреси видалено з таблиці "Вимоги до підключення до інтернету для віртуальних машин вузлів гібридної безпеки даних". Тепер таблиця посилається на список, який ведеться в таблиці "Додаткові URL-адреси для гібридних служб Webex Teams" Вимоги до мережі для служб Webex Teams .

                                                                                                                                                  24 січня 2019 р.

                                                                                                                                                  • Hybrid Data Security тепер підтримує Microsoft SQL Server як базу даних. Параметр SQL Server Always On (Always On Failover Clusters and Always On Availability Groups) підтримується драйверами JDBC, які використовуються в гібридній безпеці даних. Додано контент, пов’язаний із розгортанням за допомогою SQL Server.


                                                                                                                                                     

                                                                                                                                                    Підтримку Microsoft SQL Server призначено лише для нового розгортання служби безпеки даних гібридного типу. Наразі міграція даних із PostgreSQL у Microsoft SQL Server у наявному розгортанні не підтримується.

                                                                                                                                                  5 листопада 2018 року
                                                                                                                                                  19 жовтня 2018 року

                                                                                                                                                  31 липня 2018 року

                                                                                                                                                  21 травня 2018 р.

                                                                                                                                                  Термінологію змінено, щоб відобразити ребрендинг Cisco Spark:

                                                                                                                                                  • Гібридна безпека даних Cisco Spark тепер є гібридною безпекою даних.

                                                                                                                                                  • Програма Cisco Spark тепер стала програмою Webex.

                                                                                                                                                  • Хмара Cisco Collaboraton тепер хмара Webex.

                                                                                                                                                  11 квітня 2018 року
                                                                                                                                                  22 лютого 2018 р.
                                                                                                                                                  15 лютого 2018 року
                                                                                                                                                  • У Вимоги до сертифіката X.509 вказано, що сертифікат не може бути сертифікатом із символами підстановки та що KMS використовує домен CN, а не будь-який домен, визначений у полях x.509v3 SAN.

                                                                                                                                                  18 січня 2018 року

                                                                                                                                                  2 листопада 2017 року

                                                                                                                                                  • Уточнена синхронізація каталогів HdsTrialGroup.

                                                                                                                                                  • Виправлені інструкції щодо передавання файлу конфігурації ISO для підключення до вузлів віртуальної машини.

                                                                                                                                                  18 серпня 2017 року

                                                                                                                                                  Вперше опубліковано

                                                                                                                                                  Почніть роботу з гібридною безпекою даних

                                                                                                                                                  Огляд безпеки гібридних даних

                                                                                                                                                  З першого дня безпека даних була головним у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, що забезпечується клієнтами Webex App, які взаємодіють зі Службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і розшифрування повідомлень і файлів.

                                                                                                                                                  За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS, у сфері безпеки Cisco. Hybrid Data Security переміщує KMS та інші функції, пов 'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не має ключів до вашого зашифрованого вмісту.

                                                                                                                                                  Архітектура області безпеки

                                                                                                                                                  Хмарна архітектура Webex розділяє різні типи служб на окремі області або довірені домени, як показано нижче.

                                                                                                                                                  Області розділення (без гібридної безпеки даних)

                                                                                                                                                  Щоб краще зрозуміти гібридну безпеку даних, давайте спочатку розглянемо цей випадок у чистому вигляді, коли Cisco надає всі функції у своїх хмарних сферах. Служба ідентифікації, єдине місце, де користувачів можна безпосередньо зв’язати з їхньою особистою інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зберігається зашифрований контент. , у центрі обробки даних C.

                                                                                                                                                  На цій діаграмі клієнтом є програма Webex, що запущена на ноутбуці користувача та пройшла автентифікацію за допомогою служби ідентифікації. Коли користувач створює повідомлення для надсилання до простору, виконуються такі кроки:

                                                                                                                                                  1. Клієнт встановлює захищене підключення до служби керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Захищене підключення використовує ECDH, а KMS шифрує ключ за допомогою головного ключа AES-256.

                                                                                                                                                  2. Повідомлення шифрується, перш ніж залишити клієнт. Клієнт надсилає його до служби індексування, яка створює зашифровані індекси пошуку, щоб допомогти в майбутніх пошуках контенту.

                                                                                                                                                  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

                                                                                                                                                  4. Зашифроване повідомлення зберігається в області сховища.

                                                                                                                                                  Під час розгортання гібридної безпеки даних функції області безпеки (KMS, індексація та відповідність вимогам) переносяться до локального центру обробки даних. Інші хмарні служби, що складають Webex (зокрема, ідентифікаційні дані та сховище контенту) залишаються в сферах Cisco.

                                                                                                                                                  Співпраця з іншими організаціями

                                                                                                                                                  Користувачі у вашій організації можуть регулярно використовувати програму Webex для співпраці із зовнішніми учасниками в інших організаціях. Коли один із користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), KMS надсилає ключ клієнту через захищений канал ECDH. Однак, коли ключ для простору володіє інша організація, KMS маршрутизує запит до хмари Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в оригінальному каналі.

                                                                                                                                                  Служба KMS, що працює в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Див Підготуйте своє середовище Докладніше про створення сертифіката x.509 для використання з розгортанням гібридної безпеки даних.

                                                                                                                                                  Очікування щодо розгортання гібридної безпеки даних

                                                                                                                                                  Розгортання гібридної безпеки даних вимагає значних зобов’язань клієнта та усвідомлення ризиків, пов’язаних із володінням ключами шифрування.

                                                                                                                                                  Щоб розгорнути гібридну безпеку даних, необхідно надати:

                                                                                                                                                  Повна втрата ISO конфігурації, створеної для гібридної безпеки даних, або наданої вами бази даних призведе до втрати ключів. Втрата ключа не дозволяє користувачам розшифрувати вміст простору та інші зашифровані дані в програмі Webex. Якщо це станеться, можна створити нове розгортання, але видимим буде лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

                                                                                                                                                  • Керуйте резервним копіюванням і відновленням бази даних і ISO конфігурації.

                                                                                                                                                  • Будьте готові виконати швидке відновлення після аварії, якщо станеться катастрофа, як-от збій диска бази даних або аварійний стан центру обробки даних.


                                                                                                                                                   

                                                                                                                                                  Немає механізму переміщення ключів назад до хмари після розгортання HDS.

                                                                                                                                                  Процес налаштування високого рівня

                                                                                                                                                  У цьому документі описано налаштування та керування розгортанням гібридної безпеки даних:

                                                                                                                                                  • Налаштуйте безпеку гібридних даних —Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення Hybrid Data Security, тестування розгортання з підгрупою користувачів у ознайомлювальному режимі та, після завершення тестування, перехід до робочої версії. Це перетворить всю організацію на використання кластера гібридної безпеки даних для функцій безпеки.

                                                                                                                                                    Про фази налаштування, ознайомлювальної версії та виробництва докладно описано в наступних трьох розділах.

                                                                                                                                                  • Підтримуйте розгортання гібридної безпеки даних — Хмара Webex автоматично надає поточні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати екранні сповіщення та налаштувати сповіщення на основі електронної пошти в Control Hub.

                                                                                                                                                  • Ознайомтеся з поширеними сповіщеннями, кроками з усунення несправностей та відомими проблемами — Якщо у вас виникнуть проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й усунути проблему.

                                                                                                                                                  Модель розгортання гібридної безпеки даних

                                                                                                                                                  У межах корпоративного центру обробки даних ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли взаємодіють із хмарою Webex через захищені вебсокети та захищений HTTP.

                                                                                                                                                  Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами віртуальних машинах. За допомогою інструмента налаштування HDS можна створити користувацький ISO-файл конфігурації кластера, який монтується на кожному вузлі. Кластер гібридної безпеки даних використовує наданий вами сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і деталі підключення до бази даних у інструменті налаштування HDS.)

                                                                                                                                                  Модель розгортання гібридної безпеки даних

                                                                                                                                                  Мінімальна кількість вузлів, які можна мати в кластері, становить два. Рекомендовано принаймні три, а можна до п’яти. Наявність кількох вузлів гарантує, що обслуговування не буде перервано під час оновлення програмного забезпечення або інших дій з обслуговування на вузлі. (У хмарі Webex одночасно оновлюється лише один вузол.)

                                                                                                                                                  Усі вузли в кластері отримують доступ до одного сховища ключових даних і реєструють дії на одному сервері системних журналів. Самі вузли не мають стану та обробляють запити ключів у циклічному порядку, відповідно до вказівок хмари.

                                                                                                                                                  Вузли стають активними, коли ви реєструєте їх у Control Hub. Щоб вимкнути окремий вузол, можна скасувати його реєстрацію, а пізніше за потреби зареєструвати повторно.

                                                                                                                                                  Ми підтримуємо лише один кластер на організацію.

                                                                                                                                                  Ознайомлювальний режим безпеки гібридних даних

                                                                                                                                                  Після налаштування розгортання гібридної безпеки даних ви спочатку спробуєте його з набором пілотних користувачів. Протягом пробного періоду ці користувачі використовують ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Інші ваші користувачі продовжують використовувати область хмарної безпеки.

                                                                                                                                                  Якщо ви вирішите не продовжувати розгортання під час пробної версії та деактивуєте службу, пілотні користувачі та всі користувачі, з якими вони взаємодіяли шляхом створення нових просторів протягом пробного періоду, втратять доступ до повідомлень і контенту. У програмі Webex вони побачать повідомлення "Це повідомлення неможливо розшифрувати".

                                                                                                                                                  Якщо ви впевнені, що ваше розгортання працює добре для користувачів пробної версії, і ви готові поширити гібридну безпеку даних на всіх своїх користувачів, ви переміщуєте розгортання до робочої версії. Пілотні користувачі продовжують мати доступ до ключів, які використовувалися під час ознайомлювальної версії. Однак ви не можете переходити між робочим режимом і вихідним ознайомлювальним режимом. Якщо ви повинні деактивувати службу, наприклад, для виконання аварійного відновлення, під час повторної активації необхідно почати нову ознайомлювальну версію та налаштувати набір пілотних користувачів для нової ознайомлювальної версії, перш ніж повернутися до робочого режиму. Те, чи збережуть користувачі доступ до даних на цьому етапі, залежить від того, чи успішно ви створили резервні копії сховища ключових даних і файлу конфігурації ISO для вузлів гібридної безпеки даних у вашому кластері.

                                                                                                                                                  Резервний центр обробки даних для аварійного відновлення

                                                                                                                                                  Під час розгортання ви налаштовуєте захищений резервний центр обробки даних. У разі аварійної ситуації в центрі обробки даних можна вручну зупинити розгортання в резервному центрі обробки даних.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручне перемикання на резервний центр обробки даних

                                                                                                                                                  Бази даних активного та резервного центрів обробки даних синхронізовані одна з одною, що мінімізує час, необхідний для перемикання на помилку. Файл ISO резервного центру обробки даних оновлено додатковими конфігураціями, які гарантують, що вузли зареєстровані в організації, але не оброблятимуть трафік. Тому вузли резервного центру обробки даних завжди залишаються в актуальному стані з останньою версією програмного забезпечення HDS.


                                                                                                                                                   

                                                                                                                                                  Активні вузли гібридної безпеки даних повинні завжди перебувати в тому самому центрі обробки даних, що й активний сервер бази даних.

                                                                                                                                                  Налаштуйте резервний центр обробки даних для аварійного відновлення

                                                                                                                                                  Виконайте наведені нижче дії, щоб налаштувати файл ISO резервного центру обробки даних:

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Резервний центр обробки даних має відображати виробниче середовище віртуальних машин і резервну копію бази даних PostgreSQL або Microsoft SQL Server. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини. (Див Резервний центр обробки даних для аварійного відновлення для огляду цієї моделі резервного перемикання.)

                                                                                                                                                  • Переконайтеся, що ввімкнено синхронізацію бази даних між базою даних активних і пасивних вузлів кластера.

                                                                                                                                                  1.

                                                                                                                                                  Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .


                                                                                                                                                   

                                                                                                                                                  Файл ISO має бути копією вихідного файлу ISO основного центру обробки даних, у якому необхідно виконати наведені далі оновлення конфігурації.

                                                                                                                                                  2.

                                                                                                                                                  Після налаштування сервера Syslogd клацніть Розширені налаштування

                                                                                                                                                  3.

                                                                                                                                                  На Розширені налаштування сторінку, додайте конфігурацію нижче, щоб перевести вузол у пасивний режим. У цьому режимі вузол буде зареєстровано в організації та підключено до хмари, але не оброблятиме трафік.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4.

                                                                                                                                                  Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

                                                                                                                                                  5.

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  6.

                                                                                                                                                  На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування. .

                                                                                                                                                  7.

                                                                                                                                                  Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.


                                                                                                                                                   

                                                                                                                                                  Переконайтеся, що Підключено і Підключіться після ввімкнення перевірено, щоб оновлені зміни конфігурації набули чинності після запуску вузлів.

                                                                                                                                                  8

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

                                                                                                                                                  9

                                                                                                                                                  Повторіть процес для кожного вузла в резервному центрі обробки даних.


                                                                                                                                                   

                                                                                                                                                  Перевірте системні журнали, щоб переконатися, що вузли перебувають у пасивному режимі. Ви повинні мати змогу переглядати повідомлення «KMS налаштовано в пасивному режимі» в системних журналах.

                                                                                                                                                  Що далі

                                                                                                                                                  Після налаштування passiveMode у файлі ISO та після його збереження можна створити іншу копію файлу ISO без файлу passiveMode конфігурацію та збережіть її в захищеному місці. Ця копія файлу ISO без passiveMode configured може допомогти в швидкому перемиканні на помилку під час аварійного відновлення. Див Аварійне відновлення за допомогою резервного центру обробки даних для детальної процедури переходу до відмови.

                                                                                                                                                  Підтримка проксі-сервера

                                                                                                                                                  Гібридна безпека даних підтримує явні, прозорі проксі-сервери з перевіркою та без перевірки. Можна прив’язати ці проксі-сервери до свого розгортання, щоб захищати та відстежувати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для керування сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

                                                                                                                                                  Вузли гібридної безпеки даних підтримують такі параметри проксі:

                                                                                                                                                  • Немає проксі — Значення за замовчуванням, якщо ви не використовуєте налаштування вузла HDS, сховища довіри та конфігурацію проксі для інтеграції проксі. Оновлення сертифіката не потрібно.

                                                                                                                                                  • Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.

                                                                                                                                                  • Прозорий проксі з тунелюванням або перевіркою —Вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах змінювати конфігурацію HTTP або HTTPS не потрібно. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

                                                                                                                                                  • Явний проксі — За допомогою явного проксі ви вказуєте вузлам HDS, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі-сервер, необхідно ввести таку інформацію на кожному вузлі:

                                                                                                                                                    1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.

                                                                                                                                                    2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.

                                                                                                                                                    3. Протокол проксі — Залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

                                                                                                                                                      • HTTP — перегляд і контроль усіх запитів, які надсилає клієнт.

                                                                                                                                                      • HTTPS — надає канал до сервера. Клієнт отримує та перевіряє сертифікат сервера.

                                                                                                                                                    4. Тип автентифікації — Виберіть один із таких типів автентифікації:

                                                                                                                                                      • Немає — подальша автентифікація не потрібна.

                                                                                                                                                        Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.

                                                                                                                                                      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.

                                                                                                                                                        Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.

                                                                                                                                                        Вимагає ввести ім’я користувача та пароль на кожному вузлі.

                                                                                                                                                      • Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.

                                                                                                                                                        Доступно, лише якщо вибрано HTTPS як протокол проксі.

                                                                                                                                                        Вимагає ввести ім’я користувача та пароль на кожному вузлі.

                                                                                                                                                  Приклад гібридних вузлів безпеки даних і проксі

                                                                                                                                                  На цій діаграмі показано приклад підключення між гібридною безпекою даних, мережею та проксі. Для параметрів проксі-сервера з прозорою перевіркою та явною перевіркою HTTPS необхідно встановити той самий кореневий сертифікат на проксі-сервері та вузлах гібридної безпеки даних.

                                                                                                                                                  Режим дозволу заблокованого зовнішнього DNS (явні конфігурації проксі)

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі вузла, процес перевіряє пошук DNS і можливість підключення до хмари Cisco Webex. У розгортаннях із явними конфігураціями проксі, які не дозволяють роздільну здатність зовнішнього DNS для внутрішніх клієнтів, якщо вузол не може запитувати сервери DNS, він автоматично переходить у режим роздільної здатності заблокованого зовнішнього DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести підключення проксі.

                                                                                                                                                  Підготуйте своє середовище

                                                                                                                                                  Вимоги до гібридної безпеки даних

                                                                                                                                                  Вимоги до ліцензії Cisco Webex

                                                                                                                                                  Щоб розгорнути гібридну безпеку даних:

                                                                                                                                                  Вимоги до Docker Desktop

                                                                                                                                                  Перш ніж установити вузли HDS, необхідно запустити програму встановлення Docker Desktop. Docker нещодавно оновив свою модель ліцензування. Для вашої організації може знадобитися платна підписка на Docker Desktop. Докладніше див. у дописі до блогу Docker "Docker оновлює та розширює наші підписки на продукти".

                                                                                                                                                  Вимоги до сертифіката X.509

                                                                                                                                                  Ланцюжок сертифікатів має відповідати таким вимогам:

                                                                                                                                                  Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

                                                                                                                                                  Вимоги

                                                                                                                                                  Відомості

                                                                                                                                                  • Підписано довіреним центром сертифікації (CA)

                                                                                                                                                  За замовчуванням ми довіряємо ЦС у списку Mozilla (за винятком WoSign і StartCom) за адресоюhttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Має доменне ім’я Common Name (CN), яке ідентифікує ваше розгортання гібридної безпеки даних

                                                                                                                                                  • Не є сертифікатом із символом підстановки

                                                                                                                                                  CN не обов’язково має бути доступним або активним організатором. Рекомендовано використовувати назву, яка відображає вашу організацію, наприклад, hds.company.com.

                                                                                                                                                  CN не повинна містити символ * (підстановка).

                                                                                                                                                  CN використовується для перевірки вузлів гібридної безпеки даних для клієнтів програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, який визначено в полях SAN x.509v3.

                                                                                                                                                  Після реєстрації вузла за допомогою цього сертифіката зміна імені домену CN не підтримується. Виберіть домен, який може застосовуватися як для ознайомлювального, так і для робочого розгортання.

                                                                                                                                                  • Підпис не SHA1

                                                                                                                                                  Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключень до KMS інших організацій.

                                                                                                                                                  • Відформатовано як файл PKCS № 12, захищений паролем

                                                                                                                                                  • Використовуйте дружнє ім’я користувача kms-private-key щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.

                                                                                                                                                  Щоб змінити формат сертифіката, можна використовувати конвертер, наприклад OpenSSL.

                                                                                                                                                  Під час запуску засобу налаштування HDS потрібно буде ввести пароль.

                                                                                                                                                  Програмне забезпечення KMS не встановлює обмеження щодо використання ключів або розширеного використання ключів. Деякі центри сертифікації вимагають, щоб до кожного сертифіката були застосовані розширені обмеження використання ключів, наприклад автентифікація сервера. Можна використовувати автентифікацію сервера або інші налаштування.

                                                                                                                                                  Вимоги до віртуального хоста

                                                                                                                                                  Віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері, мають такі вимоги:

                                                                                                                                                  • Принаймні два окремих хости (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

                                                                                                                                                  • VMware ESXi 6.5 (або пізнішої версії) встановлено та працює.


                                                                                                                                                     

                                                                                                                                                    Необхідно оновити версію, якщо у вас є попередня версія ESXi.

                                                                                                                                                  • Мінімум 4 vCPU, 8 ГБ основної пам’яті, 30 ГБ місця на локальному жорсткому диску на сервер

                                                                                                                                                  Вимоги до сервера бази даних


                                                                                                                                                   

                                                                                                                                                  Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

                                                                                                                                                  Є два варіанти для сервера бази даних. Вимоги до кожного є такими:

                                                                                                                                                  Таблиця 2. Вимоги до сервера бази даних за типом бази даних

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 або 16, установлено та запущено.

                                                                                                                                                  • Установлено SQL Server 2016, 2017 або 2019 (Enterprise або Standard).


                                                                                                                                                     

                                                                                                                                                    Для SQL Server 2016 потрібні пакет оновлень 2 і накопичувальне оновлення 2 або пізнішої версії.

                                                                                                                                                  Мінімум 8 vCPU, 16 ГБ основної пам’яті, достатньо простору на жорсткому диску та моніторинг, щоб гарантувати, що воно не перевищено (рекомендується 2 ТБ, якщо ви хочете працювати з базою даних протягом тривалого часу без необхідності збільшувати обсяг сховища).

                                                                                                                                                  Мінімум 8 vCPU, 16 ГБ основної пам’яті, достатньо простору на жорсткому диску та моніторинг, щоб гарантувати, що воно не перевищено (рекомендується 2 ТБ, якщо ви хочете працювати з базою даних протягом тривалого часу без необхідності збільшувати обсяг сховища).

                                                                                                                                                  Зараз програмне забезпечення HDS встановлює такі версії драйверів для зв’язку із сервером бази даних:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Драйвер JDBC Postgres 42.2.5

                                                                                                                                                  Драйвер JDBC SQL Server 4.6

                                                                                                                                                  Ця версія драйвера підтримує SQL Server Always On ( Завжди ввімкнені екземпляри кластера перемикання і Завжди ввімкнені групи доступності ).

                                                                                                                                                  Додаткові вимоги до автентифікації Windows у Microsoft SQL Server

                                                                                                                                                  Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для отримання доступу до бази даних сховища ключів на Microsoft SQL Server, вам потрібна така конфігурація у вашому середовищі:

                                                                                                                                                  • Вузли HDS, інфраструктура Active Directory і MS SQL Server мають бути синхронізовані з NTP.

                                                                                                                                                  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ для читання та запису до бази даних.

                                                                                                                                                  • Сервери DNS, які ви надаєте вузлам HDS, повинні мати можливість дозволити ваш центр розподілу ключів (KDC).

                                                                                                                                                  • Ви можете зареєструвати екземпляр бази даних HDS на Microsoft SQL Server як ім’я користувача-служби (SPN) у вашому Active Directory. Див Зареєструйте ім’я користувача-служби для підключень Kerberos .

                                                                                                                                                    Інструмент налаштування HDS, засіб запуску HDS і локальний KMS повинні використовувати автентифікацію Windows для доступу до бази даних сховища ключів. Вони використовують дані вашої конфігурації ISO для створення SPN, коли запитують доступ за допомогою автентифікації Kerberos.

                                                                                                                                                  Вимоги до зовнішнього підключення

                                                                                                                                                  Налаштуйте брандмауер, щоб дозволити такі можливості підключення для програм HDS:

                                                                                                                                                  Застосування

                                                                                                                                                  Протокол

                                                                                                                                                  Порт

                                                                                                                                                  Напрямок із програми

                                                                                                                                                  Призначення

                                                                                                                                                  Вузли гібридної безпеки даних

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Вихідні HTTPS і WSS

                                                                                                                                                  • Сервери Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Усі хости Common Identity

                                                                                                                                                  • Інші URL-адреси, перелічені для гібридної безпеки даних у Додаткові URL-адреси для гібридних служб Webex таблицю з Вимоги до мережі для служб Webex

                                                                                                                                                  Інструмент налаштування HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Вихідний HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Усі хости Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Вузли гібридної безпеки даних працюють із трансляцією доступу до мережі (NAT) або за брандмауером, якщо NAT або брандмауер дозволяє використовувати необхідні вихідні підключення до адресатів домену, наведених у попередній таблиці. Для вхідних підключень до вузлів гібридної безпеки даних порти з інтернету не повинні бути видимими. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

                                                                                                                                                  URL-адреси хостів Common Identity (CI) залежать від регіону. Це поточні хости CI:

                                                                                                                                                  Регіон

                                                                                                                                                  URL-адреси хоста спільних ідентифікаційних даних

                                                                                                                                                  Північна та Південна Америки

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Європейський Союз

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Канада

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Вимоги до проксі-сервера

                                                                                                                                                  • Ми офіційно підтримуємо такі проксі-рішення, які можна інтегрувати з вашими вузлами гібридної безпеки даних.

                                                                                                                                                  • Підтримуються такі комбінації типів автентифікації для явних проксі-серверів:

                                                                                                                                                    • Немає автентифікації за допомогою HTTP або HTTPS

                                                                                                                                                    • Базова автентифікація за допомогою HTTP або HTTPS

                                                                                                                                                    • Дайджест автентифікації лише за допомогою HTTPS

                                                                                                                                                  • Для прозорого проксі-сервера з перевіркою або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі. В інструкціях із розгортання в цьому посібнику описано, як передати копію до сховищ довіри вузлів гібридної безпеки даних.

                                                                                                                                                  • Мережа, де розміщено вузли HDS, повинна бути налаштована на примусове маршрутизацію вихідного трафіку TCP через порт 443 через проксі.

                                                                                                                                                  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з 'єднанню веб-сокетів. Якщо ця проблема виникне, обійти (не перевіряти) трафік до wbx2.com і ciscospark.com вирішить проблему.

                                                                                                                                                  Виконайте обов’язкові умови для гібридної безпеки даних

                                                                                                                                                  Використовуйте цей контрольний список, щоб переконатися, що ви готові до встановлення та налаштування кластера гібридної безпеки даних.
                                                                                                                                                  1.

                                                                                                                                                  Переконайтеся, що у вашій організації Webex увімкнено Pro Pack for Cisco Webex Control Hub, і отримайте облікові дані облікового запису з повними правами адміністратора організації. Зверніться до партнера Cisco або менеджера облікового запису, щоб отримати допомогу з цим процесом.

                                                                                                                                                  2.

                                                                                                                                                  Виберіть ім’я домену для розгортання HDS (наприклад, hds.company.com) і отримати ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ і будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам у Вимоги до сертифіката X.509 .

                                                                                                                                                  3.

                                                                                                                                                  Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері. Вам потрібно принаймні два окремих хоста (рекомендовано 3), розміщені в одному захищеному центрі обробки даних, які відповідають вимогам у Вимоги до віртуального хоста .

                                                                                                                                                  4.

                                                                                                                                                  Підготуйте сервер бази даних, який буде виконувати функцію сховища ключових даних для кластера, відповідно до Вимоги до сервера бази даних . Сервер бази даних має бути одночасно розташований у захищеному центрі обробки даних із віртуальними хостами.

                                                                                                                                                  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.)

                                                                                                                                                  2. Зберіть відомості, які вузли використовуватимуть для зв’язку із сервером бази даних:

                                                                                                                                                    • ім’я хоста або IP-адресу (хост) і порт

                                                                                                                                                    • ім’я бази даних (dbname) для зберігання ключів

                                                                                                                                                    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

                                                                                                                                                  5.

                                                                                                                                                  Для швидкого аварійного відновлення налаштуйте середовище резервного копіювання в іншому центрі обробки даних. Середовище резервного копіювання відображає виробниче середовище віртуальних машин і сервера бази даних резервного копіювання. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини.

                                                                                                                                                  6.

                                                                                                                                                  Налаштуйте хост системного журналу для збору журналів із вузлів у кластері. Зібрати його мережеву адресу та порт системного журналу (за замовчуванням – UDP 514).

                                                                                                                                                  7.

                                                                                                                                                  Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста системного журналу. Як мінімум, щоб запобігти втраті даних без можливості відновлення, необхідно створити резервну копію бази даних і файлу ISO конфігурації, створеного для вузлів гібридної безпеки даних.


                                                                                                                                                   

                                                                                                                                                  Оскільки вузли гібридної безпеки даних зберігають ключі, що використовуються для шифрування та розшифровки контенту, неможливість підтримати оперативне розгортання призведе до НЕВІДКЛЮЧЕНА ВТРАТА цього контенту.

                                                                                                                                                  Клієнти програми Webex кешують свої ключі, тому перебої в роботі можуть бути помітні не відразу, а з часом. Хоча тимчасові перебої в роботі неможливо запобігти, їх можна відновити. Однак повна втрата (недоступні резервні копії) бази даних або файлу ISO конфігурації призведе до того, що дані клієнта будуть недоступні для відновлення. Очікується, що оператори вузлів гібридної безпеки даних будуть підтримувати часте резервне копіювання бази даних і файлу ISO конфігурації та бути готовими до відновлення центру обробки даних гібридної безпеки даних у разі катастрофічної помилки.

                                                                                                                                                  8

                                                                                                                                                  Переконайтеся, що конфігурація брандмауера дозволяє підключатися до вузлів гібридної безпеки даних, як описано в Вимоги до зовнішнього підключення .

                                                                                                                                                  9

                                                                                                                                                  Установити Docker (https://www.docker.com ) на будь-якому локальному комп’ютері з підтримуваною ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядна версія або Mac OSX Yosemite 10.10.3 або новішої версії) з веббраузером, який може отримати до неї доступ за адресою http://127.0.0.1:8080.

                                                                                                                                                  Ви використовуєте екземпляр Docker для завантаження та запуску засобу налаштування HDS, який створює інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Вашій організації може знадобитися ліцензія Docker Desktop. Див Вимоги до Docker Desktop для отримання додаткової інформації.

                                                                                                                                                  Щоб установити та запустити HDS Setup Tool, локальний комп’ютер повинен мати можливість підключення, описану в Вимоги до зовнішнього підключення .

                                                                                                                                                  10

                                                                                                                                                  Якщо ви інтегруєте проксі-сервер із гібридною безпекою даних, переконайтеся, що він відповідає Вимоги до проксі-сервера .

                                                                                                                                                  11

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів, створіть групу в Active Directory з викликом HdsTrialGroup, і додати пілотних користувачів. Ознайомлювальна група може налічувати до 250 користувачів. Нараду HdsTrialGroup об’єкт необхідно синхронізувати з хмарою, перш ніж ви зможете почати пробну версію для вашої організації. Щоб синхронізувати об’єкт групи, виберіть його в з’єднувачі каталогу Конфігурація > Вибір об’єкта меню. (Докладні інструкції див Посібник із розгортання для Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Ключі для певного простору встановлюються його творцем. Вибираючи пілотних користувачів, пам’ятайте, що якщо ви вирішите остаточно деактивувати розгортання гібридної безпеки даних, усі користувачі втратять доступ до контенту в просторах, які були створені пілотними користувачами. Втрата стає очевидною, щойно програми користувачів оновлять кешовані копії контенту.

                                                                                                                                                  Налаштуйте кластер гібридної безпеки даних

                                                                                                                                                  Потік завдань розгортання безпеки гібридних даних

                                                                                                                                                  1.

                                                                                                                                                  Завантажте файли встановлення

                                                                                                                                                  Завантажте файл OVA на локальний комп’ютер для подальшого використання.

                                                                                                                                                  2.

                                                                                                                                                  Створіть ISO конфігурації для хостів HDS

                                                                                                                                                  Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

                                                                                                                                                  3.

                                                                                                                                                  Установіть OVA хоста HDS

                                                                                                                                                  Створіть віртуальну машину з файлу OVA та виконайте початкове налаштування, наприклад налаштування мережі.


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  4.

                                                                                                                                                  Налаштуйте віртуальну машину гібридної безпеки даних

                                                                                                                                                  Увійдіть на консоль VM і задайте облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо ви не налаштували їх під час розгортання OVA.

                                                                                                                                                  5.

                                                                                                                                                  Вивантажте та підключіть ISO конфігурації HDS

                                                                                                                                                  Налаштуйте віртуальну машину з файлу конфігурації ISO, який ви створили за допомогою засобу налаштування HDS.

                                                                                                                                                  6.

                                                                                                                                                  Налаштуйте вузол HDS для інтеграції проксі

                                                                                                                                                  Якщо мережеве середовище вимагає конфігурації проксі-сервера, укажіть тип проксі, який ви використовуватимете для вузла, і за потреби додайте сертифікат проксі до сховища довіри.

                                                                                                                                                  7.

                                                                                                                                                  Зареєструйте перший вузол у кластері

                                                                                                                                                  Зареєструйте віртуальну машину в хмарі Cisco Webex як вузол гібридної безпеки даних.

                                                                                                                                                  8

                                                                                                                                                  Створіть і зареєструйте більше вузлів

                                                                                                                                                  Завершіть налаштування кластера.

                                                                                                                                                  9

                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

                                                                                                                                                  Поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

                                                                                                                                                  Завантажте файли встановлення

                                                                                                                                                  У цьому завданні ви завантажуєте файл OVA на ваш комп’ютер (а не на сервери, які ви налаштували як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.
                                                                                                                                                  1.

                                                                                                                                                  Увійти вhttps://admin.webex.com , а потім клацніть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Налаштування .

                                                                                                                                                  Якщо картку вимкнено або ви не бачите її, зверніться до команди облікового запису або партнерської організації. Надайте їм номер свого облікового запису та попросіть увімкнути гібридну безпеку даних у вашій організації. Щоб знайти номер облікового запису, клацніть шестірню у верхньому правому куті поруч із назвою організації.


                                                                                                                                                   

                                                                                                                                                  Ви також можете в будь-який час завантажити OVA з Довідка розділ про Налаштування сторінка. На картці гібридної безпеки даних клацніть Змінити налаштування , щоб відкрити сторінку. Потім клацніть Завантажте програмне забезпечення гібридної безпеки даних в Довідка розділ.


                                                                                                                                                   

                                                                                                                                                  Старші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до проблем під час оновлення програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

                                                                                                                                                  3.

                                                                                                                                                  Виберіть Ні , щоб указати, що вузол ще не налаштовано, а потім клацніть Далі .

                                                                                                                                                  Завантаження файлу OVA почнеться автоматично. Збережіть файл у розташуванні на вашому комп’ютері.
                                                                                                                                                  4.

                                                                                                                                                  Клацніть за бажанням Відкрийте посібник із розгортання щоб перевірити, чи доступна пізніша версія цього посібника.

                                                                                                                                                  Створіть ISO конфігурації для хостів HDS

                                                                                                                                                  У процесі налаштування гібридної безпеки даних створюється файл ISO. Потім ви використовуєте ISO для налаштування хоста гібридної безпеки даних.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Центру керування з повними правами адміністратора для вашої організації.

                                                                                                                                                    Якщо інструмент налаштування HDS працює за допомогою проксі у вашому середовищі, надайте параметри проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час виклику контейнера Docker на кроці. 5 . У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі з аутентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Створений вами файл конфігурації містить основний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Остання копія цього файлу потрібна щоразу, коли ви вносите зміни конфігурації, наприклад:

                                                                                                                                                    • Облікові дані бази даних

                                                                                                                                                    • Оновлення сертифіката

                                                                                                                                                    • Зміни політики авторизації

                                                                                                                                                  • Якщо ви плануєте шифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

                                                                                                                                                  1.

                                                                                                                                                  У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

                                                                                                                                                  У звичайних умовах:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Цей крок очищає попередні зображення інструментів налаштування HDS. Якщо попередніх зображень немає, він повертає помилку, яку можна проігнорувати.

                                                                                                                                                  2.

                                                                                                                                                  Щоб увійти до реєстру Docker-образів, введіть наступне:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3.

                                                                                                                                                  У підказці пароля введіть цей хеш:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4.

                                                                                                                                                  Завантажте останнє стабільне зображення для вашого середовища:

                                                                                                                                                  У звичайних умовах:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5.

                                                                                                                                                  Після завершення витягування введіть відповідну команду для вашого середовища:

                                                                                                                                                  • У звичайних середовищах без проксі-сервера:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • У звичайних середовищах з HTTP-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У звичайних середовищах з HTTPS-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У середовищах FedRAMP без проксі-сервера:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з HTTP-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з HTTPS-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

                                                                                                                                                  6.

                                                                                                                                                   

                                                                                                                                                  Інструмент налаштування не підтримує підключення до локального хосту http://localhost:8080. використання http://127.0.0.1:8080 для підключення до локального хосту.

                                                                                                                                                  Використовуйте веббраузер, щоб перейти до локального хоста, http://127.0.0.1:8080, і введіть ім’я користувача адміністратора клієнта для Control Hub у відповідь на запит.

                                                                                                                                                  Інструмент використовує цей перший запис імені користувача, щоб установити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку про вхід.

                                                                                                                                                  7.

                                                                                                                                                  Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора клієнта Control Hub, а потім клацніть Увійти щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

                                                                                                                                                  8

                                                                                                                                                  На сторінці огляду інструмента налаштування клацніть Почати роботу .

                                                                                                                                                  9

                                                                                                                                                  На Імпорт ISO на сторінці, у вас є такі параметри:

                                                                                                                                                  • Ні —Якщо ви створюєте свій перший вузол HDS, у вас немає файлу ISO для передавання.
                                                                                                                                                  • Так —Якщо ви вже створили вузли HDS, виберіть файл ISO під час перегляду й передайте його.
                                                                                                                                                  10

                                                                                                                                                  Переконайтеся, що ваш сертифікат X.509 відповідає вимогам у Вимоги до сертифіката X.509 .

                                                                                                                                                  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити .
                                                                                                                                                  • Якщо сертифікат відповідає вимогам, клацніть Продовжити .
                                                                                                                                                  • Якщо термін дії сертифіката завершився або ви хочете його замінити, виберіть Ні для Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO? . Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити .
                                                                                                                                                  11

                                                                                                                                                  Введіть адресу бази даних і обліковий запис HDS, щоб отримати доступ до сховища ключових даних:

                                                                                                                                                  1. Виберіть свій Тип бази даних ( PostgreSQL або Microsoft SQL Server ).

                                                                                                                                                    Якщо ви виберете Microsoft SQL Server , ви отримаєте поле Тип автентифікації.

                                                                                                                                                  2. ( Microsoft SQL Server тільки) Виберіть свій Тип автентифікації :

                                                                                                                                                    • Базова автентифікація : Потрібне ім’я локального облікового запису SQL Server у файлі Ім’я користувача поле.

                                                                                                                                                    • Автентифікація Windows : Потрібен обліковий запис Windows у форматі username@DOMAIN в Ім’я користувача поле.

                                                                                                                                                  3. Введіть адресу сервера бази даних у формі <hostname>:<port> або <IP-address>:<port>.

                                                                                                                                                    Приклад:
                                                                                                                                                    dbhost.example.org:1433 або 198.51.100.17:1433

                                                                                                                                                    Можна використовувати IP-адресу для базової автентифікації, якщо вузли не можуть використовувати DNS для визначення імені хоста.

                                                                                                                                                    Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433

                                                                                                                                                  4. Введіть Ім’я бази даних .

                                                                                                                                                  5. Введіть Ім’я користувача і Пароль користувача з усіма правами на базу даних сховища ключів.

                                                                                                                                                  12

                                                                                                                                                  Виберіть a Режим підключення до бази даних TLS :

                                                                                                                                                  Режим

                                                                                                                                                  Опис

                                                                                                                                                  Віддати перевагу TLS (параметр за замовчуванням)

                                                                                                                                                  Вузли HDS не вимагають TLS для підключення до сервера бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли намагатимуться встановити зашифроване підключення.

                                                                                                                                                  Вимагати TLS

                                                                                                                                                  Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  Вимагати TLS і перевіряти підписувача сертифіката


                                                                                                                                                   

                                                                                                                                                  Цей режим не застосовується до баз даних SQL Server.

                                                                                                                                                  • Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  • Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

                                                                                                                                                  Щоб завантажити кореневий сертифікат для цього параметра, скористайтеся пунктом керування кореневим сертифікатом бази даних під спадним меню.

                                                                                                                                                  Вимагати TLS та перевіряти підписувача сертифіката та ім 'я хоста

                                                                                                                                                  • Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  • Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

                                                                                                                                                  • Вузли також перевіряють, що ім’я хоста в сертифікаті сервера збігається з іменем хоста в Хост бази даних і порт поле. Імена повинні точно збігатися, або вузол розриває з 'єднання.

                                                                                                                                                  Щоб завантажити кореневий сертифікат для цього параметра, скористайтеся пунктом керування кореневим сертифікатом бази даних під спадним меню.

                                                                                                                                                  Під час передавання кореневого сертифіката (за необхідності) клацніть Продовжити , засіб налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє підписувача сертифіката та ім 'я хоста, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності в можливостях підключення вузли HDS можуть встановити підключення TLS, навіть якщо машині засобу налаштування HDS не вдасться успішно перевірити його.)

                                                                                                                                                  13

                                                                                                                                                  На сторінці системних журналів налаштуйте сервер Syslogd:

                                                                                                                                                  1. Введіть URL-адресу сервера системного журналу.

                                                                                                                                                    Якщо сервер не можна розділити з DNS на вузлах кластера HDS, використовуйте IP-адресу в URL-адресі.

                                                                                                                                                    Приклад:
                                                                                                                                                    udp://10.92.43.23:514 вказує на ведення журналу до хоста Syslogd 10.92.43.23 через UDP-порт 514.
                                                                                                                                                  2. Якщо ви налаштували свій сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер системного журналу на шифрування SSL? .

                                                                                                                                                    Якщо встановити цей прапорець, переконайтеся, що ви ввели URL-адресу TCP, наприклад tcp://10.92.43.23:514.

                                                                                                                                                  3. З Виберіть припинення запису системного журналу у розкривному меню виберіть відповідне налаштування для вашого файлу ISO: Виберіть або Новий рядок використовується для Graylog і Rsyslog TCP

                                                                                                                                                    • Нульовий байт -- \x00

                                                                                                                                                    • Новий рядок -- \n —Виберіть цей варіант для Graylog і Rsyslog TCP.

                                                                                                                                                  4. Клацніть Продовжити.

                                                                                                                                                  14

                                                                                                                                                  (Необов’язково) Можна змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Розширені налаштування . Як правило, цей параметр є єдиним, який ви можете змінити:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Клацніть Продовжити на Скинути пароль службових облікових записів екрана.

                                                                                                                                                  Термін дії паролів службових облікових записів становить дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів наближається або ви хочете скинути їх, щоб зробити попередні файли ISO недійсними.

                                                                                                                                                  16

                                                                                                                                                  Клацніть Завантажте файл ISO . Збережіть файл у місці, яке легко знайти.

                                                                                                                                                  17

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі.

                                                                                                                                                  Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  18

                                                                                                                                                  Щоб вимкнути інструмент налаштування, введіть CTRL+C.

                                                                                                                                                  Що далі

                                                                                                                                                  Створіть резервну копію файлу конфігурації ISO. Він потрібен, щоб створити більше вузлів для відновлення або внести зміни в конфігурацію. Якщо ви втратили всі копії файлу ISO, ви також втратили основний ключ. Відновити ключі з бази даних PostgreSQL або Microsoft SQL Server неможливо.


                                                                                                                                                   

                                                                                                                                                  Ми ніколи не маємо копії цього ключа. Ми не можемо допомогти, якщо ви її втратите.

                                                                                                                                                  Установіть OVA хоста HDS

                                                                                                                                                  Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
                                                                                                                                                  1.

                                                                                                                                                  Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi.

                                                                                                                                                  2.

                                                                                                                                                  Виберіть Файл > Розгорнути шаблон OVF .

                                                                                                                                                  3.

                                                                                                                                                  У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі .

                                                                                                                                                  4.

                                                                                                                                                  На Виберіть ім’я та папку сторінки, введіть a Ім’я віртуальної машини для вузла (наприклад, «HDS_ Node_ 1"), виберіть розташування, де може перебувати розгортання вузла віртуальної машини, а потім клацніть Далі .

                                                                                                                                                  5.

                                                                                                                                                  На Виберіть обчислювальний ресурс виберіть цільовий обчислювальний ресурс, а потім клацніть Далі .

                                                                                                                                                  Запускається перевірка. Після завершення відобразяться відомості про шаблон.

                                                                                                                                                  6.

                                                                                                                                                  Перевірте відомості шаблону й клацніть Далі .

                                                                                                                                                  7.

                                                                                                                                                  Якщо вас попросять вибрати конфігурацію ресурсу на Конфігурація сторінки, клацніть 4 ЦП а потім клацніть Далі .

                                                                                                                                                  8

                                                                                                                                                  На Виберіть сховище сторінки, клацніть Далі щоб прийняти формат диска за замовчуванням і політику сховища VM.

                                                                                                                                                  9

                                                                                                                                                  На Виберіть мережі виберіть мережевий параметр зі списку записів, щоб забезпечити потрібне підключення до VM.

                                                                                                                                                  10

                                                                                                                                                  На Налаштувати шаблон налаштуйте такі параметри мережі:

                                                                                                                                                  • Ім’я хоста —Введіть FQDN (ім’я хоста та домен) або ім’я хоста з одного слова для вузла.

                                                                                                                                                     
                                                                                                                                                    • Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.

                                                                                                                                                    • Щоб забезпечити успішну реєстрацію в хмарі, використовуйте лише малі символи в повному домені або імені хоста, які ви встановили для вузла. Наразі використання великих літер не підтримується.

                                                                                                                                                    • Загальна довжина FQDN не повинна перевищувати 64 символи.

                                                                                                                                                  • IP-адреса — Введіть IP-адресу для внутрішнього інтерфейсу вузла.

                                                                                                                                                     

                                                                                                                                                    Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

                                                                                                                                                  • Маска —Введіть адресу маски підмережі у вигляді десяткових крапок. Наприклад, 255.255.255.0 .
                                                                                                                                                  • Шлюз —Введіть IP-адресу шлюзу. Шлюз – це вузол мережі, який слугує точкою доступу до іншої мережі.
                                                                                                                                                  • Сервери DNS —Введіть розділений комами список серверів DNS, які обробляють перетворення імен доменів у числові IP-адреси. (Дозволено до 4 записів DNS.)
                                                                                                                                                  • Сервери NTP —Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Для введення кількох серверів NTP також можна використовувати список, розділений комами.
                                                                                                                                                  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними для клієнтів у вашій мережі з адміністративними цілями.

                                                                                                                                                  За бажанням можна пропустити конфігурацію мережевих параметрів і виконати інструкції Налаштуйте віртуальну машину гібридної безпеки даних щоб налаштувати параметри з консолі вузла.


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  11

                                                                                                                                                  Клацніть правою кнопкою миші вузол VM, а потім виберіть Потужність > Увімкнено .

                                                                                                                                                  Програмне забезпечення Hybrid Data Security встановлюється як гість на хості VM. Тепер ви готові ввійти на консоль і налаштувати вузол.

                                                                                                                                                  Поради з усунення несправностей

                                                                                                                                                  Перед відкриттям контейнерів вузлів може виникнути затримка в кілька хвилин. Повідомлення брандмауера мосту з’являється на консолі під час першого завантаження, під час якого ви не можете ввійти.

                                                                                                                                                  Налаштуйте віртуальну машину гібридної безпеки даних

                                                                                                                                                  Використовуйте цю процедуру, щоб уперше ввійти до консолі VM вузла гібридної безпеки даних і задати облікові дані для входу. Ви також можете використовувати консоль, щоб налаштувати параметри мережі для вузла, якщо ви не налаштували їх під час розгортання OVA.

                                                                                                                                                  1.

                                                                                                                                                  У клієнті VMware vSphere виберіть свою віртуальну машину вузла гібридної безпеки даних і виберіть Консоль вкладка.

                                                                                                                                                  ВМ завантажиться, і з’явиться запит щодо входу. Якщо запит щодо входу не відображається, натисніть Введіть .
                                                                                                                                                  2.

                                                                                                                                                  Використовуйте такі логін і пароль за замовчуванням для входу та зміни облікових даних:

                                                                                                                                                  1. Вхід: admin

                                                                                                                                                  2. Пароль: cisco

                                                                                                                                                  Оскільки ви вперше входите на свою віртуальну машину, вам потрібно змінити пароль адміністратора.

                                                                                                                                                  3.

                                                                                                                                                  Якщо ви вже налаштували параметри мережі в Установіть OVA хоста HDS , пропустіть решту цієї процедури. В іншому разі в головному меню виберіть Змінити конфігурацію параметр.

                                                                                                                                                  4.

                                                                                                                                                  Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

                                                                                                                                                  5.

                                                                                                                                                  (Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно, щоб вони відповідали вашій політиці мережі.

                                                                                                                                                  Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.

                                                                                                                                                  6.

                                                                                                                                                  Збережіть конфігурацію мережі та перезавантажте віртуальну машину, щоб зміни набули сили.

                                                                                                                                                  Вивантажте та підключіть ISO конфігурації HDS

                                                                                                                                                  Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою засобу налаштування HDS.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Оскільки файл ISO містить основний ключ, його потрібно надавати лише в разі необхідності для доступу віртуальних машин гібридної безпеки даних і всіх адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

                                                                                                                                                  1.

                                                                                                                                                  Передайте файл ISO з комп’ютера:

                                                                                                                                                  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

                                                                                                                                                  2. У списку обладнання на вкладці Конфігурація клацніть Зберігання .

                                                                                                                                                  3. У списку сховища даних клацніть правою кнопкою миші сховище даних для ваших віртуальних машин і клацніть Огляд сховища даних .

                                                                                                                                                  4. Клацніть значок Передати файли, а потім клацніть Передати файл .

                                                                                                                                                  5. Перейдіть до розташування, куди ви завантажили файл ISO на комп’ютер, і клацніть Відкрити .

                                                                                                                                                  6. Клацніть Так щоб прийняти попередження про операцію передавання/завантаження, і закрийте діалогове вікно сховища даних.

                                                                                                                                                  2.

                                                                                                                                                  Підключіть файл ISO:

                                                                                                                                                  1. На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.

                                                                                                                                                  2. Клацніть OK щоб прийняти попередження про обмеження параметрів редагування.

                                                                                                                                                  3. Натисніть CD/DVD Drive 1, виберіть параметр для підключення з ISO-файлу сховища даних і перейдіть до розташування, куди ви передали ISO-файл конфігурації.

                                                                                                                                                  4. Перевірте Підключено і Підключіться після ввімкнення .

                                                                                                                                                  5. Збережіть зміни та перезавантажте віртуальну машину.

                                                                                                                                                  Що далі

                                                                                                                                                  Якщо цього вимагає політика ІТ, ви можете додатково відключити файл ISO після того, як усі вузли отримають зміни конфігурації. Див (Необов’язково) Відключіть ISO після конфігурації HDS для отримання додаткової інформації.

                                                                                                                                                  Налаштуйте вузол HDS для інтеграції проксі

                                                                                                                                                  Якщо мережеве середовище вимагає проксі, скористайтеся цією процедурою, щоб указати тип проксі, який потрібно інтегрувати з гібридною безпекою даних. Якщо ви виберете прозорий перевіряючий проксі або явний проксі HTTPS, можна використовувати інтерфейс вузла для передавання та встановлення кореневого сертифіката. Ви також можете перевірити підключення проксі в інтерфейсі та усунути будь-які потенційні проблеми.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  1.

                                                                                                                                                  Введіть URL-адресу налаштування вузла HDS https://[HDS Node IP or FQDN]/setup у веббраузері введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .

                                                                                                                                                  2.

                                                                                                                                                  Перейти до Сховище довіри та проксі , а потім виберіть параметр:

                                                                                                                                                  • Немає проксі — Параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібно.
                                                                                                                                                  • Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.
                                                                                                                                                  • Прозорий перевіряючий проксі —Вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних змінювати конфігурацію HTTPS не потрібно, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
                                                                                                                                                  • Явний проксі — За допомогою явного проксі ви вказуєте клієнту (вузли HDS), який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести таку інформацію:
                                                                                                                                                    1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.

                                                                                                                                                    2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.

                                                                                                                                                    3. Протокол проксі —Вибрати http (переглядає й керує всіма запитами, отриманими від клієнта) або https (надає канал до сервера, а клієнт отримує та перевіряє сертифікат сервера). Виберіть параметр залежно від того, що підтримує ваш проксі-сервер.

                                                                                                                                                    4. Тип автентифікації — Виберіть один із таких типів автентифікації:

                                                                                                                                                      • Немає — подальша автентифікація не потрібна.

                                                                                                                                                        Доступно для проксі-серверів HTTP або HTTPS.

                                                                                                                                                      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.

                                                                                                                                                        Доступно для проксі-серверів HTTP або HTTPS.

                                                                                                                                                        Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль.

                                                                                                                                                      • Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.

                                                                                                                                                        Доступно лише для проксі-серверів HTTPS.

                                                                                                                                                        Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль.

                                                                                                                                                  Виконайте наступні кроки для проксі-сервера з перевіркою, проксі-сервера з явним доступом HTTP з базовою автентифікацією або явним проксі-сервером HTTPS.

                                                                                                                                                  3.

                                                                                                                                                  Клацніть Передати кореневий сертифікат або сертифікат кінцевого запису , а потім перейдіть до виберіть кореневий сертифікат для проксі.

                                                                                                                                                  Сертифікат передано, але його ще не встановлено, оскільки для встановлення сертифіката необхідно перезавантажити вузол. Клацніть стрілку в формі шеврону біля імені емітента сертифіката, щоб отримати додаткову інформацію, або клацніть Видалити якщо ви зробили помилку й хочете повторно передати файл.

                                                                                                                                                  4.

                                                                                                                                                  Клацніть Перевірте підключення проксі щоб перевірити підключення до мережі між вузлом і проксі.

                                                                                                                                                  Якщо перевірку підключення не вдалося виконати, ви побачите повідомлення про помилку, у якому буде вказано причину та способи виправлення проблеми.

                                                                                                                                                  Якщо відображається повідомлення про помилку розв’язання зовнішнього DNS, вузлу не вдалося зв’язатися з сервером DNS. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол функціонуватиме в режимі роздільної здатності заблокованого зовнішнього DNS. Якщо ви вважаєте, що це помилка, виконайте ці кроки, а потім перегляньте Вимкніть режим роздільної здатності заблокованого зовнішнього DNS .

                                                                                                                                                  5.

                                                                                                                                                  Після завершення перевірки підключення для явного проксі, установленого лише на https, увімкніть перемикач Маршрутизувати всі запити HTTPS на порт 443/444 від цього вузла через явний проксі-сервер . Це налаштування набуде чинності через 15 секунд.

                                                                                                                                                  6.

                                                                                                                                                  Клацніть Установіть усі сертифікати в сховище довіри (з’являється для явного проксі HTTPS або прозорого проксі-сервера для перевірки) або Перезавантажте (з’являється для явного проксі-сервера HTTP), прочитайте підказку, а потім клацніть Установити якщо ви готові.

                                                                                                                                                  Вузол перезавантажиться за кілька хвилин.

                                                                                                                                                  7.

                                                                                                                                                  Після перезавантаження вузла за потреби ввійдіть ще раз, а потім відкрийте файл Огляд сторінку, щоб перевірити перевірки підключення та переконатися, що всі вони мають зелений стан.

                                                                                                                                                  Перевірка підключення до проксі перевіряє лише субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі з хмарних доменів, перелічених в інструкціях зі встановлення, блокуються на проксі.

                                                                                                                                                  Зареєструйте перший вузол у кластері

                                                                                                                                                  Це завдання використовує загальний вузол, який ви створили в Налаштуйте віртуальну машину гібридної безпеки даних , реєструє вузол у хмарі Webex і перетворює його на вузол гібридної безпеки даних.

                                                                                                                                                  Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначено цей вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.

                                                                                                                                                  • Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у https://admin.webex.com.

                                                                                                                                                  2.

                                                                                                                                                  У меню ліворуч на екрані виберіть Служби .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування .

                                                                                                                                                  З’явиться сторінка Реєстрація вузла безпеки гібридних даних.
                                                                                                                                                  4.

                                                                                                                                                  Виберіть Так , щоб зазначити, що ви налаштували вузол і готові його зареєструвати, а потім клацніть Далі .

                                                                                                                                                  5.

                                                                                                                                                  У першому полі введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних.

                                                                                                                                                  Рекомендовано призначати кластеру залежно від географічного розташування вузлів кластера. Приклади. "Сан-Франциско", "Нью-Йорк" або "Даллас"

                                                                                                                                                  6.

                                                                                                                                                  У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі .

                                                                                                                                                  Ця IP-адреса або повне доменне ім’я має збігатися з IP-адресою або іменем хоста й доменом, які ви використовували Налаштуйте віртуальну машину гібридної безпеки даних .

                                                                                                                                                  З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у Webex.
                                                                                                                                                  7.

                                                                                                                                                  Клацніть Перейдіть до Node .

                                                                                                                                                  8

                                                                                                                                                  Клацніть Продовжити у попередженні.

                                                                                                                                                  Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Тут ви підтверджуєте, що хочете надати дозволи організації Webex на доступ до вашого вузла.
                                                                                                                                                  9

                                                                                                                                                  Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити .

                                                                                                                                                  Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
                                                                                                                                                  10

                                                                                                                                                  Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub.

                                                                                                                                                  На Гібридна безпека даних на сторінці, відображається новий кластер, що містить зареєстрований вами вузол. Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

                                                                                                                                                  Створіть і зареєструйте більше вузлів

                                                                                                                                                  Щоб додати додаткові вузли до кластера, потрібно просто створити додаткові віртуальні машини та підключити той самий файл конфігурації, а потім зареєструвати вузол. Рекомендовано мати принаймні 3 вузли.

                                                                                                                                                   

                                                                                                                                                  Зараз резервні VM, які ви створили Виконайте обов’язкові умови для гібридної безпеки даних резервні хости, які використовуються лише в разі аварійного відновлення; вони не зареєстровані в системі до цього часу. Докладніше див Аварійне відновлення за допомогою резервного центру обробки даних .

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.

                                                                                                                                                  • Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

                                                                                                                                                  1.

                                                                                                                                                  Створіть нову віртуальну машину з OVA, повторивши кроки в Установіть OVA хоста HDS .

                                                                                                                                                  2.

                                                                                                                                                  Налаштуйте початкову конфігурацію на новій віртуальній машині, повторивши кроки в Налаштуйте віртуальну машину гібридної безпеки даних .

                                                                                                                                                  3.

                                                                                                                                                  На новій віртуальній машині повторіть кроки в Вивантажте та підключіть ISO конфігурації HDS .

                                                                                                                                                  4.

                                                                                                                                                  Якщо ви налаштовуєте проксі для свого розгортання, повторіть кроки в розділі Налаштуйте вузол HDS для інтеграції проксі за потребою для нового вузла.

                                                                                                                                                  5.

                                                                                                                                                  Зареєструйте вузол.

                                                                                                                                                  1. Уhttps://admin.webex.com , виберіть Служби з меню в лівій частині екрана.

                                                                                                                                                  2. У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Ресурси .

                                                                                                                                                    З’явиться сторінка ресурсів безпеки гібридних даних.
                                                                                                                                                  3. Клацніть Додати ресурс .

                                                                                                                                                  4. У першому полі виберіть ім’я наявного кластера.

                                                                                                                                                  5. У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі .

                                                                                                                                                    З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у хмарі Webex.
                                                                                                                                                  6. Клацніть Перейдіть до Node .

                                                                                                                                                    Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Там ви підтверджуєте, що хочете надати дозволи вашій організації на доступ до вашого вузла.
                                                                                                                                                  7. Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити .

                                                                                                                                                    Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
                                                                                                                                                  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub.

                                                                                                                                                  Ваш вузол зареєстровано. Зауважте, що поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

                                                                                                                                                  Що далі

                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)
                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії

                                                                                                                                                  Потік завдань із пробної версії до виробничого

                                                                                                                                                  Після налаштування кластера гібридної безпеки даних можна запустити пілот, додати до нього користувачів і почати використовувати його для тестування та перевірки розгортання під час підготовки до переходу до робочої версії.

                                                                                                                                                  1.

                                                                                                                                                  Якщо можливо, синхронізуйте HdsTrialGroup об’єкт групи.

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати HdsTrialGroup груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію. Інструкції див Посібник із розгортання для Cisco Directory Connector.

                                                                                                                                                  2.

                                                                                                                                                  Активувати ознайомлювальну версію

                                                                                                                                                  Почніть пробну версію. Поки ви не виконаєте це завдання, ваші вузли створять попередження, що вказує на те, що служба ще не активована.

                                                                                                                                                  3.

                                                                                                                                                  Перевірте розгортання гібридної безпеки даних

                                                                                                                                                  Перевірте, чи передаються запити на ключ до розгортання гібридної безпеки даних.

                                                                                                                                                  4.

                                                                                                                                                  Моніторинг працездатності гібридної безпеки даних

                                                                                                                                                  Перевірте стан і налаштуйте сповіщення електронною поштою для попереджень.

                                                                                                                                                  5.

                                                                                                                                                  Додавання або видалення користувачів із пробної версії

                                                                                                                                                  6.

                                                                                                                                                  Завершіть ознайомлювальну фазу, виконавши одну з таких дій:

                                                                                                                                                  Активувати ознайомлювальну версію

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати HdsTrialGroup груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію для вашої організації. Інструкції див Посібник із розгортання для Cisco Directory Connector.

                                                                                                                                                  1.

                                                                                                                                                  Увійти вhttps://admin.webex.com , а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Стан служби клацніть Почати пробну версію .

                                                                                                                                                  Стан служби змінюється на ознайомлювальний режим.
                                                                                                                                                  4.

                                                                                                                                                  Клацніть Додати користувачів і введіть адресу електронної пошти одного або кількох користувачів, які будуть використовувати ваші вузли гібридної безпеки даних для служб шифрування та індексування.

                                                                                                                                                  (Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory для керування ознайомлювальною групою, HdsTrialGroup.)

                                                                                                                                                  Перевірте розгортання гібридної безпеки даних

                                                                                                                                                  Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Налаштуйте розгортання гібридної безпеки даних.

                                                                                                                                                  • Активуйте ознайомлювальну версію та додайте кілька користувачів пробної версії.

                                                                                                                                                  • Переконайтеся, що у вас є доступ до системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

                                                                                                                                                  1.

                                                                                                                                                  Ключі для певного простору встановлюються його творцем. Увійдіть у програму Webex як один із пілотних користувачів, а потім створіть простір і запросіть принаймні одного пілотного користувача та одного не пілотного користувача.


                                                                                                                                                   

                                                                                                                                                  Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюють пілотні користувачі, стане недоступним після заміни кешованих клієнтом копій ключів шифрування.

                                                                                                                                                  2.

                                                                                                                                                  Надсилайте повідомлення в новий простір.

                                                                                                                                                  3.

                                                                                                                                                  Перевірте вивід системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

                                                                                                                                                  1. Щоб перевірити, чи є користувач, який спочатку встановлює безпечний канал до KMS, увімкніть фільтр kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис (ідентифікатори скорочені для читабельності):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Щоб перевірити наявність користувача, який запитує наявний ключ із KMS, увімкніть фільтр kms.data.method=retrieve і kms.data.type=KEY.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Щоб перевірити, чи є користувач із запитом щодо створення нового ключа KMS, увімкніть фільтр kms.data.method=create і kms.data.type=KEY_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Щоб перевірити, чи немає користувача, який подав запит щодо створення нового ресурсного об’єкта KMS (KRO), коли створюється простір або інший захищений ресурс, відфільтруйте kms.data.method=create і kms.data.type=RESOURCE_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Моніторинг працездатності гібридної безпеки даних

                                                                                                                                                  Індикатор стану в Control Hub показує, чи все гаразд із розгортанням гібридної безпеки даних. Щоб отримати більше проактивних сповіщень, зареєструйтеся на отримання сповіщень електронною поштою. Ви отримаєте сповіщення про попередження, що впливають на службу, або оновлення програмного забезпечення.
                                                                                                                                                  1.

                                                                                                                                                  У Control Hub , виберіть Служби з меню в лівій частині екрана.

                                                                                                                                                  2.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування .

                                                                                                                                                  З’явиться сторінка параметрів безпеки гібридних даних.
                                                                                                                                                  3.

                                                                                                                                                  У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділені комами, і натисніть Введіть .

                                                                                                                                                  Додавання або видалення користувачів із пробної версії

                                                                                                                                                  Після активації пробної версії й додавання початкового набору користувачів пробної версії можна додавати або видаляти учасників пробної версії будь-коли, поки пробна версія активна.

                                                                                                                                                  Якщо видалити користувача з ознайомлювальної версії, клієнт цього користувача запитуватиме ключі та створення ключів із хмарного KMS замість вашої KMS. Якщо клієнту потрібен ключ, який зберігається у вашій KMS, хмарний KMS отримає його від імені користувача.

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory (замість цієї процедури) для керування ознайомлювальною групою, HdsTrialGroup; Ви можете переглядати учасників групи в Control Hub, але не можете додавати або видаляти їх.

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі «Ознайомлювальний режим» області стану служби клацніть Додати користувачів або клацніть переглянути та змінити щоб видалити користувачів із пробної версії.

                                                                                                                                                  4.

                                                                                                                                                  Введіть адресу електронної пошти одного або кількох користувачів, яких потрібно додати, або клацніть X за допомогою ідентифікатора користувача, щоб видалити користувача з ознайомлювальної версії. Потім натисніть Зберегти.

                                                                                                                                                  Перейдіть із пробної версії до робочої версії

                                                                                                                                                  Коли ви переконаєтеся, що ваше розгортання працює добре для користувачів пробної версії, можна перейти до робочої версії. Після переходу до робочої версії всі користувачі в організації використовуватимуть ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Неможливо повернутися до ознайомлювального режиму з робочої версії, якщо ви не деактивуєте службу в рамках відновлення після аварій. Для повторної активації служби потрібно налаштувати нову ознайомлювальну версію.
                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Стан служби клацніть Перейти до робочої версії .

                                                                                                                                                  4.

                                                                                                                                                  Підтвердьте, що хочете перемістити всіх користувачів у робочу версію.

                                                                                                                                                  Завершіть ознайомлювальну версію, не переходячи на робочу версію

                                                                                                                                                  Якщо під час використання пробної версії ви вирішите не продовжувати розгортання гібридної безпеки даних, можна деактивувати гібридну безпеку даних, що завершить ознайомлювальну версію й перемістить користувачів пробної версії назад до хмарних служб безпеки даних. Користувачі пробної версії втратять доступ до даних, які були зашифровані під час пробної версії.
                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Деактивувати клацніть Деактивувати .

                                                                                                                                                  4.

                                                                                                                                                  Підтвердьте, що хочете деактивувати службу, і завершите ознайомлювальну версію.

                                                                                                                                                  Керуйте своїм розгортанням HDS

                                                                                                                                                  Керуйте розгортанням HDS

                                                                                                                                                  Використовуйте описані тут завдання, щоб керувати розгортанням гібридної безпеки даних.

                                                                                                                                                  Установіть розклад оновлення кластерів

                                                                                                                                                  Оновлення програмного забезпечення для гібридної безпеки даних виконується автоматично на рівні кластера, що гарантує, що на всіх вузлах завжди запущено ту саму версію програмного забезпечення. Оновлення версії виконуються відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стає доступним, у вас є можливість оновити кластер вручну до запланованого часу оновлення. Можна задати конкретний розклад оновлення версії або використовувати розклад за замовчуванням о 3:00 щодня (США): Америка/Лос-Анджелес. За потреби можна також відкласти майбутнє оновлення версії.

                                                                                                                                                  Щоб установити розклад оновлення:

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть в Control Hub.

                                                                                                                                                  2.

                                                                                                                                                  На сторінці "Огляд" у розділі "Гібридні служби" виберіть Гібридна безпека даних .

                                                                                                                                                  3.

                                                                                                                                                  На сторінці Ресурси безпеки гібридних даних виберіть кластер.

                                                                                                                                                  4.

                                                                                                                                                  На панелі «Огляд» праворуч у розділі «Налаштування кластера» виберіть ім’я кластера.

                                                                                                                                                  5.

                                                                                                                                                  На сторінці налаштувань у розділі «Оновлення» виберіть час і часовий пояс для розкладу оновлення.

                                                                                                                                                  Примітка. Під часовим поясом відображається наступна доступна дата й час оновлення версії. За потреби можна відкласти оновлення версії на наступний день, натиснувши Відкласти .

                                                                                                                                                  Змініть конфігурацію вузла

                                                                                                                                                  Іноді вам може знадобитися змінити конфігурацію вузла Hybrid Data Security з такої причини, як:
                                                                                                                                                  • Зміна сертифікатів x.509 через закінчення терміну дії або з інших причин.


                                                                                                                                                     

                                                                                                                                                    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовувався для реєстрації кластера.

                                                                                                                                                  • Оновлення налаштувань бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ми не підтримуємо перенесення даних з PostgreSQL на Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, запустіть нове розгортання Hybrid Data Security.

                                                                                                                                                  • Створення нової конфігурації для підготовки нового дата-центру.

                                                                                                                                                  Крім того, в цілях безпеки Hybrid Data Security використовує паролі облікових записів, які мають дев 'ятимісячний термін служби. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з вузлів HDS у файлі конфігурації ISO. Коли термін дії паролів вашої організації наближається до закінчення, ви отримуєте сповіщення від команди Webex про скидання пароля для облікового запису вашого комп 'ютера. (Електронний лист містить текст: «Використовуйте API облікового запису машини для оновлення пароля.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

                                                                                                                                                  • М 'яке скидання- старий і новий паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

                                                                                                                                                  • Hard Reset- старі паролі негайно перестають працювати.

                                                                                                                                                  Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

                                                                                                                                                  Використовуйте цю процедуру, щоб створити новий файл ISO конфігурації та застосувати його до вашого кластера.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Центру керування з повними правами адміністратора для вашої організації.

                                                                                                                                                    Якщо інструмент налаштування HDS працює за допомогою проксі у вашому середовищі, укажіть налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час відображення контейнера Docker у 1.e . У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі з аутентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Для створення нової конфігурації потрібна копія поточного файлу конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Під час внесення змін до конфігурації, включаючи облікові дані бази даних, оновлення сертифікатів або зміни політики авторизації, потрібно використовувати ISO.

                                                                                                                                                  1.

                                                                                                                                                  Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

                                                                                                                                                  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

                                                                                                                                                    У звичайних умовах:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Цей крок очищає попередні зображення інструментів налаштування HDS. Якщо попередніх зображень немає, він повертає помилку, яку можна проігнорувати.

                                                                                                                                                  2. Щоб увійти до реєстру Docker-образів, введіть наступне:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. У підказці пароля введіть цей хеш:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Завантажте останнє стабільне зображення для вашого середовища:

                                                                                                                                                    У звичайних умовах:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Переконайтеся, що ви витягли останній інструмент налаштування для цієї процедури. Версії інструменту, створені до 22 лютого 2018 року, не мають екранів для скидання пароля.

                                                                                                                                                  5. Після завершення витягування введіть відповідну команду для вашого середовища:

                                                                                                                                                    • У звичайних середовищах без проксі-сервера:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах з HTTP-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах із HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У середовищах FedRAMP без проксі-сервера:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з HTTP-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з HTTPS-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

                                                                                                                                                  6. Використовуйте браузер для підключення до локального вузла, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Інструмент налаштування не підтримує підключення до локального хосту http://localhost:8080. використання http://127.0.0.1:8080 для підключення до локального хосту.

                                                                                                                                                  7. Коли з 'явиться запит, введіть облікові дані для входу в Центр керування клієнтами, а потім натисніть "Прийняти", щоб продовжити.

                                                                                                                                                  8. Імпортуйте поточний файл конфігурації ISO.

                                                                                                                                                  9. Дотримуйтесь вказівок, щоб завершити інструмент і завантажити оновлений файл.

                                                                                                                                                    Щоб вимкнути інструмент налаштування, введіть CTRL+C.

                                                                                                                                                  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

                                                                                                                                                  2.

                                                                                                                                                  Якщо у вас працює лише один вузол HDS, створіть нову віртуальну машину з гібридною системою безпеки даних і зареєструйте її за допомогою нового файлу конфігурації ISO. Докладні інструкції див Створіть і зареєструйте більше вузлів .

                                                                                                                                                  1. Встановіть HDS хост OVA.

                                                                                                                                                  2. Налаштуйте HDS VM.

                                                                                                                                                  3. Змонтуйте оновлений файл конфігурації.

                                                                                                                                                  4. Зареєструйте новий вузол в Control Hub.

                                                                                                                                                  3.

                                                                                                                                                  Для існуючих вузлів HDS, які працюють зі старим файлом конфігурації, монтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

                                                                                                                                                  1. Вимкніть віртуальну машину.

                                                                                                                                                  2. На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.

                                                                                                                                                  3. Натисніть CD/DVD Drive 1, виберіть параметр для монтування з файлу ISO і перейдіть до місця, де ви завантажили новий файл конфігурації ISO.

                                                                                                                                                  4. Перевірте підключення при увімкненому живленні.

                                                                                                                                                  5. Збережіть зміни та ввімкніть віртуальну машину.

                                                                                                                                                  4.

                                                                                                                                                  Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, що працює за старою конфігурацією.

                                                                                                                                                  Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі вузла, процес перевіряє пошук DNS і можливість підключення до хмари Cisco Webex. Якщо сервер DNS вузла не може дозволити загальнодоступні імена DNS, вузол автоматично переходить у режим роздільної здатності заблокованого зовнішнього DNS.

                                                                                                                                                  Якщо ваші вузли здатні дозволяти публічні імена DNS через внутрішні сервери DNS, можна вимкнути цей режим, повторно запустивши перевірку підключення до проксі на кожному вузлі.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Переконайтеся, що ваші внутрішні сервери DNS можуть дозволяти загальнодоступні імена DNS і що ваші вузли можуть зв’язуватися з ними.
                                                                                                                                                  1.

                                                                                                                                                  У веббраузері відкрийте інтерфейс вузла Hybrid Data Security (IP-адреса/налаштування, наприклад,https://192.0.2.0/setup), введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .

                                                                                                                                                  2.

                                                                                                                                                  Перейти до Огляд (сторінка за замовчуванням).

                                                                                                                                                  Якщо ввімкнено, для параметра Blocked External DNS Resolution (Заблокована зовнішня роздільна здатність DNS) встановлено значення

                                                                                                                                                  3.

                                                                                                                                                  Перейдіть до Сховище довіри та проксі сторінка.

                                                                                                                                                  4.

                                                                                                                                                  Клацніть Перевірте підключення проксі .

                                                                                                                                                  Якщо з’явиться повідомлення про помилку розв’язання зовнішнього DNS, вузол не зміг зв’язатися з сервером DNS і залишиться в цьому режимі. В іншому разі після перезавантаження вузла й повернення до Огляд сторінки, роздільна здатність заблокованого зовнішнього DNS має бути встановлена на no.

                                                                                                                                                  Що далі

                                                                                                                                                  Повторіть перевірку підключення до проксі на кожному вузлі в кластері гібридної безпеки даних.

                                                                                                                                                  Видалити вузол

                                                                                                                                                  Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
                                                                                                                                                  1.

                                                                                                                                                  Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi та вимкнути віртуальну машину.

                                                                                                                                                  2.

                                                                                                                                                  Видалити вузол:

                                                                                                                                                  1. Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів безпеки гібридних даних.

                                                                                                                                                  3. Виберіть кластер, щоб відобразити панель «Огляд».

                                                                                                                                                  4. Клацніть Відкрити список вузлів .

                                                                                                                                                  5. На вкладці Вузли виберіть вузол, який потрібно видалити.

                                                                                                                                                  6. Клацніть Дії > Скасувати реєстрацію вузла .

                                                                                                                                                  3.

                                                                                                                                                  У клієнті vSphere видаліть віртуальну машину. (На панелі переходів ліворуч клацніть VM правою кнопкою миші й клацніть Видалити .)

                                                                                                                                                  Якщо ви не видалите віртуальну машину, не забудьте відключити файл ISO конфігурації. Без файлу ISO ви не зможете використовувати віртуальну машину для доступу до даних безпеки.

                                                                                                                                                  Аварійне відновлення за допомогою резервного центру обробки даних

                                                                                                                                                  Найважливіша служба, яку надає кластер гібридної безпеки даних, — це створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, якого призначено до гібридної безпеки даних, запити на створення нових ключів маршрутизуються до кластера. Кластер також відповідає за повернення створених ним ключів будь-яким користувачам, уповноваженим на їх отримання, наприклад учасникам простору розмови.

                                                                                                                                                  Оскільки кластер виконує критичну функцію надання цих ключів, важливо, щоб кластер продовжував працювати та підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕВІДПОВІДАННЯ ВТРАТИ контенту клієнта. Щоб запобігти такій втраті, необхідно дотримуватися наведених нижче дій.

                                                                                                                                                  Якщо внаслідок стихійного лиха розгортання HDS в основному центрі обробки даних стає недоступним, виконайте цю процедуру, щоб вручну перейти до резервного центру обробки даних.

                                                                                                                                                  1.

                                                                                                                                                  Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

                                                                                                                                                  2.

                                                                                                                                                  Після налаштування сервера Syslogd клацніть Розширені налаштування

                                                                                                                                                  3.

                                                                                                                                                  На Розширені налаштування сторінку, додайте конфігурацію нижче або видаліть passiveMode конфігурації, щоб зробити вузол активним. Після налаштування вузол може обробляти трафік.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4.

                                                                                                                                                  Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

                                                                                                                                                  5.

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  6.

                                                                                                                                                  На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування. .

                                                                                                                                                  7.

                                                                                                                                                  Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.


                                                                                                                                                   

                                                                                                                                                  Переконайтеся, що Підключено і Підключіться після ввімкнення перевірено, щоб оновлені зміни конфігурації набули чинності після запуску вузлів.

                                                                                                                                                  8

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

                                                                                                                                                  9

                                                                                                                                                  Повторіть процес для кожного вузла в резервному центрі обробки даних.


                                                                                                                                                   

                                                                                                                                                  Перевірте вивід системного журналу, щоб переконатися, що вузли резервного центру обробки даних не перебувають у пасивному режимі. "KMS налаштовано в пасивному режимі" не має відображатися в системних журналах.

                                                                                                                                                  Що далі

                                                                                                                                                  Якщо після відмови основний центр обробки даних знову стане активним, переведіть резервний центр обробки даних у пасивний режим знову, виконавши дії, описані в Налаштуйте резервний центр обробки даних для аварійного відновлення .

                                                                                                                                                  (Необов’язково) Відключіть ISO після конфігурації HDS

                                                                                                                                                  Стандартна конфігурація HDS працює з установленим ISO. Однак деякі клієнти вважають за краще не залишати файли ISO безперервно підключеними. Можна відключити файл ISO після того, як усі вузли HDS отримають нову конфігурацію.

                                                                                                                                                  Ви все ще використовуєте файли ISO для внесення змін конфігурації. Коли ви створюєте новий ISO або оновлюєте ISO за допомогою інструмента налаштування, ви повинні підключити оновлений ISO на всіх вузлах HDS. Після того як усі ваші вузли приймуть зміни конфігурації, ви можете знову відключити ISO за допомогою цієї процедури.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Оновіть усі вузли HDS до версії 2021.01.22.4720 або пізнішої.

                                                                                                                                                  1.

                                                                                                                                                  Вимкніть один із вузлів HDS.

                                                                                                                                                  2.

                                                                                                                                                  У vCenter Server Appliance виберіть вузол HDS.

                                                                                                                                                  3.

                                                                                                                                                  Виберіть Змінити налаштування > CD/DVD-привід і зніміть прапорець Файл ISO сховища даних .

                                                                                                                                                  4.

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що попередження немає принаймні 20 хвилин.

                                                                                                                                                  5.

                                                                                                                                                  Повторіть по черзі для кожного вузла HDS.

                                                                                                                                                  Усунення проблем гібридної безпеки даних

                                                                                                                                                  Перегляд сповіщень і усунення несправностей

                                                                                                                                                  Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що запитує тайм-аут. Якщо користувачі не можуть підключитися до кластера гібридної безпеки даних, у них з’являються такі ознаки:

                                                                                                                                                  • Неможливо створити нові простори (неможливо створити нові ключі)

                                                                                                                                                  • Не вдалося розшифрувати повідомлення та назви просторів для:

                                                                                                                                                    • До простору додано нових користувачів (не вдається отримати ключі)

                                                                                                                                                    • Наявні користувачі в просторі, що використовують нового клієнта (не вдається отримати ключі)

                                                                                                                                                  • Наявні користувачі в просторі продовжуватимуть успішно працювати, доки їхні клієнти мають кеш ключів шифрування.

                                                                                                                                                  Важливо належним чином відстежувати кластер гібридної безпеки даних і своєчасно виправляти будь-які сповіщення, щоб уникнути перебоїв у роботі служби.

                                                                                                                                                  Сповіщення

                                                                                                                                                  Якщо виникла проблема з налаштуванням гібридної безпеки даних, Control Hub відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато поширених сценаріїв.

                                                                                                                                                  Таблиця 1. Загальні проблеми та кроки до їх вирішення

                                                                                                                                                  Сповіщення

                                                                                                                                                  Дія

                                                                                                                                                  Помилка доступу до локальної бази даних.

                                                                                                                                                  Перевірте помилки бази даних або проблеми з локальною мережею.

                                                                                                                                                  Помилка підключення до локальної бази даних.

                                                                                                                                                  Переконайтеся, що сервер бази даних доступний, а в конфігурації вузла використано правильні облікові дані облікового запису служби.

                                                                                                                                                  Помилка доступу до хмарної служби.

                                                                                                                                                  Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього підключення .

                                                                                                                                                  Поновлення реєстрації хмарної служби.

                                                                                                                                                  Реєстрацію в хмарних службах перервано. Триває поновлення реєстрації.

                                                                                                                                                  Реєстрацію хмарної служби зупинено.

                                                                                                                                                  Реєстрацію в хмарних службах припинено. Служба завершується.

                                                                                                                                                  Службу ще не активовано.

                                                                                                                                                  Активуйте ознайомлювальну версію або завершите переміщення пробної версії до робочої версії.

                                                                                                                                                  Налаштований домен не відповідає сертифікату сервера.

                                                                                                                                                  Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

                                                                                                                                                  Найімовірніша причина полягає в тому, що CN сертифіката було нещодавно змінено, і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

                                                                                                                                                  Не вдалося автентифікуватися в хмарних службах.

                                                                                                                                                  Перевірте точність і можливе закінчення терміну дії облікових даних облікового запису служби.

                                                                                                                                                  Не вдалося відкрити файл локального сховища ключів.

                                                                                                                                                  Перевірте цілісність і точність пароля у файлі локального сховища ключів.

                                                                                                                                                  Сертифікат локального сервера неприпустимий.

                                                                                                                                                  Перевірте дату закінчення терміну дії сертифіката сервера та переконайтеся, що його видано довіреним центром сертифікації.

                                                                                                                                                  Не вдалося опублікувати показники.

                                                                                                                                                  Перевірте доступ локальної мережі до зовнішніх хмарних служб.

                                                                                                                                                  /media/configdrive/hds не існує.

                                                                                                                                                  Перевірте конфігурацію монтування ISO на віртуальному хості. Переконайтеся, що файл ISO існує, що його налаштовано на підключення під час перезавантаження та що він успішно підключений.

                                                                                                                                                  Усунення проблем гібридної безпеки даних

                                                                                                                                                  Використовуйте наведені далі загальні інструкції під час усунення проблем із гібридною безпекою даних.
                                                                                                                                                  1.

                                                                                                                                                  Перевірте Control Hub на наявність сповіщень і виправте будь-які елементи, які ви там знайдете.

                                                                                                                                                  2.

                                                                                                                                                  Перевірте вивід сервера системного журналу щодо активності розгортання гібридної безпеки даних.

                                                                                                                                                  3.

                                                                                                                                                  Контакт Підтримка Cisco .

                                                                                                                                                  Інші примітки

                                                                                                                                                  Відомі проблеми безпеки гібридних даних

                                                                                                                                                  • Якщо ви завершите роботу кластера гібридної безпеки даних (шляхом видалення його в Control Hub або закривши всі вузли), втратите файл ISO конфігурації або втратите доступ до бази даних сховища ключів, користувачі програми Webex більше не зможуть використовувати простори в розділі "Контакти". список, створений за допомогою ключів із KMS. Це стосується як пробного, так і робочого розгортання. Наразі ми не маємо обхідних шляхів або виправлення цієї проблеми. Ми закликаємо вас не закривати служби HDS після того, як вони оброблятимуть активні облікові записи користувачів.

                                                                                                                                                  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом певного періоду часу (імовірно, однієї години). Коли користувач стає учасником ознайомлювальної версії гібридної безпеки даних, клієнт користувача продовжує використовувати наявне підключення ECDH, доки не завершиться час очікування. Крім того, користувач може вийти та знову ввійти в програму Webex, щоб оновити розташування, до якого програма звертається для отримання ключів шифрування.

                                                                                                                                                    Така ж поведінка відбувається під час переміщення пробної версії до робочої версії для організації. Усі користувачі без пробної версії, які мають наявні підключення ECDH до попередніх служб безпеки даних, продовжуватимуть використовувати ці служби, доки не буде переузгоджено підключення ECDH (через тайм-аут або вихід із системи та повторний вхід).

                                                                                                                                                  Використовуйте OpenSSL для створення файлу PKCS12

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • OpenSSL — це один із інструментів, який можна використовувати для створення файлу PKCS12 у відповідному форматі для завантаження в інструменті налаштування HDS. Це можна зробити й іншими способами. Ми не підтримуємо й не рекламуємо один із них.

                                                                                                                                                  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, яка допоможе вам створити файл, який відповідає вимогам до сертифіката X.509 у Вимоги до сертифіката X.509 . Ознайомтеся з цими вимогами, перш ніж продовжити.

                                                                                                                                                  • Установіть OpenSSL у підтримуваному середовищі. Дивhttps://www.openssl.org для програмного забезпечення та документації.

                                                                                                                                                  • Створіть закритий ключ.

                                                                                                                                                  • Почніть цю процедуру, коли отримаєте сертифікат сервера від центру сертифікації (CA).

                                                                                                                                                  1.

                                                                                                                                                  Отримавши сертифікат сервера від CA, збережіть його як hdsnode.pem.

                                                                                                                                                  2.

                                                                                                                                                  Відобразіть сертифікат у вигляді тексту та перевірте відомості.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3.

                                                                                                                                                  Використовуйте текстовий редактор, щоб створити файл пакета сертифікатів під назвою hdsnode-bundle.pem. Файл пакета має містити сертифікат сервера, будь-які проміжні сертифікати CA та сертифікати кореневого CA у форматі нижче:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4.

                                                                                                                                                  Створіть файл .p12 зі зручним іменем kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5.

                                                                                                                                                  Перевірте відомості про сертифікат сервера.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Введіть пароль у підказці, щоб зашифрувати закритий ключ, щоб він відображався у виводі. Потім переконайтеся, що закритий ключ і перший сертифікат містять рядки friendlyName: kms-private-key.

                                                                                                                                                    Приклад:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Що далі

                                                                                                                                                  Повернутися до Виконайте обов’язкові умови для гібридної безпеки даних . Ви використовуватимете hdsnode.p12 файл і пароль, який ви для нього встановили, у Створіть ISO конфігурації для хостів HDS .


                                                                                                                                                   

                                                                                                                                                  Ви можете повторно використовувати ці файли для запиту нового сертифіката після завершення терміну дії оригінального сертифіката.

                                                                                                                                                  Трафік між вузлами HDS і хмарою

                                                                                                                                                  Трафік збору вихідних показників

                                                                                                                                                  Вузли гібридної безпеки даних надсилають певні показники до хмари Webex. До них належать системні показники для максимальної кількості накопичувачів, використаної пам’яті, навантаження на ЦП і кількості потоків; метрики для синхронних та асинхронних потоків; показники для оповіщень, що включають поріг з’єднань шифрування, затримку або довжину черги запитів; метрики в сховищі даних; і показники підключення шифрування. Вузли надсилають матеріал зашифрованого ключа через позасмуговий (окремий від запиту) канал.

                                                                                                                                                  Вхідний трафік

                                                                                                                                                  Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

                                                                                                                                                  • Запити шифрування від клієнтів, які маршрутизуються службою шифрування

                                                                                                                                                  • Оновлення програмного забезпечення вузла

                                                                                                                                                  Налаштуйте проксі Squid для гібридної безпеки даних

                                                                                                                                                  Websocket не вдається підключитися через проксі-сервер Squid

                                                                                                                                                  Проксі-сервери Squid, які перевіряють трафік HTTPS, можуть перешкоджати встановленню websocket ( wss:) підключення, які вимагає Hybrid Data Security. У цих розділах наведено інструкції щодо налаштування різних версій Squid для ігнорування wss: трафіку для належної роботи служб.

                                                                                                                                                  Кальмари 4 і 5

                                                                                                                                                  Додайте on_unsupported_protocol директива до squid.conf.

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Ми успішно перевірили безпеку гібридних даних, додавши такі правила squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Передмова

                                                                                                                                                  Нова та змінена інформація

                                                                                                                                                  Дата

                                                                                                                                                  Внесені зміни

                                                                                                                                                  20 жовтня 2023 року

                                                                                                                                                  7 серпня 2023 року

                                                                                                                                                  23 травня 2023 року

                                                                                                                                                  6 грудня 2022 року

                                                                                                                                                  23 листопада 2022 року

                                                                                                                                                  13 жовтня 2021 р.

                                                                                                                                                  Щоб установити вузли HDS, Docker Desktop необхідно запустити програму встановлення. Див Вимоги до Docker Desktop .

                                                                                                                                                  24 червня 2021 року

                                                                                                                                                  Зауважено, що ви можете повторно використовувати файл із закритим ключем і CSR для запиту іншого сертифіката. Див Використовуйте OpenSSL для створення файлу PKCS12 для отримання додаткової інформації.

                                                                                                                                                  30 квітня 2021 р.

                                                                                                                                                  Вимогу до VM щодо простору на локальному жорсткому диску змінено на 30 ГБ. Див Вимоги до віртуального хоста для отримання додаткової інформації.

                                                                                                                                                  24 лютого 2021 р.

                                                                                                                                                  HDS Setup Tool тепер може працювати через проксі. Див Створіть ISO конфігурації для хостів HDS для отримання додаткової інформації.

                                                                                                                                                  2 лютого 2021 р.

                                                                                                                                                  Тепер HDS може працювати без підключеного файлу ISO. Див (Необов’язково) Відключіть ISO після конфігурації HDS для отримання додаткової інформації.

                                                                                                                                                  11 січня 2021 року

                                                                                                                                                  Додано інформацію про інструмент налаштування HDS і проксі в Створіть ISO конфігурації для хостів HDS .

                                                                                                                                                  13 жовтня 2020 р.

                                                                                                                                                  Оновлено Завантажте файли встановлення .

                                                                                                                                                  8 жовтня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла з командами для середовищ FedRAMP.

                                                                                                                                                  14 серпня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла зі змінами в процесі входу.

                                                                                                                                                  5 серпня 2020 р.

                                                                                                                                                  Оновлено Перевірте розгортання гібридної безпеки даних для змін у повідомленнях журналу.

                                                                                                                                                  Оновлено Вимоги до віртуального хоста щоб видалити максимальну кількість хостів.

                                                                                                                                                  16 червня 2020 р.

                                                                                                                                                  Оновлено Видалити вузол для змін в інтерфейсі користувача Control Hub.

                                                                                                                                                  4 червня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS для змін у розширених налаштуваннях, які ви можете встановити.

                                                                                                                                                  29 травня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS щоб показати, що також можна використовувати TLS з базами даних SQL Server, змінами інтерфейсу користувача та іншими роз’ясненнями.

                                                                                                                                                  5 травня 2020 р.

                                                                                                                                                  Оновлено Вимоги до віртуального хоста щоб відобразити нові вимоги ESXi 6.5.

                                                                                                                                                  21 квітня 2020 р

                                                                                                                                                  Оновлено Вимоги до зовнішнього підключення з новими хостами CI Північної і Південної Америки.

                                                                                                                                                  1 квітня 2020 р

                                                                                                                                                  Оновлено Вимоги до зовнішнього підключення з інформацією про регіональні хости CI.

                                                                                                                                                  20 лютого 2020 р.Оновлено Створіть ISO конфігурації для хостів HDS з інформацією на новому екрані додаткових додаткових параметрів у інструменті налаштування HDS.
                                                                                                                                                  4 лютого 2020 рОновлено Вимоги до проксі-сервера .
                                                                                                                                                  16 грудня 2019 р.Роз’яснено вимоги до роботи в режимі роздільної здатності заблокованого зовнішнього DNS Вимоги до проксі-сервера .
                                                                                                                                                  19 листопада 2019 р.

                                                                                                                                                  Додано інформацію про режим дозволу заблокованого зовнішнього DNS в таких розділах:

                                                                                                                                                  8 листопада 2019 р.

                                                                                                                                                  Тепер можна налаштувати параметри мережі для вузла під час розгортання OVA, а не пізніше.

                                                                                                                                                  Відповідно оновлено такі розділи:


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  6 вересня 2019 р.

                                                                                                                                                  Стандартний SQL Server додано до Вимоги до сервера бази даних .

                                                                                                                                                  29 серпня 2019 рокуДодано Налаштуйте проксі Squid для гібридної безпеки даних додаток із інструкціями щодо налаштування проксі Squid для ігнорування трафіку вебсокетів для належної роботи.
                                                                                                                                                  20 серпня 2019 р.

                                                                                                                                                  Додані й оновлені розділи, які охоплюють підтримку проксі-сервера для зв’язку вузла гібридної безпеки даних із хмарою Webex.

                                                                                                                                                  Щоб отримати доступ лише до контенту підтримки проксі для наявного розгортання, див Підтримка проксі для гібридної безпеки даних і Webex Video Mesh довідкова стаття.

                                                                                                                                                  13 червня 2019 рокуОновлено Потік завдань із пробної версії до виробничого з нагадуванням про синхронізацію HdsTrialGroup об’єкт групи перед початком ознайомлювальної версії, якщо ваша організація використовує синхронізацію каталогів.
                                                                                                                                                  6 березня 2019 року
                                                                                                                                                  28 лютого 2019 року
                                                                                                                                                  • Виправлено кількість простору локального жорсткого диска на сервер, який ви повинні були виділити під час підготовки віртуальних хостів, які стануть вузлами гібридної безпеки даних, з 50 ГБ до 20 ГБ, щоб відобразити розмір диска, який створює OVA.

                                                                                                                                                  26 лютого 2019 р.
                                                                                                                                                  • Вузли гібридної безпеки даних тепер підтримують зашифровані підключення до серверів баз даних PostgreSQL, а також зашифровані підключення для ведення журналів до сервера системного журналу з підтримкою TLS. Оновлено Створіть ISO конфігурації для хостів HDS з інструкціями.

                                                                                                                                                  • Цільові URL-адреси видалено з таблиці "Вимоги до підключення до інтернету для віртуальних машин вузлів гібридної безпеки даних". Тепер таблиця посилається на список, який ведеться в таблиці "Додаткові URL-адреси для гібридних служб Webex Teams" Вимоги до мережі для служб Webex Teams .

                                                                                                                                                  24 січня 2019 р.

                                                                                                                                                  • Hybrid Data Security тепер підтримує Microsoft SQL Server як базу даних. Параметр SQL Server Always On (Always On Failover Clusters and Always On Availability Groups) підтримується драйверами JDBC, які використовуються в гібридній безпеці даних. Додано контент, пов’язаний із розгортанням за допомогою SQL Server.


                                                                                                                                                     

                                                                                                                                                    Підтримку Microsoft SQL Server призначено лише для нового розгортання служби безпеки даних гібридного типу. Наразі міграція даних із PostgreSQL у Microsoft SQL Server у наявному розгортанні не підтримується.

                                                                                                                                                  5 листопада 2018 року
                                                                                                                                                  19 жовтня 2018 року

                                                                                                                                                  31 липня 2018 року

                                                                                                                                                  21 травня 2018 р.

                                                                                                                                                  Термінологію змінено, щоб відобразити ребрендинг Cisco Spark:

                                                                                                                                                  • Гібридна безпека даних Cisco Spark тепер є гібридною безпекою даних.

                                                                                                                                                  • Програма Cisco Spark тепер стала програмою Webex.

                                                                                                                                                  • Хмара Cisco Collaboraton тепер хмара Webex.

                                                                                                                                                  11 квітня 2018 року
                                                                                                                                                  22 лютого 2018 р.
                                                                                                                                                  15 лютого 2018 року
                                                                                                                                                  • У Вимоги до сертифіката X.509 вказано, що сертифікат не може бути сертифікатом із символами підстановки та що KMS використовує домен CN, а не будь-який домен, визначений у полях x.509v3 SAN.

                                                                                                                                                  18 січня 2018 року

                                                                                                                                                  2 листопада 2017 року

                                                                                                                                                  • Уточнена синхронізація каталогів HdsTrialGroup.

                                                                                                                                                  • Виправлені інструкції щодо передавання файлу конфігурації ISO для підключення до вузлів віртуальної машини.

                                                                                                                                                  18 серпня 2017 року

                                                                                                                                                  Вперше опубліковано

                                                                                                                                                  Почніть роботу з гібридною безпекою даних

                                                                                                                                                  Огляд безпеки гібридних даних

                                                                                                                                                  З першого дня безпека даних була головним у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, що забезпечується клієнтами Webex App, які взаємодіють зі Службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і розшифрування повідомлень і файлів.

                                                                                                                                                  За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS, у сфері безпеки Cisco. Hybrid Data Security переміщує KMS та інші функції, пов 'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не має ключів до вашого зашифрованого вмісту.

                                                                                                                                                  Архітектура області безпеки

                                                                                                                                                  Хмарна архітектура Webex розділяє різні типи служб на окремі області або довірені домени, як показано нижче.

                                                                                                                                                  Області розділення (без гібридної безпеки даних)

                                                                                                                                                  Щоб краще зрозуміти гібридну безпеку даних, давайте спочатку розглянемо цей випадок у чистому вигляді, коли Cisco надає всі функції у своїх хмарних сферах. Служба ідентифікації, єдине місце, де користувачів можна безпосередньо зв’язати з їхньою особистою інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зберігається зашифрований контент. , у центрі обробки даних C.

                                                                                                                                                  На цій діаграмі клієнтом є програма Webex, що запущена на ноутбуці користувача та пройшла автентифікацію за допомогою служби ідентифікації. Коли користувач створює повідомлення для надсилання до простору, виконуються такі кроки:

                                                                                                                                                  1. Клієнт встановлює захищене підключення до служби керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Захищене підключення використовує ECDH, а KMS шифрує ключ за допомогою головного ключа AES-256.

                                                                                                                                                  2. Повідомлення шифрується, перш ніж залишити клієнт. Клієнт надсилає його до служби індексування, яка створює зашифровані індекси пошуку, щоб допомогти в майбутніх пошуках контенту.

                                                                                                                                                  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

                                                                                                                                                  4. Зашифроване повідомлення зберігається в області сховища.

                                                                                                                                                  Під час розгортання гібридної безпеки даних функції області безпеки (KMS, індексація та відповідність вимогам) переносяться до локального центру обробки даних. Інші хмарні служби, що складають Webex (зокрема, ідентифікаційні дані та сховище контенту) залишаються в сферах Cisco.

                                                                                                                                                  Співпраця з іншими організаціями

                                                                                                                                                  Користувачі у вашій організації можуть регулярно використовувати програму Webex для співпраці із зовнішніми учасниками в інших організаціях. Коли один із користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), KMS надсилає ключ клієнту через захищений канал ECDH. Однак, коли ключ для простору володіє інша організація, KMS маршрутизує запит до хмари Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в оригінальному каналі.

                                                                                                                                                  Служба KMS, що працює в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Див Підготуйте своє середовище Докладніше про створення сертифіката x.509 для використання з розгортанням гібридної безпеки даних.

                                                                                                                                                  Очікування щодо розгортання гібридної безпеки даних

                                                                                                                                                  Розгортання гібридної безпеки даних вимагає значних зобов’язань клієнта та усвідомлення ризиків, пов’язаних із володінням ключами шифрування.

                                                                                                                                                  Щоб розгорнути гібридну безпеку даних, необхідно надати:

                                                                                                                                                  Повна втрата ISO конфігурації, створеної для гібридної безпеки даних, або наданої вами бази даних призведе до втрати ключів. Втрата ключа не дозволяє користувачам розшифрувати вміст простору та інші зашифровані дані в програмі Webex. Якщо це станеться, можна створити нове розгортання, але видимим буде лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

                                                                                                                                                  • Керуйте резервним копіюванням і відновленням бази даних і ISO конфігурації.

                                                                                                                                                  • Будьте готові виконати швидке відновлення після аварії, якщо станеться катастрофа, як-от збій диска бази даних або аварійний стан центру обробки даних.


                                                                                                                                                   

                                                                                                                                                  Немає механізму переміщення ключів назад до хмари після розгортання HDS.

                                                                                                                                                  Процес налаштування високого рівня

                                                                                                                                                  У цьому документі описано налаштування та керування розгортанням гібридної безпеки даних:

                                                                                                                                                  • Налаштуйте безпеку гібридних даних —Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення Hybrid Data Security, тестування розгортання з підгрупою користувачів у ознайомлювальному режимі та, після завершення тестування, перехід до робочої версії. Це перетворить всю організацію на використання кластера гібридної безпеки даних для функцій безпеки.

                                                                                                                                                    Про фази налаштування, ознайомлювальної версії та виробництва докладно описано в наступних трьох розділах.

                                                                                                                                                  • Підтримуйте розгортання гібридної безпеки даних — Хмара Webex автоматично надає поточні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати екранні сповіщення та налаштувати сповіщення на основі електронної пошти в Control Hub.

                                                                                                                                                  • Ознайомтеся з поширеними сповіщеннями, кроками з усунення несправностей та відомими проблемами — Якщо у вас виникнуть проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й усунути проблему.

                                                                                                                                                  Модель розгортання гібридної безпеки даних

                                                                                                                                                  У межах корпоративного центру обробки даних ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли взаємодіють із хмарою Webex через захищені вебсокети та захищений HTTP.

                                                                                                                                                  Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами віртуальних машинах. За допомогою інструмента налаштування HDS можна створити користувацький ISO-файл конфігурації кластера, який монтується на кожному вузлі. Кластер гібридної безпеки даних використовує наданий вами сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і деталі підключення до бази даних у інструменті налаштування HDS.)

                                                                                                                                                  Модель розгортання гібридної безпеки даних

                                                                                                                                                  Мінімальна кількість вузлів, які можна мати в кластері, становить два. Рекомендовано принаймні три, а можна до п’яти. Наявність кількох вузлів гарантує, що обслуговування не буде перервано під час оновлення програмного забезпечення або інших дій з обслуговування на вузлі. (У хмарі Webex одночасно оновлюється лише один вузол.)

                                                                                                                                                  Усі вузли в кластері отримують доступ до одного сховища ключових даних і реєструють дії на одному сервері системних журналів. Самі вузли не мають стану та обробляють запити ключів у циклічному порядку, відповідно до вказівок хмари.

                                                                                                                                                  Вузли стають активними, коли ви реєструєте їх у Control Hub. Щоб вимкнути окремий вузол, можна скасувати його реєстрацію, а пізніше за потреби зареєструвати повторно.

                                                                                                                                                  Ми підтримуємо лише один кластер на організацію.

                                                                                                                                                  Ознайомлювальний режим безпеки гібридних даних

                                                                                                                                                  Після налаштування розгортання гібридної безпеки даних ви спочатку спробуєте його з набором пілотних користувачів. Протягом пробного періоду ці користувачі використовують ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Інші ваші користувачі продовжують використовувати область хмарної безпеки.

                                                                                                                                                  Якщо ви вирішите не продовжувати розгортання під час пробної версії та деактивуєте службу, пілотні користувачі та всі користувачі, з якими вони взаємодіяли шляхом створення нових просторів протягом пробного періоду, втратять доступ до повідомлень і контенту. У програмі Webex вони побачать повідомлення "Це повідомлення неможливо розшифрувати".

                                                                                                                                                  Якщо ви впевнені, що ваше розгортання працює добре для користувачів пробної версії, і ви готові поширити гібридну безпеку даних на всіх своїх користувачів, ви переміщуєте розгортання до робочої версії. Пілотні користувачі продовжують мати доступ до ключів, які використовувалися під час ознайомлювальної версії. Однак ви не можете переходити між робочим режимом і вихідним ознайомлювальним режимом. Якщо ви повинні деактивувати службу, наприклад, для виконання аварійного відновлення, під час повторної активації необхідно почати нову ознайомлювальну версію та налаштувати набір пілотних користувачів для нової ознайомлювальної версії, перш ніж повернутися до робочого режиму. Те, чи збережуть користувачі доступ до даних на цьому етапі, залежить від того, чи успішно ви створили резервні копії сховища ключових даних і файлу конфігурації ISO для вузлів гібридної безпеки даних у вашому кластері.

                                                                                                                                                  Резервний центр обробки даних для аварійного відновлення

                                                                                                                                                  Під час розгортання ви налаштовуєте захищений резервний центр обробки даних. У разі аварійної ситуації в центрі обробки даних можна вручну зупинити розгортання в резервному центрі обробки даних.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручне перемикання на резервний центр обробки даних

                                                                                                                                                  Бази даних активного та резервного центрів обробки даних синхронізовані одна з одною, що мінімізує час, необхідний для перемикання на помилку. Файл ISO резервного центру обробки даних оновлено додатковими конфігураціями, які гарантують, що вузли зареєстровані в організації, але не оброблятимуть трафік. Тому вузли резервного центру обробки даних завжди залишаються в актуальному стані з останньою версією програмного забезпечення HDS.


                                                                                                                                                   

                                                                                                                                                  Активні вузли гібридної безпеки даних повинні завжди перебувати в тому самому центрі обробки даних, що й активний сервер бази даних.

                                                                                                                                                  Налаштуйте резервний центр обробки даних для аварійного відновлення

                                                                                                                                                  Виконайте наведені нижче дії, щоб налаштувати файл ISO резервного центру обробки даних:

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Резервний центр обробки даних має відображати виробниче середовище віртуальних машин і резервну копію бази даних PostgreSQL або Microsoft SQL Server. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини. (Див Резервний центр обробки даних для аварійного відновлення для огляду цієї моделі резервного перемикання.)

                                                                                                                                                  • Переконайтеся, що ввімкнено синхронізацію бази даних між базою даних активних і пасивних вузлів кластера.

                                                                                                                                                  1.

                                                                                                                                                  Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .


                                                                                                                                                   

                                                                                                                                                  Файл ISO має бути копією вихідного файлу ISO основного центру обробки даних, у якому необхідно виконати наведені далі оновлення конфігурації.

                                                                                                                                                  2.

                                                                                                                                                  Після налаштування сервера Syslogd клацніть Розширені налаштування

                                                                                                                                                  3.

                                                                                                                                                  На Розширені налаштування сторінку, додайте конфігурацію нижче, щоб перевести вузол у пасивний режим. У цьому режимі вузол буде зареєстровано в організації та підключено до хмари, але не оброблятиме трафік.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4.

                                                                                                                                                  Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

                                                                                                                                                  5.

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  6.

                                                                                                                                                  На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування. .

                                                                                                                                                  7.

                                                                                                                                                  Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.


                                                                                                                                                   

                                                                                                                                                  Переконайтеся, що Підключено і Підключіться після ввімкнення перевірено, щоб оновлені зміни конфігурації набули чинності після запуску вузлів.

                                                                                                                                                  8

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

                                                                                                                                                  9

                                                                                                                                                  Повторіть процес для кожного вузла в резервному центрі обробки даних.


                                                                                                                                                   

                                                                                                                                                  Перевірте системні журнали, щоб переконатися, що вузли перебувають у пасивному режимі. Ви повинні мати змогу переглядати повідомлення «KMS налаштовано в пасивному режимі» в системних журналах.

                                                                                                                                                  Що далі

                                                                                                                                                  Після налаштування passiveMode у файлі ISO та після його збереження можна створити іншу копію файлу ISO без файлу passiveMode конфігурацію та збережіть її в захищеному місці. Ця копія файлу ISO без passiveMode configured може допомогти в швидкому перемиканні на помилку під час аварійного відновлення. Див Аварійне відновлення за допомогою резервного центру обробки даних для детальної процедури переходу до відмови.

                                                                                                                                                  Підтримка проксі-сервера

                                                                                                                                                  Гібридна безпека даних підтримує явні, прозорі проксі-сервери з перевіркою та без перевірки. Можна прив’язати ці проксі-сервери до свого розгортання, щоб захищати та відстежувати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для керування сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

                                                                                                                                                  Вузли гібридної безпеки даних підтримують такі параметри проксі:

                                                                                                                                                  • Немає проксі — Значення за замовчуванням, якщо ви не використовуєте налаштування вузла HDS, сховища довіри та конфігурацію проксі для інтеграції проксі. Оновлення сертифіката не потрібно.

                                                                                                                                                  • Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.

                                                                                                                                                  • Прозорий проксі з тунелюванням або перевіркою —Вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах змінювати конфігурацію HTTP або HTTPS не потрібно. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

                                                                                                                                                  • Явний проксі — За допомогою явного проксі ви вказуєте вузлам HDS, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі-сервер, необхідно ввести таку інформацію на кожному вузлі:

                                                                                                                                                    1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.

                                                                                                                                                    2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.

                                                                                                                                                    3. Протокол проксі — Залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

                                                                                                                                                      • HTTP — перегляд і контроль усіх запитів, які надсилає клієнт.

                                                                                                                                                      • HTTPS — надає канал до сервера. Клієнт отримує та перевіряє сертифікат сервера.

                                                                                                                                                    4. Тип автентифікації — Виберіть один із таких типів автентифікації:

                                                                                                                                                      • Немає — подальша автентифікація не потрібна.

                                                                                                                                                        Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.

                                                                                                                                                      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.

                                                                                                                                                        Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.

                                                                                                                                                        Вимагає ввести ім’я користувача та пароль на кожному вузлі.

                                                                                                                                                      • Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.

                                                                                                                                                        Доступно, лише якщо вибрано HTTPS як протокол проксі.

                                                                                                                                                        Вимагає ввести ім’я користувача та пароль на кожному вузлі.

                                                                                                                                                  Приклад гібридних вузлів безпеки даних і проксі

                                                                                                                                                  На цій діаграмі показано приклад підключення між гібридною безпекою даних, мережею та проксі. Для параметрів проксі-сервера з прозорою перевіркою та явною перевіркою HTTPS необхідно встановити той самий кореневий сертифікат на проксі-сервері та вузлах гібридної безпеки даних.

                                                                                                                                                  Режим дозволу заблокованого зовнішнього DNS (явні конфігурації проксі)

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі вузла, процес перевіряє пошук DNS і можливість підключення до хмари Cisco Webex. У розгортаннях із явними конфігураціями проксі, які не дозволяють роздільну здатність зовнішнього DNS для внутрішніх клієнтів, якщо вузол не може запитувати сервери DNS, він автоматично переходить у режим роздільної здатності заблокованого зовнішнього DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести підключення проксі.

                                                                                                                                                  Підготуйте своє середовище

                                                                                                                                                  Вимоги до гібридної безпеки даних

                                                                                                                                                  Вимоги до ліцензії Cisco Webex

                                                                                                                                                  Щоб розгорнути гібридну безпеку даних:

                                                                                                                                                  Вимоги до Docker Desktop

                                                                                                                                                  Перш ніж установити вузли HDS, необхідно запустити програму встановлення Docker Desktop. Docker нещодавно оновив свою модель ліцензування. Для вашої організації може знадобитися платна підписка на Docker Desktop. Докладніше див. у дописі до блогу Docker "Docker оновлює та розширює наші підписки на продукти".

                                                                                                                                                  Вимоги до сертифіката X.509

                                                                                                                                                  Ланцюжок сертифікатів має відповідати таким вимогам:

                                                                                                                                                  Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

                                                                                                                                                  Вимоги

                                                                                                                                                  Відомості

                                                                                                                                                  • Підписано довіреним центром сертифікації (CA)

                                                                                                                                                  За замовчуванням ми довіряємо ЦС у списку Mozilla (за винятком WoSign і StartCom) за адресоюhttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Має доменне ім’я Common Name (CN), яке ідентифікує ваше розгортання гібридної безпеки даних

                                                                                                                                                  • Не є сертифікатом із символом підстановки

                                                                                                                                                  CN не обов’язково має бути доступним або активним організатором. Рекомендовано використовувати назву, яка відображає вашу організацію, наприклад, hds.company.com.

                                                                                                                                                  CN не повинна містити символ * (підстановка).

                                                                                                                                                  CN використовується для перевірки вузлів гібридної безпеки даних для клієнтів програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, який визначено в полях SAN x.509v3.

                                                                                                                                                  Після реєстрації вузла за допомогою цього сертифіката зміна імені домену CN не підтримується. Виберіть домен, який може застосовуватися як для ознайомлювального, так і для робочого розгортання.

                                                                                                                                                  • Підпис не SHA1

                                                                                                                                                  Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключень до KMS інших організацій.

                                                                                                                                                  • Відформатовано як файл PKCS № 12, захищений паролем

                                                                                                                                                  • Використовуйте дружнє ім’я користувача kms-private-key щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.

                                                                                                                                                  Щоб змінити формат сертифіката, можна використовувати конвертер, наприклад OpenSSL.

                                                                                                                                                  Під час запуску засобу налаштування HDS потрібно буде ввести пароль.

                                                                                                                                                  Програмне забезпечення KMS не встановлює обмеження щодо використання ключів або розширеного використання ключів. Деякі центри сертифікації вимагають, щоб до кожного сертифіката були застосовані розширені обмеження використання ключів, наприклад автентифікація сервера. Можна використовувати автентифікацію сервера або інші налаштування.

                                                                                                                                                  Вимоги до віртуального хоста

                                                                                                                                                  Віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері, мають такі вимоги:

                                                                                                                                                  • Принаймні два окремих хости (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

                                                                                                                                                  • VMware ESXi 6.5 (або пізнішої версії) встановлено та працює.


                                                                                                                                                     

                                                                                                                                                    Необхідно оновити версію, якщо у вас є попередня версія ESXi.

                                                                                                                                                  • Мінімум 4 vCPU, 8 ГБ основної пам’яті, 30 ГБ місця на локальному жорсткому диску на сервер

                                                                                                                                                  Вимоги до сервера бази даних


                                                                                                                                                   

                                                                                                                                                  Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

                                                                                                                                                  Є два варіанти для сервера бази даних. Вимоги до кожного є такими:

                                                                                                                                                  Таблиця 2. Вимоги до сервера бази даних за типом бази даних

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 або 16, установлено та запущено.

                                                                                                                                                  • Установлено SQL Server 2016, 2017 або 2019 (Enterprise або Standard).


                                                                                                                                                     

                                                                                                                                                    Для SQL Server 2016 потрібні пакет оновлень 2 і накопичувальне оновлення 2 або пізнішої версії.

                                                                                                                                                  Мінімум 8 vCPU, 16 ГБ основної пам’яті, достатньо простору на жорсткому диску та моніторинг, щоб гарантувати, що воно не перевищено (рекомендується 2 ТБ, якщо ви хочете працювати з базою даних протягом тривалого часу без необхідності збільшувати обсяг сховища).

                                                                                                                                                  Мінімум 8 vCPU, 16 ГБ основної пам’яті, достатньо простору на жорсткому диску та моніторинг, щоб гарантувати, що воно не перевищено (рекомендується 2 ТБ, якщо ви хочете працювати з базою даних протягом тривалого часу без необхідності збільшувати обсяг сховища).

                                                                                                                                                  Зараз програмне забезпечення HDS встановлює такі версії драйверів для зв’язку із сервером бази даних:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Драйвер JDBC Postgres 42.2.5

                                                                                                                                                  Драйвер JDBC SQL Server 4.6

                                                                                                                                                  Ця версія драйвера підтримує SQL Server Always On ( Завжди ввімкнені екземпляри кластера перемикання і Завжди ввімкнені групи доступності ).

                                                                                                                                                  Додаткові вимоги до автентифікації Windows у Microsoft SQL Server

                                                                                                                                                  Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для отримання доступу до бази даних сховища ключів на Microsoft SQL Server, вам потрібна така конфігурація у вашому середовищі:

                                                                                                                                                  • Вузли HDS, інфраструктура Active Directory і MS SQL Server мають бути синхронізовані з NTP.

                                                                                                                                                  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ для читання та запису до бази даних.

                                                                                                                                                  • Сервери DNS, які ви надаєте вузлам HDS, повинні мати можливість дозволити ваш центр розподілу ключів (KDC).

                                                                                                                                                  • Ви можете зареєструвати екземпляр бази даних HDS на Microsoft SQL Server як ім’я користувача-служби (SPN) у вашому Active Directory. Див Зареєструйте ім’я користувача-служби для підключень Kerberos .

                                                                                                                                                    Інструмент налаштування HDS, засіб запуску HDS і локальний KMS повинні використовувати автентифікацію Windows для доступу до бази даних сховища ключів. Вони використовують дані вашої конфігурації ISO для створення SPN, коли запитують доступ за допомогою автентифікації Kerberos.

                                                                                                                                                  Вимоги до зовнішнього підключення

                                                                                                                                                  Налаштуйте брандмауер, щоб дозволити такі можливості підключення для програм HDS:

                                                                                                                                                  Застосування

                                                                                                                                                  Протокол

                                                                                                                                                  Порт

                                                                                                                                                  Напрямок із програми

                                                                                                                                                  Призначення

                                                                                                                                                  Вузли гібридної безпеки даних

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Вихідні HTTPS і WSS

                                                                                                                                                  • Сервери Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Усі хости Common Identity

                                                                                                                                                  • Інші URL-адреси, перелічені для гібридної безпеки даних у Додаткові URL-адреси для гібридних служб Webex таблицю з Вимоги до мережі для служб Webex

                                                                                                                                                  Інструмент налаштування HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Вихідний HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Усі хости Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Вузли гібридної безпеки даних працюють із трансляцією доступу до мережі (NAT) або за брандмауером, якщо NAT або брандмауер дозволяє використовувати необхідні вихідні підключення до адресатів домену, наведених у попередній таблиці. Для вхідних підключень до вузлів гібридної безпеки даних порти з інтернету не повинні бути видимими. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

                                                                                                                                                  URL-адреси хостів Common Identity (CI) залежать від регіону. Це поточні хости CI:

                                                                                                                                                  Регіон

                                                                                                                                                  URL-адреси хоста спільних ідентифікаційних даних

                                                                                                                                                  Північна та Південна Америки

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Європейський Союз

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Канада

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Вимоги до проксі-сервера

                                                                                                                                                  • Ми офіційно підтримуємо такі проксі-рішення, які можна інтегрувати з вашими вузлами гібридної безпеки даних.

                                                                                                                                                  • Підтримуються такі комбінації типів автентифікації для явних проксі-серверів:

                                                                                                                                                    • Немає автентифікації за допомогою HTTP або HTTPS

                                                                                                                                                    • Базова автентифікація за допомогою HTTP або HTTPS

                                                                                                                                                    • Дайджест автентифікації лише за допомогою HTTPS

                                                                                                                                                  • Для прозорого проксі-сервера з перевіркою або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі. В інструкціях із розгортання в цьому посібнику описано, як передати копію до сховищ довіри вузлів гібридної безпеки даних.

                                                                                                                                                  • Мережа, де розміщено вузли HDS, повинна бути налаштована на примусове маршрутизацію вихідного трафіку TCP через порт 443 через проксі.

                                                                                                                                                  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з 'єднанню веб-сокетів. Якщо ця проблема виникне, обійти (не перевіряти) трафік до wbx2.com і ciscospark.com вирішить проблему.

                                                                                                                                                  Виконайте обов’язкові умови для гібридної безпеки даних

                                                                                                                                                  Використовуйте цей контрольний список, щоб переконатися, що ви готові до встановлення та налаштування кластера гібридної безпеки даних.
                                                                                                                                                  1.

                                                                                                                                                  Переконайтеся, що у вашій організації Webex увімкнено Pro Pack for Cisco Webex Control Hub, і отримайте облікові дані облікового запису з повними правами адміністратора організації. Зверніться до партнера Cisco або менеджера облікового запису, щоб отримати допомогу з цим процесом.

                                                                                                                                                  2.

                                                                                                                                                  Виберіть ім’я домену для розгортання HDS (наприклад, hds.company.com) і отримати ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ і будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам у Вимоги до сертифіката X.509 .

                                                                                                                                                  3.

                                                                                                                                                  Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері. Вам потрібно принаймні два окремих хоста (рекомендовано 3), розміщені в одному захищеному центрі обробки даних, які відповідають вимогам у Вимоги до віртуального хоста .

                                                                                                                                                  4.

                                                                                                                                                  Підготуйте сервер бази даних, який буде виконувати функцію сховища ключових даних для кластера, відповідно до Вимоги до сервера бази даних . Сервер бази даних має бути одночасно розташований у захищеному центрі обробки даних із віртуальними хостами.

                                                                                                                                                  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.)

                                                                                                                                                  2. Зберіть відомості, які вузли використовуватимуть для зв’язку із сервером бази даних:

                                                                                                                                                    • ім’я хоста або IP-адресу (хост) і порт

                                                                                                                                                    • ім’я бази даних (dbname) для зберігання ключів

                                                                                                                                                    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

                                                                                                                                                  5.

                                                                                                                                                  Для швидкого аварійного відновлення налаштуйте середовище резервного копіювання в іншому центрі обробки даних. Середовище резервного копіювання відображає виробниче середовище віртуальних машин і сервера бази даних резервного копіювання. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини.

                                                                                                                                                  6.

                                                                                                                                                  Налаштуйте хост системного журналу для збору журналів із вузлів у кластері. Зібрати його мережеву адресу та порт системного журналу (за замовчуванням – UDP 514).

                                                                                                                                                  7.

                                                                                                                                                  Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста системного журналу. Як мінімум, щоб запобігти втраті даних без можливості відновлення, необхідно створити резервну копію бази даних і файлу ISO конфігурації, створеного для вузлів гібридної безпеки даних.


                                                                                                                                                   

                                                                                                                                                  Оскільки вузли гібридної безпеки даних зберігають ключі, що використовуються для шифрування та розшифровки контенту, неможливість підтримати оперативне розгортання призведе до НЕВІДКЛЮЧЕНА ВТРАТА цього контенту.

                                                                                                                                                  Клієнти програми Webex кешують свої ключі, тому перебої в роботі можуть бути помітні не відразу, а з часом. Хоча тимчасові перебої в роботі неможливо запобігти, їх можна відновити. Однак повна втрата (недоступні резервні копії) бази даних або файлу ISO конфігурації призведе до того, що дані клієнта будуть недоступні для відновлення. Очікується, що оператори вузлів гібридної безпеки даних будуть підтримувати часте резервне копіювання бази даних і файлу ISO конфігурації та бути готовими до відновлення центру обробки даних гібридної безпеки даних у разі катастрофічної помилки.

                                                                                                                                                  8

                                                                                                                                                  Переконайтеся, що конфігурація брандмауера дозволяє підключатися до вузлів гібридної безпеки даних, як описано в Вимоги до зовнішнього підключення .

                                                                                                                                                  9

                                                                                                                                                  Установити Docker (https://www.docker.com ) на будь-якому локальному комп’ютері з підтримуваною ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядна версія або Mac OSX Yosemite 10.10.3 або новішої версії) з веббраузером, який може отримати до неї доступ за адресою http://127.0.0.1:8080.

                                                                                                                                                  Ви використовуєте екземпляр Docker для завантаження та запуску засобу налаштування HDS, який створює інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Вашій організації може знадобитися ліцензія Docker Desktop. Див Вимоги до Docker Desktop для отримання додаткової інформації.

                                                                                                                                                  Щоб установити та запустити HDS Setup Tool, локальний комп’ютер повинен мати можливість підключення, описану в Вимоги до зовнішнього підключення .

                                                                                                                                                  10

                                                                                                                                                  Якщо ви інтегруєте проксі-сервер із гібридною безпекою даних, переконайтеся, що він відповідає Вимоги до проксі-сервера .

                                                                                                                                                  11

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів, створіть групу в Active Directory з викликом HdsTrialGroup, і додати пілотних користувачів. Ознайомлювальна група може налічувати до 250 користувачів. Нараду HdsTrialGroup об’єкт необхідно синхронізувати з хмарою, перш ніж ви зможете почати пробну версію для вашої організації. Щоб синхронізувати об’єкт групи, виберіть його в з’єднувачі каталогу Конфігурація > Вибір об’єкта меню. (Докладні інструкції див Посібник із розгортання для Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Ключі для певного простору встановлюються його творцем. Вибираючи пілотних користувачів, пам’ятайте, що якщо ви вирішите остаточно деактивувати розгортання гібридної безпеки даних, усі користувачі втратять доступ до контенту в просторах, які були створені пілотними користувачами. Втрата стає очевидною, щойно програми користувачів оновлять кешовані копії контенту.

                                                                                                                                                  Налаштуйте кластер гібридної безпеки даних

                                                                                                                                                  Потік завдань розгортання безпеки гібридних даних

                                                                                                                                                  1.

                                                                                                                                                  Завантажте файли встановлення

                                                                                                                                                  Завантажте файл OVA на локальний комп’ютер для подальшого використання.

                                                                                                                                                  2.

                                                                                                                                                  Створіть ISO конфігурації для хостів HDS

                                                                                                                                                  Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

                                                                                                                                                  3.

                                                                                                                                                  Установіть OVA хоста HDS

                                                                                                                                                  Створіть віртуальну машину з файлу OVA та виконайте початкове налаштування, наприклад налаштування мережі.


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  4.

                                                                                                                                                  Налаштуйте віртуальну машину гібридної безпеки даних

                                                                                                                                                  Увійдіть на консоль VM і задайте облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо ви не налаштували їх під час розгортання OVA.

                                                                                                                                                  5.

                                                                                                                                                  Вивантажте та підключіть ISO конфігурації HDS

                                                                                                                                                  Налаштуйте віртуальну машину з файлу конфігурації ISO, який ви створили за допомогою засобу налаштування HDS.

                                                                                                                                                  6.

                                                                                                                                                  Налаштуйте вузол HDS для інтеграції проксі

                                                                                                                                                  Якщо мережеве середовище вимагає конфігурації проксі-сервера, укажіть тип проксі, який ви використовуватимете для вузла, і за потреби додайте сертифікат проксі до сховища довіри.

                                                                                                                                                  7.

                                                                                                                                                  Зареєструйте перший вузол у кластері

                                                                                                                                                  Зареєструйте віртуальну машину в хмарі Cisco Webex як вузол гібридної безпеки даних.

                                                                                                                                                  8

                                                                                                                                                  Створіть і зареєструйте більше вузлів

                                                                                                                                                  Завершіть налаштування кластера.

                                                                                                                                                  9

                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

                                                                                                                                                  Поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

                                                                                                                                                  Завантажте файли встановлення

                                                                                                                                                  У цьому завданні ви завантажуєте файл OVA на ваш комп’ютер (а не на сервери, які ви налаштували як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.
                                                                                                                                                  1.

                                                                                                                                                  Увійти вhttps://admin.webex.com , а потім клацніть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Налаштування .

                                                                                                                                                  Якщо картку вимкнено або ви не бачите її, зверніться до команди облікового запису або партнерської організації. Надайте їм номер свого облікового запису та попросіть увімкнути гібридну безпеку даних у вашій організації. Щоб знайти номер облікового запису, клацніть шестірню у верхньому правому куті поруч із назвою організації.


                                                                                                                                                   

                                                                                                                                                  Ви також можете в будь-який час завантажити OVA з Довідка розділ про Налаштування сторінка. На картці гібридної безпеки даних клацніть Змінити налаштування , щоб відкрити сторінку. Потім клацніть Завантажте програмне забезпечення гібридної безпеки даних в Довідка розділ.


                                                                                                                                                   

                                                                                                                                                  Старші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до проблем під час оновлення програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

                                                                                                                                                  3.

                                                                                                                                                  Виберіть Ні , щоб указати, що вузол ще не налаштовано, а потім клацніть Далі .

                                                                                                                                                  Завантаження файлу OVA почнеться автоматично. Збережіть файл у розташуванні на вашому комп’ютері.
                                                                                                                                                  4.

                                                                                                                                                  Клацніть за бажанням Відкрийте посібник із розгортання щоб перевірити, чи доступна пізніша версія цього посібника.

                                                                                                                                                  Створіть ISO конфігурації для хостів HDS

                                                                                                                                                  У процесі налаштування гібридної безпеки даних створюється файл ISO. Потім ви використовуєте ISO для налаштування хоста гібридної безпеки даних.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Центру керування з повними правами адміністратора для вашої організації.

                                                                                                                                                    Якщо інструмент налаштування HDS працює за допомогою проксі у вашому середовищі, надайте параметри проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час виклику контейнера Docker на кроці. 5 . У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі з аутентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Створений вами файл конфігурації містить основний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Остання копія цього файлу потрібна щоразу, коли ви вносите зміни конфігурації, наприклад:

                                                                                                                                                    • Облікові дані бази даних

                                                                                                                                                    • Оновлення сертифіката

                                                                                                                                                    • Зміни політики авторизації

                                                                                                                                                  • Якщо ви плануєте шифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

                                                                                                                                                  1.

                                                                                                                                                  У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

                                                                                                                                                  У звичайних умовах:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Цей крок очищає попередні зображення інструментів налаштування HDS. Якщо попередніх зображень немає, він повертає помилку, яку можна проігнорувати.

                                                                                                                                                  2.

                                                                                                                                                  Щоб увійти до реєстру Docker-образів, введіть наступне:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3.

                                                                                                                                                  У підказці пароля введіть цей хеш:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4.

                                                                                                                                                  Завантажте останнє стабільне зображення для вашого середовища:

                                                                                                                                                  У звичайних умовах:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5.

                                                                                                                                                  Після завершення витягування введіть відповідну команду для вашого середовища:

                                                                                                                                                  • У звичайних середовищах без проксі-сервера:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • У звичайних середовищах з HTTP-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У звичайних середовищах з HTTPS-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У середовищах FedRAMP без проксі-сервера:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з HTTP-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з HTTPS-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

                                                                                                                                                  6.

                                                                                                                                                   

                                                                                                                                                  Інструмент налаштування не підтримує підключення до локального хосту http://localhost:8080. використання http://127.0.0.1:8080 для підключення до локального хосту.

                                                                                                                                                  Використовуйте веббраузер, щоб перейти до локального хоста, http://127.0.0.1:8080, і введіть ім’я користувача адміністратора клієнта для Control Hub у відповідь на запит.

                                                                                                                                                  Інструмент використовує цей перший запис імені користувача, щоб установити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку про вхід.

                                                                                                                                                  7.

                                                                                                                                                  Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора клієнта Control Hub, а потім клацніть Увійти щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

                                                                                                                                                  8

                                                                                                                                                  На сторінці огляду інструмента налаштування клацніть Почати роботу .

                                                                                                                                                  9

                                                                                                                                                  На Імпорт ISO на сторінці, у вас є такі параметри:

                                                                                                                                                  • Ні —Якщо ви створюєте свій перший вузол HDS, у вас немає файлу ISO для передавання.
                                                                                                                                                  • Так —Якщо ви вже створили вузли HDS, виберіть файл ISO під час перегляду й передайте його.
                                                                                                                                                  10

                                                                                                                                                  Переконайтеся, що ваш сертифікат X.509 відповідає вимогам у Вимоги до сертифіката X.509 .

                                                                                                                                                  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити .
                                                                                                                                                  • Якщо сертифікат відповідає вимогам, клацніть Продовжити .
                                                                                                                                                  • Якщо термін дії сертифіката завершився або ви хочете його замінити, виберіть Ні для Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO? . Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити .
                                                                                                                                                  11

                                                                                                                                                  Введіть адресу бази даних і обліковий запис HDS, щоб отримати доступ до сховища ключових даних:

                                                                                                                                                  1. Виберіть свій Тип бази даних ( PostgreSQL або Microsoft SQL Server ).

                                                                                                                                                    Якщо ви виберете Microsoft SQL Server , ви отримаєте поле Тип автентифікації.

                                                                                                                                                  2. ( Microsoft SQL Server тільки) Виберіть свій Тип автентифікації :

                                                                                                                                                    • Базова автентифікація : Потрібне ім’я локального облікового запису SQL Server у файлі Ім’я користувача поле.

                                                                                                                                                    • Автентифікація Windows : Потрібен обліковий запис Windows у форматі username@DOMAIN в Ім’я користувача поле.

                                                                                                                                                  3. Введіть адресу сервера бази даних у формі <hostname>:<port> або <IP-address>:<port>.

                                                                                                                                                    Приклад:
                                                                                                                                                    dbhost.example.org:1433 або 198.51.100.17:1433

                                                                                                                                                    Можна використовувати IP-адресу для базової автентифікації, якщо вузли не можуть використовувати DNS для визначення імені хоста.

                                                                                                                                                    Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433

                                                                                                                                                  4. Введіть Ім’я бази даних .

                                                                                                                                                  5. Введіть Ім’я користувача і Пароль користувача з усіма правами на базу даних сховища ключів.

                                                                                                                                                  12

                                                                                                                                                  Виберіть a Режим підключення до бази даних TLS :

                                                                                                                                                  Режим

                                                                                                                                                  Опис

                                                                                                                                                  Віддати перевагу TLS (параметр за замовчуванням)

                                                                                                                                                  Вузли HDS не вимагають TLS для підключення до сервера бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли намагатимуться встановити зашифроване підключення.

                                                                                                                                                  Вимагати TLS

                                                                                                                                                  Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  Вимагати TLS і перевіряти підписувача сертифіката


                                                                                                                                                   

                                                                                                                                                  Цей режим не застосовується до баз даних SQL Server.

                                                                                                                                                  • Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  • Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

                                                                                                                                                  Щоб завантажити кореневий сертифікат для цього параметра, скористайтеся пунктом керування кореневим сертифікатом бази даних під спадним меню.

                                                                                                                                                  Вимагати TLS та перевіряти підписувача сертифіката та ім 'я хоста

                                                                                                                                                  • Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  • Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

                                                                                                                                                  • Вузли також перевіряють, що ім’я хоста в сертифікаті сервера збігається з іменем хоста в Хост бази даних і порт поле. Імена повинні точно збігатися, або вузол розриває з 'єднання.

                                                                                                                                                  Щоб завантажити кореневий сертифікат для цього параметра, скористайтеся пунктом керування кореневим сертифікатом бази даних під спадним меню.

                                                                                                                                                  Під час передавання кореневого сертифіката (за необхідності) клацніть Продовжити , засіб налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє підписувача сертифіката та ім 'я хоста, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності в можливостях підключення вузли HDS можуть встановити підключення TLS, навіть якщо машині засобу налаштування HDS не вдасться успішно перевірити його.)

                                                                                                                                                  13

                                                                                                                                                  На сторінці системних журналів налаштуйте сервер Syslogd:

                                                                                                                                                  1. Введіть URL-адресу сервера системного журналу.

                                                                                                                                                    Якщо сервер не можна розділити з DNS на вузлах кластера HDS, використовуйте IP-адресу в URL-адресі.

                                                                                                                                                    Приклад:
                                                                                                                                                    udp://10.92.43.23:514 вказує на ведення журналу до хоста Syslogd 10.92.43.23 через UDP-порт 514.
                                                                                                                                                  2. Якщо ви налаштували свій сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер системного журналу на шифрування SSL? .

                                                                                                                                                    Якщо встановити цей прапорець, переконайтеся, що ви ввели URL-адресу TCP, наприклад tcp://10.92.43.23:514.

                                                                                                                                                  3. З Виберіть припинення запису системного журналу у розкривному меню виберіть відповідне налаштування для вашого файлу ISO: Виберіть або Новий рядок використовується для Graylog і Rsyslog TCP

                                                                                                                                                    • Нульовий байт -- \x00

                                                                                                                                                    • Новий рядок -- \n —Виберіть цей варіант для Graylog і Rsyslog TCP.

                                                                                                                                                  4. Клацніть Продовжити.

                                                                                                                                                  14

                                                                                                                                                  (Необов’язково) Можна змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Розширені налаштування . Як правило, цей параметр є єдиним, який ви можете змінити:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Клацніть Продовжити на Скинути пароль службових облікових записів екрана.

                                                                                                                                                  Термін дії паролів службових облікових записів становить дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів наближається або ви хочете скинути їх, щоб зробити попередні файли ISO недійсними.

                                                                                                                                                  16

                                                                                                                                                  Клацніть Завантажте файл ISO . Збережіть файл у місці, яке легко знайти.

                                                                                                                                                  17

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі.

                                                                                                                                                  Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  18

                                                                                                                                                  Щоб вимкнути інструмент налаштування, введіть CTRL+C.

                                                                                                                                                  Що далі

                                                                                                                                                  Створіть резервну копію файлу конфігурації ISO. Він потрібен, щоб створити більше вузлів для відновлення або внести зміни в конфігурацію. Якщо ви втратили всі копії файлу ISO, ви також втратили основний ключ. Відновити ключі з бази даних PostgreSQL або Microsoft SQL Server неможливо.


                                                                                                                                                   

                                                                                                                                                  Ми ніколи не маємо копії цього ключа. Ми не можемо допомогти, якщо ви її втратите.

                                                                                                                                                  Установіть OVA хоста HDS

                                                                                                                                                  Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
                                                                                                                                                  1.

                                                                                                                                                  Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi.

                                                                                                                                                  2.

                                                                                                                                                  Виберіть Файл > Розгорнути шаблон OVF .

                                                                                                                                                  3.

                                                                                                                                                  У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі .

                                                                                                                                                  4.

                                                                                                                                                  На Виберіть ім’я та папку сторінки, введіть a Ім’я віртуальної машини для вузла (наприклад, «HDS_ Node_ 1"), виберіть розташування, де може перебувати розгортання вузла віртуальної машини, а потім клацніть Далі .

                                                                                                                                                  5.

                                                                                                                                                  На Виберіть обчислювальний ресурс виберіть цільовий обчислювальний ресурс, а потім клацніть Далі .

                                                                                                                                                  Запускається перевірка. Після завершення відобразяться відомості про шаблон.

                                                                                                                                                  6.

                                                                                                                                                  Перевірте відомості шаблону й клацніть Далі .

                                                                                                                                                  7.

                                                                                                                                                  Якщо вас попросять вибрати конфігурацію ресурсу на Конфігурація сторінки, клацніть 4 ЦП а потім клацніть Далі .

                                                                                                                                                  8

                                                                                                                                                  На Виберіть сховище сторінки, клацніть Далі щоб прийняти формат диска за замовчуванням і політику сховища VM.

                                                                                                                                                  9

                                                                                                                                                  На Виберіть мережі виберіть мережевий параметр зі списку записів, щоб забезпечити потрібне підключення до VM.

                                                                                                                                                  10

                                                                                                                                                  На Налаштувати шаблон налаштуйте такі параметри мережі:

                                                                                                                                                  • Ім’я хоста —Введіть FQDN (ім’я хоста та домен) або ім’я хоста з одного слова для вузла.

                                                                                                                                                     
                                                                                                                                                    • Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.

                                                                                                                                                    • Щоб забезпечити успішну реєстрацію в хмарі, використовуйте лише малі символи в повному домені або імені хоста, які ви встановили для вузла. Наразі використання великих літер не підтримується.

                                                                                                                                                    • Загальна довжина FQDN не повинна перевищувати 64 символи.

                                                                                                                                                  • IP-адреса — Введіть IP-адресу для внутрішнього інтерфейсу вузла.

                                                                                                                                                     

                                                                                                                                                    Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

                                                                                                                                                  • Маска —Введіть адресу маски підмережі у вигляді десяткових крапок. Наприклад, 255.255.255.0 .
                                                                                                                                                  • Шлюз —Введіть IP-адресу шлюзу. Шлюз – це вузол мережі, який слугує точкою доступу до іншої мережі.
                                                                                                                                                  • Сервери DNS —Введіть розділений комами список серверів DNS, які обробляють перетворення імен доменів у числові IP-адреси. (Дозволено до 4 записів DNS.)
                                                                                                                                                  • Сервери NTP —Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Для введення кількох серверів NTP також можна використовувати список, розділений комами.
                                                                                                                                                  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними для клієнтів у вашій мережі з адміністративними цілями.

                                                                                                                                                  За бажанням можна пропустити конфігурацію мережевих параметрів і виконати інструкції Налаштуйте віртуальну машину гібридної безпеки даних щоб налаштувати параметри з консолі вузла.


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  11

                                                                                                                                                  Клацніть правою кнопкою миші вузол VM, а потім виберіть Потужність > Увімкнено .

                                                                                                                                                  Програмне забезпечення Hybrid Data Security встановлюється як гість на хості VM. Тепер ви готові ввійти на консоль і налаштувати вузол.

                                                                                                                                                  Поради з усунення несправностей

                                                                                                                                                  Перед відкриттям контейнерів вузлів може виникнути затримка в кілька хвилин. Повідомлення брандмауера мосту з’являється на консолі під час першого завантаження, під час якого ви не можете ввійти.

                                                                                                                                                  Налаштуйте віртуальну машину гібридної безпеки даних

                                                                                                                                                  Використовуйте цю процедуру, щоб уперше ввійти до консолі VM вузла гібридної безпеки даних і задати облікові дані для входу. Ви також можете використовувати консоль, щоб налаштувати параметри мережі для вузла, якщо ви не налаштували їх під час розгортання OVA.

                                                                                                                                                  1.

                                                                                                                                                  У клієнті VMware vSphere виберіть свою віртуальну машину вузла гібридної безпеки даних і виберіть Консоль вкладка.

                                                                                                                                                  ВМ завантажиться, і з’явиться запит щодо входу. Якщо запит щодо входу не відображається, натисніть Введіть .
                                                                                                                                                  2.

                                                                                                                                                  Використовуйте такі логін і пароль за замовчуванням для входу та зміни облікових даних:

                                                                                                                                                  1. Вхід: admin

                                                                                                                                                  2. Пароль: cisco

                                                                                                                                                  Оскільки ви вперше входите на свою віртуальну машину, вам потрібно змінити пароль адміністратора.

                                                                                                                                                  3.

                                                                                                                                                  Якщо ви вже налаштували параметри мережі в Установіть OVA хоста HDS , пропустіть решту цієї процедури. В іншому разі в головному меню виберіть Змінити конфігурацію параметр.

                                                                                                                                                  4.

                                                                                                                                                  Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

                                                                                                                                                  5.

                                                                                                                                                  (Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно, щоб вони відповідали вашій політиці мережі.

                                                                                                                                                  Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.

                                                                                                                                                  6.

                                                                                                                                                  Збережіть конфігурацію мережі та перезавантажте віртуальну машину, щоб зміни набули сили.

                                                                                                                                                  Вивантажте та підключіть ISO конфігурації HDS

                                                                                                                                                  Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою засобу налаштування HDS.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Оскільки файл ISO містить основний ключ, його потрібно надавати лише в разі необхідності для доступу віртуальних машин гібридної безпеки даних і всіх адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

                                                                                                                                                  1.

                                                                                                                                                  Передайте файл ISO з комп’ютера:

                                                                                                                                                  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

                                                                                                                                                  2. У списку обладнання на вкладці Конфігурація клацніть Зберігання .

                                                                                                                                                  3. У списку сховища даних клацніть правою кнопкою миші сховище даних для ваших віртуальних машин і клацніть Огляд сховища даних .

                                                                                                                                                  4. Клацніть значок Передати файли, а потім клацніть Передати файл .

                                                                                                                                                  5. Перейдіть до розташування, куди ви завантажили файл ISO на комп’ютер, і клацніть Відкрити .

                                                                                                                                                  6. Клацніть Так щоб прийняти попередження про операцію передавання/завантаження, і закрийте діалогове вікно сховища даних.

                                                                                                                                                  2.

                                                                                                                                                  Підключіть файл ISO:

                                                                                                                                                  1. На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.

                                                                                                                                                  2. Клацніть OK щоб прийняти попередження про обмеження параметрів редагування.

                                                                                                                                                  3. Клацніть CD/DVD Drive 1, виберіть параметр для підключення з ISO-файлу сховища даних і перейдіть до розташування, куди ви передали ISO-файл конфігурації.

                                                                                                                                                  4. Перевірте Підключено і Підключіться після ввімкнення .

                                                                                                                                                  5. Збережіть зміни та перезавантажте віртуальну машину.

                                                                                                                                                  Що далі

                                                                                                                                                  Якщо цього вимагає політика ІТ, ви можете додатково відключити файл ISO після того, як усі вузли отримають зміни конфігурації. Див (Необов’язково) Відключіть ISO після конфігурації HDS для отримання додаткової інформації.

                                                                                                                                                  Налаштуйте вузол HDS для інтеграції проксі

                                                                                                                                                  Якщо мережеве середовище вимагає проксі, скористайтеся цією процедурою, щоб указати тип проксі, який потрібно інтегрувати з гібридною безпекою даних. Якщо ви виберете прозорий перевіряючий проксі або явний проксі HTTPS, можна використовувати інтерфейс вузла для передавання та встановлення кореневого сертифіката. Ви також можете перевірити підключення проксі в інтерфейсі та усунути будь-які потенційні проблеми.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  1.

                                                                                                                                                  Введіть URL-адресу налаштування вузла HDS https://[HDS Node IP or FQDN]/setup у веббраузері введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .

                                                                                                                                                  2.

                                                                                                                                                  Перейти до Сховище довіри та проксі , а потім виберіть параметр:

                                                                                                                                                  • Немає проксі — Параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібно.
                                                                                                                                                  • Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.
                                                                                                                                                  • Прозорий перевіряючий проксі —Вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних змінювати конфігурацію HTTPS не потрібно, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
                                                                                                                                                  • Явний проксі — За допомогою явного проксі ви вказуєте клієнту (вузли HDS), який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести таку інформацію:
                                                                                                                                                    1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.

                                                                                                                                                    2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.

                                                                                                                                                    3. Протокол проксі —Вибрати http (переглядає й керує всіма запитами, отриманими від клієнта) або https (надає канал до сервера, а клієнт отримує та перевіряє сертифікат сервера). Виберіть параметр залежно від того, що підтримує ваш проксі-сервер.

                                                                                                                                                    4. Тип автентифікації — Виберіть один із таких типів автентифікації:

                                                                                                                                                      • Немає — подальша автентифікація не потрібна.

                                                                                                                                                        Доступно для проксі-серверів HTTP або HTTPS.

                                                                                                                                                      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.

                                                                                                                                                        Доступно для проксі-серверів HTTP або HTTPS.

                                                                                                                                                        Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль.

                                                                                                                                                      • Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.

                                                                                                                                                        Доступно лише для проксі-серверів HTTPS.

                                                                                                                                                        Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль.

                                                                                                                                                  Виконайте наступні кроки для проксі-сервера з перевіркою, проксі-сервера з явним доступом HTTP з базовою автентифікацією або явним проксі-сервером HTTPS.

                                                                                                                                                  3.

                                                                                                                                                  Клацніть Передати кореневий сертифікат або сертифікат кінцевого запису , а потім перейдіть до виберіть кореневий сертифікат для проксі.

                                                                                                                                                  Сертифікат передано, але його ще не встановлено, оскільки для встановлення сертифіката необхідно перезавантажити вузол. Клацніть стрілку в формі шеврону біля імені емітента сертифіката, щоб отримати додаткову інформацію, або клацніть Видалити якщо ви зробили помилку й хочете повторно передати файл.

                                                                                                                                                  4.

                                                                                                                                                  Клацніть Перевірте підключення проксі щоб перевірити підключення до мережі між вузлом і проксі.

                                                                                                                                                  Якщо перевірку підключення не вдалося виконати, ви побачите повідомлення про помилку, у якому буде вказано причину та способи виправлення проблеми.

                                                                                                                                                  Якщо відображається повідомлення про помилку розв’язання зовнішнього DNS, вузлу не вдалося зв’язатися з сервером DNS. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол функціонуватиме в режимі роздільної здатності заблокованого зовнішнього DNS. Якщо ви вважаєте, що це помилка, виконайте ці кроки, а потім перегляньте Вимкніть режим роздільної здатності заблокованого зовнішнього DNS .

                                                                                                                                                  5.

                                                                                                                                                  Після завершення перевірки підключення для явного проксі, установленого лише на https, увімкніть перемикач Маршрутизувати всі запити HTTPS на порт 443/444 від цього вузла через явний проксі-сервер . Це налаштування набуде чинності через 15 секунд.

                                                                                                                                                  6.

                                                                                                                                                  Клацніть Установіть усі сертифікати в сховище довіри (з’являється для явного проксі HTTPS або прозорого проксі-сервера для перевірки) або Перезавантажте (з’являється для явного проксі-сервера HTTP), прочитайте підказку, а потім клацніть Установити якщо ви готові.

                                                                                                                                                  Вузол перезавантажиться за кілька хвилин.

                                                                                                                                                  7.

                                                                                                                                                  Після перезавантаження вузла за потреби ввійдіть ще раз, а потім відкрийте файл Огляд сторінку, щоб перевірити перевірки підключення та переконатися, що всі вони мають зелений стан.

                                                                                                                                                  Перевірка підключення до проксі перевіряє лише субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі з хмарних доменів, перелічених в інструкціях зі встановлення, блокуються на проксі.

                                                                                                                                                  Зареєструйте перший вузол у кластері

                                                                                                                                                  Це завдання використовує загальний вузол, який ви створили в Налаштуйте віртуальну машину гібридної безпеки даних , реєструє вузол у хмарі Webex і перетворює його на вузол гібридної безпеки даних.

                                                                                                                                                  Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначено цей вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.

                                                                                                                                                  • Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у https://admin.webex.com.

                                                                                                                                                  2.

                                                                                                                                                  У меню ліворуч на екрані виберіть Служби .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування .

                                                                                                                                                  З’явиться сторінка Реєстрація вузла безпеки гібридних даних.
                                                                                                                                                  4.

                                                                                                                                                  Виберіть Так , щоб зазначити, що ви налаштували вузол і готові його зареєструвати, а потім клацніть Далі .

                                                                                                                                                  5.

                                                                                                                                                  У першому полі введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних.

                                                                                                                                                  Рекомендовано призначати кластеру залежно від географічного розташування вузлів кластера. Приклади. "Сан-Франциско", "Нью-Йорк" або "Даллас"

                                                                                                                                                  6.

                                                                                                                                                  У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі .

                                                                                                                                                  Ця IP-адреса або повне доменне ім’я має збігатися з IP-адресою або іменем хоста й доменом, які ви використовували Налаштуйте віртуальну машину гібридної безпеки даних .

                                                                                                                                                  З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у Webex.
                                                                                                                                                  7.

                                                                                                                                                  Клацніть Перейдіть до Node .

                                                                                                                                                  8

                                                                                                                                                  Клацніть Продовжити у попередженні.

                                                                                                                                                  Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Тут ви підтверджуєте, що хочете надати дозволи організації Webex на доступ до вашого вузла.
                                                                                                                                                  9

                                                                                                                                                  Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити .

                                                                                                                                                  Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
                                                                                                                                                  10

                                                                                                                                                  Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub.

                                                                                                                                                  На Гібридна безпека даних на сторінці, відображається новий кластер, що містить зареєстрований вами вузол. Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

                                                                                                                                                  Створіть і зареєструйте більше вузлів

                                                                                                                                                  Щоб додати додаткові вузли до кластера, потрібно просто створити додаткові віртуальні машини та підключити той самий файл конфігурації, а потім зареєструвати вузол. Рекомендовано мати принаймні 3 вузли.

                                                                                                                                                   

                                                                                                                                                  Зараз резервні VM, які ви створили Виконайте обов’язкові умови для гібридної безпеки даних резервні хости, які використовуються лише в разі аварійного відновлення; вони не зареєстровані в системі до цього часу. Докладніше див Аварійне відновлення за допомогою резервного центру обробки даних .

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.

                                                                                                                                                  • Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

                                                                                                                                                  1.

                                                                                                                                                  Створіть нову віртуальну машину з OVA, повторивши кроки в Установіть OVA хоста HDS .

                                                                                                                                                  2.

                                                                                                                                                  Налаштуйте початкову конфігурацію на новій віртуальній машині, повторивши кроки в Налаштуйте віртуальну машину гібридної безпеки даних .

                                                                                                                                                  3.

                                                                                                                                                  На новій віртуальній машині повторіть кроки в Вивантажте та підключіть ISO конфігурації HDS .

                                                                                                                                                  4.

                                                                                                                                                  Якщо ви налаштовуєте проксі для свого розгортання, повторіть кроки в розділі Налаштуйте вузол HDS для інтеграції проксі за потребою для нового вузла.

                                                                                                                                                  5.

                                                                                                                                                  Зареєструйте вузол.

                                                                                                                                                  1. Уhttps://admin.webex.com , виберіть Служби з меню в лівій частині екрана.

                                                                                                                                                  2. У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Ресурси .

                                                                                                                                                    З’явиться сторінка ресурсів безпеки гібридних даних.
                                                                                                                                                  3. Клацніть Додати ресурс .

                                                                                                                                                  4. У першому полі виберіть ім’я наявного кластера.

                                                                                                                                                  5. У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі .

                                                                                                                                                    З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у хмарі Webex.
                                                                                                                                                  6. Клацніть Перейдіть до Node .

                                                                                                                                                    Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Там ви підтверджуєте, що хочете надати дозволи вашій організації на доступ до вашого вузла.
                                                                                                                                                  7. Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити .

                                                                                                                                                    Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
                                                                                                                                                  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub.

                                                                                                                                                  Ваш вузол зареєстровано. Зауважте, що поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

                                                                                                                                                  Що далі

                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)
                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії

                                                                                                                                                  Потік завдань із пробної версії до виробничого

                                                                                                                                                  Після налаштування кластера гібридної безпеки даних можна запустити пілот, додати до нього користувачів і почати використовувати його для тестування та перевірки розгортання під час підготовки до переходу до робочої версії.

                                                                                                                                                  1.

                                                                                                                                                  Якщо можливо, синхронізуйте HdsTrialGroup об’єкт групи.

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати HdsTrialGroup груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію. Інструкції див Посібник із розгортання для Cisco Directory Connector.

                                                                                                                                                  2.

                                                                                                                                                  Активувати ознайомлювальну версію

                                                                                                                                                  Почніть пробну версію. Поки ви не виконаєте це завдання, ваші вузли створять попередження, що вказує на те, що служба ще не активована.

                                                                                                                                                  3.

                                                                                                                                                  Перевірте розгортання гібридної безпеки даних

                                                                                                                                                  Перевірте, чи передаються запити на ключ до розгортання гібридної безпеки даних.

                                                                                                                                                  4.

                                                                                                                                                  Моніторинг працездатності гібридної безпеки даних

                                                                                                                                                  Перевірте стан і налаштуйте сповіщення електронною поштою для попереджень.

                                                                                                                                                  5.

                                                                                                                                                  Додавання або видалення користувачів із пробної версії

                                                                                                                                                  6.

                                                                                                                                                  Завершіть ознайомлювальну фазу, виконавши одну з таких дій:

                                                                                                                                                  Активувати ознайомлювальну версію

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати HdsTrialGroup груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію для вашої організації. Інструкції див Посібник із розгортання для Cisco Directory Connector.

                                                                                                                                                  1.

                                                                                                                                                  Увійти вhttps://admin.webex.com , а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Стан служби клацніть Почати пробну версію .

                                                                                                                                                  Стан служби змінюється на ознайомлювальний режим.
                                                                                                                                                  4.

                                                                                                                                                  Клацніть Додати користувачів і введіть адресу електронної пошти одного або кількох користувачів, які будуть використовувати ваші вузли гібридної безпеки даних для служб шифрування та індексування.

                                                                                                                                                  (Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory для керування ознайомлювальною групою, HdsTrialGroup.)

                                                                                                                                                  Перевірте розгортання гібридної безпеки даних

                                                                                                                                                  Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Налаштуйте розгортання гібридної безпеки даних.

                                                                                                                                                  • Активуйте ознайомлювальну версію та додайте кілька користувачів пробної версії.

                                                                                                                                                  • Переконайтеся, що у вас є доступ до системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

                                                                                                                                                  1.

                                                                                                                                                  Ключі для певного простору встановлюються його творцем. Увійдіть у програму Webex як один із пілотних користувачів, а потім створіть простір і запросіть принаймні одного пілотного користувача та одного не пілотного користувача.


                                                                                                                                                   

                                                                                                                                                  Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюють пілотні користувачі, стане недоступним після заміни кешованих клієнтом копій ключів шифрування.

                                                                                                                                                  2.

                                                                                                                                                  Надсилайте повідомлення в новий простір.

                                                                                                                                                  3.

                                                                                                                                                  Перевірте вивід системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

                                                                                                                                                  1. Щоб перевірити, чи є користувач, який спочатку встановлює безпечний канал до KMS, увімкніть фільтр kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис (ідентифікатори скорочені для читабельності):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Щоб перевірити наявність користувача, який запитує наявний ключ із KMS, увімкніть фільтр kms.data.method=retrieve і kms.data.type=KEY.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Щоб перевірити, чи є користувач із запитом щодо створення нового ключа KMS, увімкніть фільтр kms.data.method=create і kms.data.type=KEY_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Щоб перевірити, чи немає користувача, який подав запит щодо створення нового ресурсного об’єкта KMS (KRO), коли створюється простір або інший захищений ресурс, відфільтруйте kms.data.method=create і kms.data.type=RESOURCE_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Моніторинг працездатності гібридної безпеки даних

                                                                                                                                                  Індикатор стану в Control Hub показує, чи все гаразд із розгортанням гібридної безпеки даних. Щоб отримати більше проактивних сповіщень, зареєструйтеся на отримання сповіщень електронною поштою. Ви отримаєте сповіщення про попередження, що впливають на службу, або оновлення програмного забезпечення.
                                                                                                                                                  1.

                                                                                                                                                  У Control Hub , виберіть Служби з меню в лівій частині екрана.

                                                                                                                                                  2.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування .

                                                                                                                                                  З’явиться сторінка параметрів безпеки гібридних даних.
                                                                                                                                                  3.

                                                                                                                                                  У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділені комами, і натисніть Введіть .

                                                                                                                                                  Додавання або видалення користувачів із пробної версії

                                                                                                                                                  Після активації пробної версії й додавання початкового набору користувачів пробної версії можна додавати або видаляти учасників пробної версії будь-коли, поки пробна версія активна.

                                                                                                                                                  Якщо видалити користувача з ознайомлювальної версії, клієнт цього користувача запитуватиме ключі та створення ключів із хмарного KMS замість вашої KMS. Якщо клієнту потрібен ключ, який зберігається у вашій KMS, хмарний KMS отримає його від імені користувача.

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory (замість цієї процедури) для керування ознайомлювальною групою, HdsTrialGroup; Ви можете переглядати учасників групи в Control Hub, але не можете додавати або видаляти їх.

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі «Ознайомлювальний режим» області стану служби клацніть Додати користувачів або клацніть переглянути та змінити щоб видалити користувачів із пробної версії.

                                                                                                                                                  4.

                                                                                                                                                  Введіть адресу електронної пошти одного або кількох користувачів, яких потрібно додати, або клацніть X за допомогою ідентифікатора користувача, щоб видалити користувача з ознайомлювальної версії. Потім натисніть Зберегти.

                                                                                                                                                  Перейдіть із пробної версії до робочої версії

                                                                                                                                                  Коли ви переконаєтеся, що ваше розгортання працює добре для користувачів пробної версії, можна перейти до робочої версії. Після переходу до робочої версії всі користувачі в організації використовуватимуть ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Неможливо повернутися до ознайомлювального режиму з робочої версії, якщо ви не деактивуєте службу в рамках відновлення після аварій. Для повторної активації служби потрібно налаштувати нову ознайомлювальну версію.
                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Стан служби клацніть Перейти до робочої версії .

                                                                                                                                                  4.

                                                                                                                                                  Підтвердьте, що хочете перемістити всіх користувачів у робочу версію.

                                                                                                                                                  Завершіть ознайомлювальну версію, не переходячи на робочу версію

                                                                                                                                                  Якщо під час використання пробної версії ви вирішите не продовжувати розгортання гібридної безпеки даних, можна деактивувати гібридну безпеку даних, що завершить ознайомлювальну версію й перемістить користувачів пробної версії назад до хмарних служб безпеки даних. Користувачі пробної версії втратять доступ до даних, які були зашифровані під час пробної версії.
                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Деактивувати клацніть Деактивувати .

                                                                                                                                                  4.

                                                                                                                                                  Підтвердьте, що хочете деактивувати службу, і завершите ознайомлювальну версію.

                                                                                                                                                  Керуйте своїм розгортанням HDS

                                                                                                                                                  Керуйте розгортанням HDS

                                                                                                                                                  Використовуйте описані тут завдання, щоб керувати розгортанням гібридної безпеки даних.

                                                                                                                                                  Установіть розклад оновлення кластерів

                                                                                                                                                  Оновлення програмного забезпечення для гібридної безпеки даних виконується автоматично на рівні кластера, що гарантує, що на всіх вузлах завжди запущено ту саму версію програмного забезпечення. Оновлення версії виконуються відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стає доступним, у вас є можливість оновити кластер вручну до запланованого часу оновлення. Можна задати конкретний розклад оновлення версії або використовувати розклад за замовчуванням о 3:00 щодня (США): Америка/Лос-Анджелес. За потреби можна також відкласти майбутнє оновлення версії.

                                                                                                                                                  Щоб установити розклад оновлення:

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть в Control Hub.

                                                                                                                                                  2.

                                                                                                                                                  На сторінці "Огляд" у розділі "Гібридні служби" виберіть Гібридна безпека даних .

                                                                                                                                                  3.

                                                                                                                                                  На сторінці Ресурси безпеки гібридних даних виберіть кластер.

                                                                                                                                                  4.

                                                                                                                                                  На панелі «Огляд» праворуч у розділі «Налаштування кластера» виберіть ім’я кластера.

                                                                                                                                                  5.

                                                                                                                                                  На сторінці налаштувань у розділі «Оновлення» виберіть час і часовий пояс для розкладу оновлення.

                                                                                                                                                  Примітка. Під часовим поясом відображається наступна доступна дата й час оновлення версії. За потреби можна відкласти оновлення версії на наступний день, натиснувши Відкласти .

                                                                                                                                                  Змініть конфігурацію вузла

                                                                                                                                                  Іноді вам може знадобитися змінити конфігурацію вузла Hybrid Data Security з такої причини, як:
                                                                                                                                                  • Зміна сертифікатів x.509 через закінчення терміну дії або з інших причин.


                                                                                                                                                     

                                                                                                                                                    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовувався для реєстрації кластера.

                                                                                                                                                  • Оновлення налаштувань бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ми не підтримуємо перенесення даних з PostgreSQL на Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, запустіть нове розгортання Hybrid Data Security.

                                                                                                                                                  • Створення нової конфігурації для підготовки нового дата-центру.

                                                                                                                                                  Крім того, в цілях безпеки Hybrid Data Security використовує паролі облікових записів, які мають дев 'ятимісячний термін служби. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з вузлів HDS у файлі конфігурації ISO. Коли термін дії паролів вашої організації наближається до закінчення, ви отримуєте сповіщення від команди Webex про скидання пароля для облікового запису вашого комп 'ютера. (Електронний лист містить текст: «Використовуйте API облікового запису машини для оновлення пароля.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

                                                                                                                                                  • М 'яке скидання- старий і новий паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

                                                                                                                                                  • Hard Reset- старі паролі негайно перестають працювати.

                                                                                                                                                  Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

                                                                                                                                                  Використовуйте цю процедуру, щоб створити новий файл ISO конфігурації та застосувати його до вашого кластера.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Центру керування з повними правами адміністратора для вашої організації.

                                                                                                                                                    Якщо інструмент налаштування HDS працює за допомогою проксі у вашому середовищі, укажіть налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час відображення контейнера Docker у 1.e . У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі з аутентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Для створення нової конфігурації потрібна копія поточного файлу конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Під час внесення змін до конфігурації, включаючи облікові дані бази даних, оновлення сертифікатів або зміни політики авторизації, потрібно використовувати ISO.

                                                                                                                                                  1.

                                                                                                                                                  Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

                                                                                                                                                  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

                                                                                                                                                    У звичайних умовах:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Цей крок очищає попередні зображення інструментів налаштування HDS. Якщо попередніх зображень немає, він повертає помилку, яку можна проігнорувати.

                                                                                                                                                  2. Щоб увійти до реєстру Docker-образів, введіть наступне:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. У підказці пароля введіть цей хеш:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Завантажте останнє стабільне зображення для вашого середовища:

                                                                                                                                                    У звичайних умовах:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Переконайтеся, що ви витягли останній інструмент налаштування для цієї процедури. Версії інструменту, створені до 22 лютого 2018 року, не мають екранів для скидання пароля.

                                                                                                                                                  5. Після завершення витягування введіть відповідну команду для вашого середовища:

                                                                                                                                                    • У звичайних середовищах без проксі-сервера:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах з HTTP-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах із HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У середовищах FedRAMP без проксі-сервера:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з HTTP-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з HTTPS-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

                                                                                                                                                  6. Використовуйте браузер для підключення до локального вузла, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Інструмент налаштування не підтримує підключення до локального хосту http://localhost:8080. використання http://127.0.0.1:8080 для підключення до локального хосту.

                                                                                                                                                  7. Коли з 'явиться запит, введіть облікові дані для входу в Центр керування клієнтами, а потім натисніть "Прийняти", щоб продовжити.

                                                                                                                                                  8. Імпортуйте поточний файл конфігурації ISO.

                                                                                                                                                  9. Дотримуйтесь вказівок, щоб завершити інструмент і завантажити оновлений файл.

                                                                                                                                                    Щоб вимкнути інструмент налаштування, введіть CTRL+C.

                                                                                                                                                  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

                                                                                                                                                  2.

                                                                                                                                                  Якщо у вас працює лише один вузол HDS, створіть нову віртуальну машину з гібридною системою безпеки даних і зареєструйте її за допомогою нового файлу конфігурації ISO. Докладні інструкції див Створіть і зареєструйте більше вузлів .

                                                                                                                                                  1. Встановіть HDS хост OVA.

                                                                                                                                                  2. Налаштуйте HDS VM.

                                                                                                                                                  3. Змонтуйте оновлений файл конфігурації.

                                                                                                                                                  4. Зареєструйте новий вузол в Control Hub.

                                                                                                                                                  3.

                                                                                                                                                  Для існуючих вузлів HDS, які працюють зі старим файлом конфігурації, монтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

                                                                                                                                                  1. Вимкніть віртуальну машину.

                                                                                                                                                  2. На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.

                                                                                                                                                  3. Клацніть CD/DVD Drive 1, виберіть параметр для монтування з файлу ISO і перейдіть до місця, де ви завантажили новий файл конфігурації ISO.

                                                                                                                                                  4. Перевірте підключення при увімкненому живленні.

                                                                                                                                                  5. Збережіть зміни та ввімкніть віртуальну машину.

                                                                                                                                                  4.

                                                                                                                                                  Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, що працює за старою конфігурацією.

                                                                                                                                                  Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі вузла, процес перевіряє пошук DNS і можливість підключення до хмари Cisco Webex. Якщо сервер DNS вузла не може дозволити загальнодоступні імена DNS, вузол автоматично переходить у режим роздільної здатності заблокованого зовнішнього DNS.

                                                                                                                                                  Якщо ваші вузли здатні дозволяти публічні імена DNS через внутрішні сервери DNS, можна вимкнути цей режим, повторно запустивши перевірку підключення до проксі на кожному вузлі.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Переконайтеся, що ваші внутрішні сервери DNS можуть дозволяти загальнодоступні імена DNS і що ваші вузли можуть зв’язуватися з ними.
                                                                                                                                                  1.

                                                                                                                                                  У веббраузері відкрийте інтерфейс вузла Hybrid Data Security (IP-адреса/налаштування, наприклад,https://192.0.2.0/setup), введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .

                                                                                                                                                  2.

                                                                                                                                                  Перейти до Огляд (сторінка за замовчуванням).

                                                                                                                                                  Якщо ввімкнено, для параметра Blocked External DNS Resolution (Заблокована зовнішня роздільна здатність DNS) встановлено значення

                                                                                                                                                  3.

                                                                                                                                                  Перейдіть до Сховище довіри та проксі сторінка.

                                                                                                                                                  4.

                                                                                                                                                  Клацніть Перевірте підключення проксі .

                                                                                                                                                  Якщо з’явиться повідомлення про помилку розв’язання зовнішнього DNS, вузол не зміг зв’язатися з сервером DNS і залишиться в цьому режимі. В іншому разі після перезавантаження вузла й повернення до Огляд сторінки, роздільна здатність заблокованого зовнішнього DNS має бути встановлена на no.

                                                                                                                                                  Що далі

                                                                                                                                                  Повторіть перевірку підключення до проксі на кожному вузлі в кластері гібридної безпеки даних.

                                                                                                                                                  Видалити вузол

                                                                                                                                                  Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
                                                                                                                                                  1.

                                                                                                                                                  Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi та вимкнути віртуальну машину.

                                                                                                                                                  2.

                                                                                                                                                  Видалити вузол:

                                                                                                                                                  1. Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів безпеки гібридних даних.

                                                                                                                                                  3. Виберіть кластер, щоб відобразити панель «Огляд».

                                                                                                                                                  4. Клацніть Відкрити список вузлів .

                                                                                                                                                  5. На вкладці Вузли виберіть вузол, який потрібно видалити.

                                                                                                                                                  6. Клацніть Дії > Скасувати реєстрацію вузла .

                                                                                                                                                  3.

                                                                                                                                                  У клієнті vSphere видаліть віртуальну машину. (На панелі переходів ліворуч клацніть VM правою кнопкою миші й клацніть Видалити .)

                                                                                                                                                  Якщо ви не видалите віртуальну машину, не забудьте відключити файл ISO конфігурації. Без файлу ISO ви не зможете використовувати віртуальну машину для доступу до даних безпеки.

                                                                                                                                                  Аварійне відновлення за допомогою резервного центру обробки даних

                                                                                                                                                  Найважливіша служба, яку надає кластер гібридної безпеки даних, — це створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, якого призначено до гібридної безпеки даних, запити на створення нових ключів маршрутизуються до кластера. Кластер також відповідає за повернення створених ним ключів будь-яким користувачам, уповноваженим на їх отримання, наприклад учасникам простору розмови.

                                                                                                                                                  Оскільки кластер виконує критичну функцію надання цих ключів, важливо, щоб кластер продовжував працювати та підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕВІДПОВІДАННЯ ВТРАТИ контенту клієнта. Щоб запобігти такій втраті, необхідно дотримуватися наведених нижче дій.

                                                                                                                                                  Якщо внаслідок стихійного лиха розгортання HDS в основному центрі обробки даних стає недоступним, виконайте цю процедуру, щоб вручну перейти до резервного центру обробки даних.

                                                                                                                                                  1.

                                                                                                                                                  Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

                                                                                                                                                  2.

                                                                                                                                                  Після налаштування сервера Syslogd клацніть Розширені налаштування

                                                                                                                                                  3.

                                                                                                                                                  На Розширені налаштування сторінку, додайте конфігурацію нижче або видаліть passiveMode конфігурації, щоб зробити вузол активним. Після налаштування вузол може обробляти трафік.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4.

                                                                                                                                                  Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

                                                                                                                                                  5.

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  6.

                                                                                                                                                  На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування. .

                                                                                                                                                  7.

                                                                                                                                                  Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.


                                                                                                                                                   

                                                                                                                                                  Переконайтеся, що Підключено і Підключіться після ввімкнення перевірено, щоб оновлені зміни конфігурації набули чинності після запуску вузлів.

                                                                                                                                                  8

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

                                                                                                                                                  9

                                                                                                                                                  Повторіть процес для кожного вузла в резервному центрі обробки даних.


                                                                                                                                                   

                                                                                                                                                  Перевірте вивід системного журналу, щоб переконатися, що вузли резервного центру обробки даних не перебувають у пасивному режимі. "KMS налаштовано в пасивному режимі" не має відображатися в системних журналах.

                                                                                                                                                  Що далі

                                                                                                                                                  Якщо після відмови основний центр обробки даних знову стане активним, переведіть резервний центр обробки даних у пасивний режим знову, виконавши дії, описані в Налаштуйте резервний центр обробки даних для аварійного відновлення .

                                                                                                                                                  (Необов’язково) Відключіть ISO після конфігурації HDS

                                                                                                                                                  Стандартна конфігурація HDS працює з установленим ISO. Однак деякі клієнти вважають за краще не залишати файли ISO безперервно підключеними. Можна відключити файл ISO після того, як усі вузли HDS отримають нову конфігурацію.

                                                                                                                                                  Ви все ще використовуєте файли ISO для внесення змін конфігурації. Коли ви створюєте новий ISO або оновлюєте ISO за допомогою інструмента налаштування, ви повинні підключити оновлений ISO на всіх вузлах HDS. Після того як усі ваші вузли приймуть зміни конфігурації, ви можете знову відключити ISO за допомогою цієї процедури.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Оновіть усі вузли HDS до версії 2021.01.22.4720 або пізнішої.

                                                                                                                                                  1.

                                                                                                                                                  Вимкніть один із вузлів HDS.

                                                                                                                                                  2.

                                                                                                                                                  У vCenter Server Appliance виберіть вузол HDS.

                                                                                                                                                  3.

                                                                                                                                                  Виберіть Змінити налаштування > CD/DVD-привід і зніміть прапорець Файл ISO сховища даних .

                                                                                                                                                  4.

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що попередження немає принаймні 20 хвилин.

                                                                                                                                                  5.

                                                                                                                                                  Повторіть по черзі для кожного вузла HDS.

                                                                                                                                                  Усунення проблем гібридної безпеки даних

                                                                                                                                                  Перегляд сповіщень і усунення несправностей

                                                                                                                                                  Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що запитує тайм-аут. Якщо користувачі не можуть підключитися до кластера гібридної безпеки даних, у них з’являються такі ознаки:

                                                                                                                                                  • Неможливо створити нові простори (неможливо створити нові ключі)

                                                                                                                                                  • Не вдалося розшифрувати повідомлення та назви просторів для:

                                                                                                                                                    • До простору додано нових користувачів (не вдається отримати ключі)

                                                                                                                                                    • Наявні користувачі в просторі, що використовують нового клієнта (не вдається отримати ключі)

                                                                                                                                                  • Наявні користувачі в просторі продовжуватимуть успішно працювати, доки їхні клієнти мають кеш ключів шифрування.

                                                                                                                                                  Важливо належним чином відстежувати кластер гібридної безпеки даних і своєчасно виправляти будь-які сповіщення, щоб уникнути перебоїв у роботі служби.

                                                                                                                                                  Сповіщення

                                                                                                                                                  Якщо виникла проблема з налаштуванням гібридної безпеки даних, Control Hub відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато поширених сценаріїв.

                                                                                                                                                  Таблиця 1. Загальні проблеми та кроки до їх вирішення

                                                                                                                                                  Оповіщення

                                                                                                                                                  Дія

                                                                                                                                                  Помилка доступу до локальної бази даних.

                                                                                                                                                  Перевірте помилки бази даних або проблеми з локальною мережею.

                                                                                                                                                  Помилка підключення до локальної бази даних.

                                                                                                                                                  Переконайтеся, що сервер бази даних доступний, а в конфігурації вузла використано правильні облікові дані облікового запису служби.

                                                                                                                                                  Помилка доступу до хмарної служби.

                                                                                                                                                  Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього підключення .

                                                                                                                                                  Поновлення реєстрації хмарної служби.

                                                                                                                                                  Реєстрацію в хмарних службах перервано. Триває поновлення реєстрації.

                                                                                                                                                  Реєстрацію хмарної служби зупинено.

                                                                                                                                                  Реєстрацію в хмарних службах припинено. Служба завершується.

                                                                                                                                                  Службу ще не активовано.

                                                                                                                                                  Активуйте ознайомлювальну версію або завершите переміщення пробної версії до робочої версії.

                                                                                                                                                  Налаштований домен не відповідає сертифікату сервера.

                                                                                                                                                  Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

                                                                                                                                                  Найімовірніша причина полягає в тому, що CN сертифіката було нещодавно змінено, і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

                                                                                                                                                  Не вдалося автентифікуватися в хмарних службах.

                                                                                                                                                  Перевірте точність і можливе закінчення терміну дії облікових даних облікового запису служби.

                                                                                                                                                  Не вдалося відкрити файл локального сховища ключів.

                                                                                                                                                  Перевірте цілісність і точність пароля у файлі локального сховища ключів.

                                                                                                                                                  Сертифікат локального сервера неприпустимий.

                                                                                                                                                  Перевірте дату закінчення терміну дії сертифіката сервера та переконайтеся, що його видано довіреним центром сертифікації.

                                                                                                                                                  Не вдалося опублікувати показники.

                                                                                                                                                  Перевірте доступ локальної мережі до зовнішніх хмарних служб.

                                                                                                                                                  /media/configdrive/hds не існує.

                                                                                                                                                  Перевірте конфігурацію монтування ISO на віртуальному хості. Переконайтеся, що файл ISO існує, що його налаштовано на підключення під час перезавантаження та що він успішно підключений.

                                                                                                                                                  Усунення проблем гібридної безпеки даних

                                                                                                                                                  Використовуйте наведені далі загальні інструкції під час усунення проблем із гібридною безпекою даних.
                                                                                                                                                  1.

                                                                                                                                                  Перевірте Control Hub на наявність сповіщень і виправте будь-які елементи, які ви там знайдете.

                                                                                                                                                  2.

                                                                                                                                                  Перевірте вивід сервера системного журналу щодо активності розгортання гібридної безпеки даних.

                                                                                                                                                  3.

                                                                                                                                                  Контакт Підтримка Cisco .

                                                                                                                                                  Інші примітки

                                                                                                                                                  Відомі проблеми безпеки гібридних даних

                                                                                                                                                  • Якщо ви завершите роботу кластера гібридної безпеки даних (шляхом видалення його в Control Hub або закривши всі вузли), втратите файл ISO конфігурації або втратите доступ до бази даних сховища ключів, користувачі програми Webex більше не зможуть використовувати простори в розділі "Контакти". список, створений за допомогою ключів із KMS. Це стосується як пробного, так і робочого розгортання. Наразі ми не маємо обхідних шляхів або виправлення цієї проблеми. Ми закликаємо вас не закривати служби HDS після того, як вони оброблятимуть активні облікові записи користувачів.

                                                                                                                                                  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом певного періоду часу (імовірно, однієї години). Коли користувач стає учасником ознайомлювальної версії гібридної безпеки даних, клієнт користувача продовжує використовувати наявне підключення ECDH, доки не завершиться час очікування. Крім того, користувач може вийти та знову ввійти в програму Webex, щоб оновити розташування, до якого програма звертається для отримання ключів шифрування.

                                                                                                                                                    Така ж поведінка відбувається під час переміщення пробної версії до робочої версії для організації. Усі користувачі без пробної версії, які мають наявні підключення ECDH до попередніх служб безпеки даних, продовжуватимуть використовувати ці служби, доки не буде переузгоджено підключення ECDH (через тайм-аут або вихід із системи та повторний вхід).

                                                                                                                                                  Використовуйте OpenSSL для створення файлу PKCS12

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • OpenSSL — це один із інструментів, який можна використовувати для створення файлу PKCS12 у відповідному форматі для завантаження в інструменті налаштування HDS. Це можна зробити й іншими способами. Ми не підтримуємо й не рекламуємо один із них.

                                                                                                                                                  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, яка допоможе вам створити файл, який відповідає вимогам до сертифіката X.509 у Вимоги до сертифіката X.509 . Ознайомтеся з цими вимогами, перш ніж продовжити.

                                                                                                                                                  • Установіть OpenSSL у підтримуваному середовищі. Дивhttps://www.openssl.org для програмного забезпечення та документації.

                                                                                                                                                  • Створіть закритий ключ.

                                                                                                                                                  • Почніть цю процедуру, коли отримаєте сертифікат сервера від центру сертифікації (CA).

                                                                                                                                                  1.

                                                                                                                                                  Отримавши сертифікат сервера від CA, збережіть його як hdsnode.pem.

                                                                                                                                                  2.

                                                                                                                                                  Відобразіть сертифікат у вигляді тексту та перевірте відомості.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3.

                                                                                                                                                  Використовуйте текстовий редактор, щоб створити файл пакета сертифікатів під назвою hdsnode-bundle.pem. Файл пакета має містити сертифікат сервера, будь-які проміжні сертифікати CA та сертифікати кореневого CA у форматі нижче:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4.

                                                                                                                                                  Створіть файл .p12 зі зручним іменем kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5.

                                                                                                                                                  Перевірте відомості про сертифікат сервера.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Введіть пароль у підказці, щоб зашифрувати закритий ключ, щоб він відображався у виводі. Потім переконайтеся, що закритий ключ і перший сертифікат містять рядки friendlyName: kms-private-key.

                                                                                                                                                    Приклад:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Що далі

                                                                                                                                                  Повернутися до Виконайте обов’язкові умови для гібридної безпеки даних . Ви використовуватимете hdsnode.p12 файл і пароль, який ви для нього встановили, у Створіть ISO конфігурації для хостів HDS .


                                                                                                                                                   

                                                                                                                                                  Ви можете повторно використовувати ці файли для запиту нового сертифіката після завершення терміну дії оригінального сертифіката.

                                                                                                                                                  Трафік між вузлами HDS і хмарою

                                                                                                                                                  Трафік збору вихідних показників

                                                                                                                                                  Вузли гібридної безпеки даних надсилають певні показники до хмари Webex. До них належать системні показники для максимальної кількості накопичувачів, використаної пам’яті, навантаження на ЦП і кількості потоків; метрики для синхронних та асинхронних потоків; показники для оповіщень, що включають поріг з’єднань шифрування, затримку або довжину черги запитів; метрики в сховищі даних; і показники підключення шифрування. Вузли надсилають матеріал зашифрованого ключа через позасмуговий (окремий від запиту) канал.

                                                                                                                                                  Вхідний трафік

                                                                                                                                                  Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

                                                                                                                                                  • Запити шифрування від клієнтів, які маршрутизуються службою шифрування

                                                                                                                                                  • Оновлення програмного забезпечення вузла

                                                                                                                                                  Налаштуйте проксі Squid для гібридної безпеки даних

                                                                                                                                                  Websocket не вдається підключитися через проксі-сервер Squid

                                                                                                                                                  Проксі-сервери Squid, які перевіряють трафік HTTPS, можуть перешкоджати встановленню websocket ( wss:) підключення, які вимагає Hybrid Data Security. У цих розділах наведено інструкції щодо налаштування різних версій Squid для ігнорування wss: трафіку для належної роботи служб.

                                                                                                                                                  Кальмари 4 і 5

                                                                                                                                                  Додайте on_unsupported_protocol директива до squid.conf.

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Ми успішно перевірили безпеку гібридних даних, додавши такі правила squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Передмова

                                                                                                                                                  Нова та змінена інформація

                                                                                                                                                  Дата

                                                                                                                                                  Внесені зміни

                                                                                                                                                  20 жовтня 2023 року

                                                                                                                                                  7 серпня 2023 року

                                                                                                                                                  23 травня 2023 року

                                                                                                                                                  6 грудня 2022 року

                                                                                                                                                  23 листопада 2022 року

                                                                                                                                                  13 жовтня 2021 р.

                                                                                                                                                  Щоб установити вузли HDS, Docker Desktop необхідно запустити програму встановлення. Див Вимоги до Docker Desktop .

                                                                                                                                                  24 червня 2021 року

                                                                                                                                                  Зауважено, що ви можете повторно використовувати файл із закритим ключем і CSR для запиту іншого сертифіката. Див Використовуйте OpenSSL для створення файлу PKCS12 для отримання додаткової інформації.

                                                                                                                                                  30 квітня 2021 р.

                                                                                                                                                  Вимогу до VM щодо простору на локальному жорсткому диску змінено на 30 ГБ. Див Вимоги до віртуального хоста для отримання додаткової інформації.

                                                                                                                                                  24 лютого 2021 р.

                                                                                                                                                  HDS Setup Tool тепер може працювати через проксі. Див Створіть ISO конфігурації для хостів HDS для отримання додаткової інформації.

                                                                                                                                                  2 лютого 2021 р.

                                                                                                                                                  Тепер HDS може працювати без підключеного файлу ISO. Див (Необов’язково) Відключіть ISO після конфігурації HDS для отримання додаткової інформації.

                                                                                                                                                  11 січня 2021 року

                                                                                                                                                  Додано інформацію про інструмент налаштування HDS і проксі в Створіть ISO конфігурації для хостів HDS .

                                                                                                                                                  13 жовтня 2020 р.

                                                                                                                                                  Оновлено Завантажте файли встановлення .

                                                                                                                                                  8 жовтня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла з командами для середовищ FedRAMP.

                                                                                                                                                  14 серпня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла зі змінами в процесі входу.

                                                                                                                                                  5 серпня 2020 р.

                                                                                                                                                  Оновлено Перевірте розгортання гібридної безпеки даних для змін у повідомленнях журналу.

                                                                                                                                                  Оновлено Вимоги до віртуального хоста щоб видалити максимальну кількість хостів.

                                                                                                                                                  16 червня 2020 р.

                                                                                                                                                  Оновлено Видалити вузол для змін в інтерфейсі користувача Control Hub.

                                                                                                                                                  4 червня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS для змін у розширених налаштуваннях, які ви можете встановити.

                                                                                                                                                  29 травня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS щоб показати, що також можна використовувати TLS з базами даних SQL Server, змінами інтерфейсу користувача та іншими роз’ясненнями.

                                                                                                                                                  5 травня 2020 р.

                                                                                                                                                  Оновлено Вимоги до віртуального хоста щоб відобразити нові вимоги ESXi 6.5.

                                                                                                                                                  21 квітня 2020 р

                                                                                                                                                  Оновлено Вимоги до зовнішнього підключення з новими хостами CI Північної і Південної Америки.

                                                                                                                                                  1 квітня 2020 р

                                                                                                                                                  Оновлено Вимоги до зовнішнього підключення з інформацією про регіональні хости CI.

                                                                                                                                                  20 лютого 2020 р.Оновлено Створіть ISO конфігурації для хостів HDS з інформацією на новому екрані додаткових додаткових параметрів у інструменті налаштування HDS.
                                                                                                                                                  4 лютого 2020 рОновлено Вимоги до проксі-сервера .
                                                                                                                                                  16 грудня 2019 р.Роз’яснено вимоги до роботи в режимі роздільної здатності заблокованого зовнішнього DNS Вимоги до проксі-сервера .
                                                                                                                                                  19 листопада 2019 р.

                                                                                                                                                  Додано інформацію про режим дозволу заблокованого зовнішнього DNS в таких розділах:

                                                                                                                                                  8 листопада 2019 р.

                                                                                                                                                  Тепер можна налаштувати параметри мережі для вузла під час розгортання OVA, а не пізніше.

                                                                                                                                                  Відповідно оновлено такі розділи:


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  6 вересня 2019 р.

                                                                                                                                                  Стандартний SQL Server додано до Вимоги до сервера бази даних .

                                                                                                                                                  29 серпня 2019 рокуДодано Налаштуйте проксі Squid для гібридної безпеки даних додаток із інструкціями щодо налаштування проксі Squid для ігнорування трафіку вебсокетів для належної роботи.
                                                                                                                                                  20 серпня 2019 р.

                                                                                                                                                  Додані й оновлені розділи, які охоплюють підтримку проксі-сервера для зв’язку вузла гібридної безпеки даних із хмарою Webex.

                                                                                                                                                  Щоб отримати доступ лише до контенту підтримки проксі для наявного розгортання, див Підтримка проксі для гібридної безпеки даних і Webex Video Mesh довідкова стаття.

                                                                                                                                                  13 червня 2019 рокуОновлено Потік завдань із пробної версії до виробничого з нагадуванням про синхронізацію HdsTrialGroup об’єкт групи перед початком ознайомлювальної версії, якщо ваша організація використовує синхронізацію каталогів.
                                                                                                                                                  6 березня 2019 року
                                                                                                                                                  28 лютого 2019 року
                                                                                                                                                  • Виправлено кількість простору локального жорсткого диска на сервер, який ви повинні були виділити під час підготовки віртуальних хостів, які стануть вузлами гібридної безпеки даних, з 50 ГБ до 20 ГБ, щоб відобразити розмір диска, який створює OVA.

                                                                                                                                                  26 лютого 2019 р.
                                                                                                                                                  • Вузли гібридної безпеки даних тепер підтримують зашифровані підключення до серверів баз даних PostgreSQL, а також зашифровані підключення для ведення журналів до сервера системного журналу з підтримкою TLS. Оновлено Створіть ISO конфігурації для хостів HDS з інструкціями.

                                                                                                                                                  • Цільові URL-адреси видалено з таблиці "Вимоги до підключення до інтернету для віртуальних машин вузлів гібридної безпеки даних". Тепер таблиця посилається на список, який ведеться в таблиці "Додаткові URL-адреси для гібридних служб Webex Teams" Вимоги до мережі для служб Webex Teams .

                                                                                                                                                  24 січня 2019 р.

                                                                                                                                                  • Hybrid Data Security тепер підтримує Microsoft SQL Server як базу даних. Параметр SQL Server Always On (Always On Failover Clusters and Always On Availability Groups) підтримується драйверами JDBC, які використовуються в гібридній безпеці даних. Додано контент, пов’язаний із розгортанням за допомогою SQL Server.


                                                                                                                                                     

                                                                                                                                                    Підтримку Microsoft SQL Server призначено лише для нового розгортання служби безпеки даних гібридного типу. Наразі міграція даних із PostgreSQL у Microsoft SQL Server у наявному розгортанні не підтримується.

                                                                                                                                                  5 листопада 2018 року
                                                                                                                                                  19 жовтня 2018 року

                                                                                                                                                  31 липня 2018 року

                                                                                                                                                  21 травня 2018 р.

                                                                                                                                                  Термінологію змінено, щоб відобразити ребрендинг Cisco Spark:

                                                                                                                                                  • Гібридна безпека даних Cisco Spark тепер є гібридною безпекою даних.

                                                                                                                                                  • Програма Cisco Spark тепер стала програмою Webex.

                                                                                                                                                  • Хмара Cisco Collaboraton тепер хмара Webex.

                                                                                                                                                  11 квітня 2018 року
                                                                                                                                                  22 лютого 2018 р.
                                                                                                                                                  15 лютого 2018 року
                                                                                                                                                  • У Вимоги до сертифіката X.509 вказано, що сертифікат не може бути сертифікатом із символами підстановки та що KMS використовує домен CN, а не будь-який домен, визначений у полях x.509v3 SAN.

                                                                                                                                                  18 січня 2018 року

                                                                                                                                                  2 листопада 2017 року

                                                                                                                                                  • Уточнена синхронізація каталогів HdsTrialGroup.

                                                                                                                                                  • Виправлені інструкції щодо передавання файлу конфігурації ISO для підключення до вузлів віртуальної машини.

                                                                                                                                                  18 серпня 2017 року

                                                                                                                                                  Вперше опубліковано

                                                                                                                                                  Почніть роботу з гібридною безпекою даних

                                                                                                                                                  Огляд безпеки гібридних даних

                                                                                                                                                  З першого дня безпека даних була головним у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, що забезпечується клієнтами Webex App, які взаємодіють зі Службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і розшифрування повідомлень і файлів.

                                                                                                                                                  За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS, у сфері безпеки Cisco. Hybrid Data Security переміщує KMS та інші функції, пов 'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не має ключів до вашого зашифрованого вмісту.

                                                                                                                                                  Архітектура області безпеки

                                                                                                                                                  Хмарна архітектура Webex розділяє різні типи служб на окремі області або довірені домени, як показано нижче.

                                                                                                                                                  Області розділення (без гібридної безпеки даних)

                                                                                                                                                  Щоб краще зрозуміти гібридну безпеку даних, давайте спочатку розглянемо цей випадок у чистому вигляді, коли Cisco надає всі функції у своїх хмарних сферах. Служба ідентифікації, єдине місце, де користувачів можна безпосередньо зв’язати з їхньою особистою інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зберігається зашифрований контент. , у центрі обробки даних C.

                                                                                                                                                  На цій діаграмі клієнтом є програма Webex, що запущена на ноутбуці користувача та пройшла автентифікацію за допомогою служби ідентифікації. Коли користувач створює повідомлення для надсилання до простору, виконуються такі кроки:

                                                                                                                                                  1. Клієнт встановлює захищене підключення до служби керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Захищене підключення використовує ECDH, а KMS шифрує ключ за допомогою головного ключа AES-256.

                                                                                                                                                  2. Повідомлення шифрується, перш ніж залишити клієнт. Клієнт надсилає його до служби індексування, яка створює зашифровані індекси пошуку, щоб допомогти в майбутніх пошуках контенту.

                                                                                                                                                  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

                                                                                                                                                  4. Зашифроване повідомлення зберігається в області сховища.

                                                                                                                                                  Під час розгортання гібридної безпеки даних функції області безпеки (KMS, індексація та відповідність вимогам) переносяться до локального центру обробки даних. Інші хмарні служби, що складають Webex (зокрема, ідентифікаційні дані та сховище контенту) залишаються в сферах Cisco.

                                                                                                                                                  Співпраця з іншими організаціями

                                                                                                                                                  Користувачі у вашій організації можуть регулярно використовувати програму Webex для співпраці із зовнішніми учасниками в інших організаціях. Коли один із користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), KMS надсилає ключ клієнту через захищений канал ECDH. Однак, коли ключ для простору володіє інша організація, KMS маршрутизує запит до хмари Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в оригінальному каналі.

                                                                                                                                                  Служба KMS, що працює в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Див Підготуйте своє середовище Докладніше про створення сертифіката x.509 для використання з розгортанням гібридної безпеки даних.

                                                                                                                                                  Очікування щодо розгортання гібридної безпеки даних

                                                                                                                                                  Розгортання гібридної безпеки даних вимагає значних зобов’язань клієнта та усвідомлення ризиків, пов’язаних із володінням ключами шифрування.

                                                                                                                                                  Щоб розгорнути гібридну безпеку даних, необхідно надати:

                                                                                                                                                  Повна втрата ISO конфігурації, створеної для гібридної безпеки даних, або наданої вами бази даних призведе до втрати ключів. Втрата ключа не дозволяє користувачам розшифрувати вміст простору та інші зашифровані дані в програмі Webex. Якщо це станеться, можна створити нове розгортання, але видимим буде лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

                                                                                                                                                  • Керуйте резервним копіюванням і відновленням бази даних і ISO конфігурації.

                                                                                                                                                  • Будьте готові виконати швидке відновлення після аварії, якщо станеться катастрофа, як-от збій диска бази даних або аварійний стан центру обробки даних.


                                                                                                                                                   

                                                                                                                                                  Немає механізму переміщення ключів назад до хмари після розгортання HDS.

                                                                                                                                                  Процес налаштування високого рівня

                                                                                                                                                  У цьому документі описано налаштування та керування розгортанням гібридної безпеки даних:

                                                                                                                                                  • Налаштуйте безпеку гібридних даних —Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення Hybrid Data Security, тестування розгортання з підгрупою користувачів у ознайомлювальному режимі та, після завершення тестування, перехід до робочої версії. Це перетворить всю організацію на використання кластера гібридної безпеки даних для функцій безпеки.

                                                                                                                                                    Про фази налаштування, ознайомлювальної версії та виробництва докладно описано в наступних трьох розділах.

                                                                                                                                                  • Підтримуйте розгортання гібридної безпеки даних — Хмара Webex автоматично надає поточні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати екранні сповіщення та налаштувати сповіщення на основі електронної пошти в Control Hub.

                                                                                                                                                  • Ознайомтеся з поширеними сповіщеннями, кроками з усунення несправностей та відомими проблемами — Якщо у вас виникнуть проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й усунути проблему.

                                                                                                                                                  Модель розгортання гібридної безпеки даних

                                                                                                                                                  У межах корпоративного центру обробки даних ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли взаємодіють із хмарою Webex через захищені вебсокети та захищений HTTP.

                                                                                                                                                  Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами віртуальних машинах. За допомогою інструмента налаштування HDS можна створити користувацький ISO-файл конфігурації кластера, який монтується на кожному вузлі. Кластер гібридної безпеки даних використовує наданий вами сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і деталі підключення до бази даних у інструменті налаштування HDS.)

                                                                                                                                                  Модель розгортання гібридної безпеки даних

                                                                                                                                                  Мінімальна кількість вузлів, які можна мати в кластері, становить два. Рекомендовано принаймні три, а можна до п’яти. Наявність кількох вузлів гарантує, що обслуговування не буде перервано під час оновлення програмного забезпечення або інших дій з обслуговування на вузлі. (У хмарі Webex одночасно оновлюється лише один вузол.)

                                                                                                                                                  Усі вузли в кластері отримують доступ до одного сховища ключових даних і реєструють дії на одному сервері системних журналів. Самі вузли не мають стану та обробляють запити ключів у циклічному порядку, відповідно до вказівок хмари.

                                                                                                                                                  Вузли стають активними, коли ви реєструєте їх у Control Hub. Щоб вимкнути окремий вузол, можна скасувати його реєстрацію, а пізніше за потреби зареєструвати повторно.

                                                                                                                                                  Ми підтримуємо лише один кластер на організацію.

                                                                                                                                                  Ознайомлювальний режим безпеки гібридних даних

                                                                                                                                                  Після налаштування розгортання гібридної безпеки даних ви спочатку спробуєте його з набором пілотних користувачів. Протягом пробного періоду ці користувачі використовують ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Інші ваші користувачі продовжують використовувати область хмарної безпеки.

                                                                                                                                                  Якщо ви вирішите не продовжувати розгортання під час пробної версії та деактивуєте службу, пілотні користувачі та всі користувачі, з якими вони взаємодіяли шляхом створення нових просторів протягом пробного періоду, втратять доступ до повідомлень і контенту. У програмі Webex вони побачать повідомлення "Це повідомлення неможливо розшифрувати".

                                                                                                                                                  Якщо ви впевнені, що ваше розгортання працює добре для користувачів пробної версії, і ви готові поширити гібридну безпеку даних на всіх своїх користувачів, ви переміщуєте розгортання до робочої версії. Пілотні користувачі продовжують мати доступ до ключів, які використовувалися під час ознайомлювальної версії. Однак ви не можете переходити між робочим режимом і вихідним ознайомлювальним режимом. Якщо ви повинні деактивувати службу, наприклад, для виконання аварійного відновлення, під час повторної активації необхідно почати нову ознайомлювальну версію та налаштувати набір пілотних користувачів для нової ознайомлювальної версії, перш ніж повернутися до робочого режиму. Те, чи збережуть користувачі доступ до даних на цьому етапі, залежить від того, чи успішно ви створили резервні копії сховища ключових даних і файлу конфігурації ISO для вузлів гібридної безпеки даних у вашому кластері.

                                                                                                                                                  Резервний центр обробки даних для аварійного відновлення

                                                                                                                                                  Під час розгортання ви налаштовуєте захищений резервний центр обробки даних. У разі аварійної ситуації в центрі обробки даних можна вручну зупинити розгортання в резервному центрі обробки даних.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручне перемикання на резервний центр обробки даних

                                                                                                                                                  Бази даних активного та резервного центрів обробки даних синхронізовані одна з одною, що мінімізує час, необхідний для перемикання на помилку. Файл ISO резервного центру обробки даних оновлено додатковими конфігураціями, які гарантують, що вузли зареєстровані в організації, але не оброблятимуть трафік. Тому вузли резервного центру обробки даних завжди залишаються в актуальному стані з останньою версією програмного забезпечення HDS.


                                                                                                                                                   

                                                                                                                                                  Активні вузли гібридної безпеки даних повинні завжди перебувати в тому самому центрі обробки даних, що й активний сервер бази даних.

                                                                                                                                                  Налаштуйте резервний центр обробки даних для аварійного відновлення

                                                                                                                                                  Виконайте наведені нижче дії, щоб налаштувати файл ISO резервного центру обробки даних:

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Резервний центр обробки даних має відображати виробниче середовище віртуальних машин і резервну копію бази даних PostgreSQL або Microsoft SQL Server. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини. (Див Резервний центр обробки даних для аварійного відновлення для огляду цієї моделі резервного перемикання.)

                                                                                                                                                  • Переконайтеся, що ввімкнено синхронізацію бази даних між базою даних активних і пасивних вузлів кластера.

                                                                                                                                                  1.

                                                                                                                                                  Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .


                                                                                                                                                   

                                                                                                                                                  Файл ISO має бути копією вихідного файлу ISO основного центру обробки даних, у якому необхідно виконати наведені далі оновлення конфігурації.

                                                                                                                                                  2.

                                                                                                                                                  Після налаштування сервера Syslogd клацніть Розширені налаштування

                                                                                                                                                  3.

                                                                                                                                                  На Розширені налаштування сторінку, додайте конфігурацію нижче, щоб перевести вузол у пасивний режим. У цьому режимі вузол буде зареєстровано в організації та підключено до хмари, але не оброблятиме трафік.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4.

                                                                                                                                                  Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

                                                                                                                                                  5.

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  6.

                                                                                                                                                  На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування. .

                                                                                                                                                  7.

                                                                                                                                                  Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.


                                                                                                                                                   

                                                                                                                                                  Переконайтеся, що Підключено і Підключіться після ввімкнення перевірено, щоб оновлені зміни конфігурації набули чинності після запуску вузлів.

                                                                                                                                                  8

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

                                                                                                                                                  9

                                                                                                                                                  Повторіть процес для кожного вузла в резервному центрі обробки даних.


                                                                                                                                                   

                                                                                                                                                  Перевірте системні журнали, щоб переконатися, що вузли перебувають у пасивному режимі. Ви повинні мати змогу переглядати повідомлення «KMS налаштовано в пасивному режимі» в системних журналах.

                                                                                                                                                  Що далі

                                                                                                                                                  Після налаштування passiveMode у файлі ISO та після його збереження можна створити іншу копію файлу ISO без файлу passiveMode конфігурацію та збережіть її в захищеному місці. Ця копія файлу ISO без passiveMode configured може допомогти в швидкому перемиканні на помилку під час аварійного відновлення. Див Аварійне відновлення за допомогою резервного центру обробки даних для детальної процедури переходу до відмови.

                                                                                                                                                  Підтримка проксі-сервера

                                                                                                                                                  Гібридна безпека даних підтримує явні, прозорі проксі-сервери з перевіркою та без перевірки. Можна прив’язати ці проксі-сервери до свого розгортання, щоб захищати та відстежувати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для керування сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

                                                                                                                                                  Вузли гібридної безпеки даних підтримують такі параметри проксі:

                                                                                                                                                  • Немає проксі — Значення за замовчуванням, якщо ви не використовуєте налаштування вузла HDS, сховища довіри та конфігурацію проксі для інтеграції проксі. Оновлення сертифіката не потрібно.

                                                                                                                                                  • Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.

                                                                                                                                                  • Прозорий проксі з тунелюванням або перевіркою —Вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах змінювати конфігурацію HTTP або HTTPS не потрібно. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

                                                                                                                                                  • Явний проксі — За допомогою явного проксі ви вказуєте вузлам HDS, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі-сервер, необхідно ввести таку інформацію на кожному вузлі:

                                                                                                                                                    1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.

                                                                                                                                                    2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.

                                                                                                                                                    3. Протокол проксі — Залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

                                                                                                                                                      • HTTP — перегляд і контроль усіх запитів, які надсилає клієнт.

                                                                                                                                                      • HTTPS — надає канал до сервера. Клієнт отримує та перевіряє сертифікат сервера.

                                                                                                                                                    4. Тип автентифікації — Виберіть один із таких типів автентифікації:

                                                                                                                                                      • Немає — подальша автентифікація не потрібна.

                                                                                                                                                        Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.

                                                                                                                                                      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.

                                                                                                                                                        Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.

                                                                                                                                                        Вимагає ввести ім’я користувача та пароль на кожному вузлі.

                                                                                                                                                      • Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.

                                                                                                                                                        Доступно, лише якщо вибрано HTTPS як протокол проксі.

                                                                                                                                                        Вимагає ввести ім’я користувача та пароль на кожному вузлі.

                                                                                                                                                  Приклад гібридних вузлів безпеки даних і проксі

                                                                                                                                                  На цій діаграмі показано приклад підключення між гібридною безпекою даних, мережею та проксі. Для параметрів проксі-сервера з прозорою перевіркою та явною перевіркою HTTPS необхідно встановити той самий кореневий сертифікат на проксі-сервері та вузлах гібридної безпеки даних.

                                                                                                                                                  Режим дозволу заблокованого зовнішнього DNS (явні конфігурації проксі)

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі вузла, процес перевіряє пошук DNS і можливість підключення до хмари Cisco Webex. У розгортаннях із явними конфігураціями проксі, які не дозволяють роздільну здатність зовнішнього DNS для внутрішніх клієнтів, якщо вузол не може запитувати сервери DNS, він автоматично переходить у режим роздільної здатності заблокованого зовнішнього DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести підключення проксі.

                                                                                                                                                  Підготуйте своє середовище

                                                                                                                                                  Вимоги до гібридної безпеки даних

                                                                                                                                                  Вимоги до ліцензії Cisco Webex

                                                                                                                                                  Щоб розгорнути гібридну безпеку даних:

                                                                                                                                                  Вимоги до Docker Desktop

                                                                                                                                                  Перш ніж установити вузли HDS, необхідно запустити програму встановлення Docker Desktop. Docker нещодавно оновив свою модель ліцензування. Для вашої організації може знадобитися платна підписка на Docker Desktop. Докладніше див. у дописі до блогу Docker "Docker оновлює та розширює наші підписки на продукти".

                                                                                                                                                  Вимоги до сертифіката X.509

                                                                                                                                                  Ланцюжок сертифікатів має відповідати таким вимогам:

                                                                                                                                                  Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

                                                                                                                                                  Вимоги

                                                                                                                                                  Відомості

                                                                                                                                                  • Підписано довіреним центром сертифікації (CA)

                                                                                                                                                  За замовчуванням ми довіряємо ЦС у списку Mozilla (за винятком WoSign і StartCom) за адресоюhttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Має доменне ім’я Common Name (CN), яке ідентифікує ваше розгортання гібридної безпеки даних

                                                                                                                                                  • Не є сертифікатом із символом підстановки

                                                                                                                                                  CN не обов’язково має бути доступним або активним організатором. Рекомендовано використовувати назву, яка відображає вашу організацію, наприклад, hds.company.com.

                                                                                                                                                  CN не повинна містити символ * (підстановка).

                                                                                                                                                  CN використовується для перевірки вузлів гібридної безпеки даних для клієнтів програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, який визначено в полях SAN x.509v3.

                                                                                                                                                  Після реєстрації вузла за допомогою цього сертифіката зміна імені домену CN не підтримується. Виберіть домен, який може застосовуватися як для ознайомлювального, так і для робочого розгортання.

                                                                                                                                                  • Підпис не SHA1

                                                                                                                                                  Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключень до KMS інших організацій.

                                                                                                                                                  • Відформатовано як файл PKCS № 12, захищений паролем

                                                                                                                                                  • Використовуйте дружнє ім’я користувача kms-private-key щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.

                                                                                                                                                  Щоб змінити формат сертифіката, можна використовувати конвертер, наприклад OpenSSL.

                                                                                                                                                  Під час запуску засобу налаштування HDS потрібно буде ввести пароль.

                                                                                                                                                  Програмне забезпечення KMS не встановлює обмеження щодо використання ключів або розширеного використання ключів. Деякі центри сертифікації вимагають, щоб до кожного сертифіката були застосовані розширені обмеження використання ключів, наприклад автентифікація сервера. Можна використовувати автентифікацію сервера або інші налаштування.

                                                                                                                                                  Вимоги до віртуального хоста

                                                                                                                                                  Віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері, мають такі вимоги:

                                                                                                                                                  • Принаймні два окремих хости (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

                                                                                                                                                  • VMware ESXi 6.5 (або пізнішої версії) встановлено та працює.


                                                                                                                                                     

                                                                                                                                                    Необхідно оновити версію, якщо у вас є попередня версія ESXi.

                                                                                                                                                  • Мінімум 4 vCPU, 8 ГБ основної пам’яті, 30 ГБ місця на локальному жорсткому диску на сервер

                                                                                                                                                  Вимоги до сервера бази даних


                                                                                                                                                   

                                                                                                                                                  Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

                                                                                                                                                  Є два варіанти для сервера бази даних. Вимоги до кожного є такими:

                                                                                                                                                  Таблиця 2. Вимоги до сервера бази даних за типом бази даних

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 або 16, установлено та запущено.

                                                                                                                                                  • Установлено SQL Server 2016, 2017 або 2019 (Enterprise або Standard).


                                                                                                                                                     

                                                                                                                                                    Для SQL Server 2016 потрібні пакет оновлень 2 і накопичувальне оновлення 2 або пізнішої версії.

                                                                                                                                                  Мінімум 8 vCPU, 16 ГБ основної пам’яті, достатньо простору на жорсткому диску та моніторинг, щоб гарантувати, що воно не перевищено (рекомендується 2 ТБ, якщо ви хочете працювати з базою даних протягом тривалого часу без необхідності збільшувати обсяг сховища).

                                                                                                                                                  Мінімум 8 vCPU, 16 ГБ основної пам’яті, достатньо простору на жорсткому диску та моніторинг, щоб гарантувати, що воно не перевищено (рекомендується 2 ТБ, якщо ви хочете працювати з базою даних протягом тривалого часу без необхідності збільшувати обсяг сховища).

                                                                                                                                                  Зараз програмне забезпечення HDS встановлює такі версії драйверів для зв’язку із сервером бази даних:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Драйвер JDBC Postgres 42.2.5

                                                                                                                                                  Драйвер JDBC SQL Server 4.6

                                                                                                                                                  Ця версія драйвера підтримує SQL Server Always On ( Завжди ввімкнені екземпляри кластера перемикання і Завжди ввімкнені групи доступності ).

                                                                                                                                                  Додаткові вимоги до автентифікації Windows у Microsoft SQL Server

                                                                                                                                                  Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для отримання доступу до бази даних сховища ключів на Microsoft SQL Server, вам потрібна така конфігурація у вашому середовищі:

                                                                                                                                                  • Вузли HDS, інфраструктура Active Directory і MS SQL Server мають бути синхронізовані з NTP.

                                                                                                                                                  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ для читання та запису до бази даних.

                                                                                                                                                  • Сервери DNS, які ви надаєте вузлам HDS, повинні мати можливість дозволити ваш центр розподілу ключів (KDC).

                                                                                                                                                  • Ви можете зареєструвати екземпляр бази даних HDS на Microsoft SQL Server як ім’я користувача-служби (SPN) у вашому Active Directory. Див Зареєструйте ім’я користувача-служби для підключень Kerberos .

                                                                                                                                                    Інструмент налаштування HDS, засіб запуску HDS і локальний KMS повинні використовувати автентифікацію Windows для доступу до бази даних сховища ключів. Вони використовують дані вашої конфігурації ISO для створення SPN, коли запитують доступ за допомогою автентифікації Kerberos.

                                                                                                                                                  Вимоги до зовнішнього підключення

                                                                                                                                                  Налаштуйте брандмауер, щоб дозволити такі можливості підключення для програм HDS:

                                                                                                                                                  Застосування

                                                                                                                                                  Протокол

                                                                                                                                                  Порт

                                                                                                                                                  Напрямок із програми

                                                                                                                                                  Призначення

                                                                                                                                                  Вузли гібридної безпеки даних

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Вихідні HTTPS і WSS

                                                                                                                                                  • Сервери Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Усі хости Common Identity

                                                                                                                                                  • Інші URL-адреси, перелічені для гібридної безпеки даних у Додаткові URL-адреси для гібридних служб Webex таблицю з Вимоги до мережі для служб Webex

                                                                                                                                                  Інструмент налаштування HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Вихідний HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Усі хости Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Вузли гібридної безпеки даних працюють із трансляцією доступу до мережі (NAT) або за брандмауером, якщо NAT або брандмауер дозволяє використовувати необхідні вихідні підключення до адресатів домену, наведених у попередній таблиці. Для вхідних підключень до вузлів гібридної безпеки даних порти з інтернету не повинні бути видимими. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

                                                                                                                                                  URL-адреси хостів Common Identity (CI) залежать від регіону. Це поточні хости CI:

                                                                                                                                                  Регіон

                                                                                                                                                  URL-адреси хоста спільних ідентифікаційних даних

                                                                                                                                                  Північна та Південна Америки

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Європейський Союз

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Канада

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Вимоги до проксі-сервера

                                                                                                                                                  • Ми офіційно підтримуємо такі проксі-рішення, які можна інтегрувати з вашими вузлами гібридної безпеки даних.

                                                                                                                                                  • Підтримуються такі комбінації типів автентифікації для явних проксі-серверів:

                                                                                                                                                    • Немає автентифікації за допомогою HTTP або HTTPS

                                                                                                                                                    • Базова автентифікація за допомогою HTTP або HTTPS

                                                                                                                                                    • Дайджест автентифікації лише за допомогою HTTPS

                                                                                                                                                  • Для прозорого проксі-сервера з перевіркою або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі. В інструкціях із розгортання в цьому посібнику описано, як передати копію до сховищ довіри вузлів гібридної безпеки даних.

                                                                                                                                                  • Мережа, де розміщено вузли HDS, повинна бути налаштована на примусове маршрутизацію вихідного трафіку TCP через порт 443 через проксі.

                                                                                                                                                  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з 'єднанню веб-сокетів. Якщо ця проблема виникне, обійти (не перевіряти) трафік до wbx2.com і ciscospark.com вирішить проблему.

                                                                                                                                                  Виконайте обов’язкові умови для гібридної безпеки даних

                                                                                                                                                  Використовуйте цей контрольний список, щоб переконатися, що ви готові до встановлення та налаштування кластера гібридної безпеки даних.
                                                                                                                                                  1.

                                                                                                                                                  Переконайтеся, що у вашій організації Webex увімкнено Pro Pack for Cisco Webex Control Hub, і отримайте облікові дані облікового запису з повними правами адміністратора організації. Зверніться до партнера Cisco або менеджера облікового запису, щоб отримати допомогу з цим процесом.

                                                                                                                                                  2.

                                                                                                                                                  Виберіть ім’я домену для розгортання HDS (наприклад, hds.company.com) і отримати ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ і будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам у Вимоги до сертифіката X.509 .

                                                                                                                                                  3.

                                                                                                                                                  Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері. Вам потрібно принаймні два окремих хоста (рекомендовано 3), розміщені в одному захищеному центрі обробки даних, які відповідають вимогам у Вимоги до віртуального хоста .

                                                                                                                                                  4.

                                                                                                                                                  Підготуйте сервер бази даних, який буде виконувати функцію сховища ключових даних для кластера, відповідно до Вимоги до сервера бази даних . Сервер бази даних має бути одночасно розташований у захищеному центрі обробки даних із віртуальними хостами.

                                                                                                                                                  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.)

                                                                                                                                                  2. Зберіть відомості, які вузли використовуватимуть для зв’язку із сервером бази даних:

                                                                                                                                                    • ім’я хоста або IP-адресу (хост) і порт

                                                                                                                                                    • ім’я бази даних (dbname) для зберігання ключів

                                                                                                                                                    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

                                                                                                                                                  5.

                                                                                                                                                  Для швидкого аварійного відновлення налаштуйте середовище резервного копіювання в іншому центрі обробки даних. Середовище резервного копіювання відображає виробниче середовище віртуальних машин і сервера бази даних резервного копіювання. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини.

                                                                                                                                                  6.

                                                                                                                                                  Налаштуйте хост системного журналу для збору журналів із вузлів у кластері. Зібрати його мережеву адресу та порт системного журналу (за замовчуванням – UDP 514).

                                                                                                                                                  7.

                                                                                                                                                  Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста системного журналу. Як мінімум, щоб запобігти втраті даних без можливості відновлення, необхідно створити резервну копію бази даних і файлу ISO конфігурації, створеного для вузлів гібридної безпеки даних.


                                                                                                                                                   

                                                                                                                                                  Оскільки вузли гібридної безпеки даних зберігають ключі, що використовуються для шифрування та розшифровки контенту, неможливість підтримати оперативне розгортання призведе до НЕВІДКЛЮЧЕНА ВТРАТА цього контенту.

                                                                                                                                                  Клієнти програми Webex кешують свої ключі, тому перебої в роботі можуть бути помітні не відразу, а з часом. Хоча тимчасові перебої в роботі неможливо запобігти, їх можна відновити. Однак повна втрата (недоступні резервні копії) бази даних або файлу ISO конфігурації призведе до того, що дані клієнта будуть недоступні для відновлення. Очікується, що оператори вузлів гібридної безпеки даних будуть підтримувати часте резервне копіювання бази даних і файлу ISO конфігурації та бути готовими до відновлення центру обробки даних гібридної безпеки даних у разі катастрофічної помилки.

                                                                                                                                                  8

                                                                                                                                                  Переконайтеся, що конфігурація брандмауера дозволяє підключатися до вузлів гібридної безпеки даних, як описано в Вимоги до зовнішнього підключення .

                                                                                                                                                  9

                                                                                                                                                  Установити Docker (https://www.docker.com ) на будь-якому локальному комп’ютері з підтримуваною ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядна версія або Mac OSX Yosemite 10.10.3 або новішої версії) з веббраузером, який може отримати до неї доступ за адресою http://127.0.0.1:8080.

                                                                                                                                                  Ви використовуєте екземпляр Docker для завантаження та запуску засобу налаштування HDS, який створює інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Вашій організації може знадобитися ліцензія Docker Desktop. Див Вимоги до Docker Desktop для отримання додаткової інформації.

                                                                                                                                                  Щоб установити та запустити HDS Setup Tool, локальний комп’ютер повинен мати можливість підключення, описану в Вимоги до зовнішнього підключення .

                                                                                                                                                  10

                                                                                                                                                  Якщо ви інтегруєте проксі-сервер із гібридною безпекою даних, переконайтеся, що він відповідає Вимоги до проксі-сервера .

                                                                                                                                                  11

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів, створіть групу в Active Directory з викликом HdsTrialGroup, і додати пілотних користувачів. Ознайомлювальна група може налічувати до 250 користувачів. Нараду HdsTrialGroup об’єкт необхідно синхронізувати з хмарою, перш ніж ви зможете почати пробну версію для вашої організації. Щоб синхронізувати об’єкт групи, виберіть його в з’єднувачі каталогу Конфігурація > Вибір об’єкта меню. (Докладні інструкції див Посібник із розгортання для Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Ключі для певного простору встановлюються його творцем. Вибираючи пілотних користувачів, пам’ятайте, що якщо ви вирішите остаточно деактивувати розгортання гібридної безпеки даних, усі користувачі втратять доступ до контенту в просторах, які були створені пілотними користувачами. Втрата стає очевидною, щойно програми користувачів оновлять кешовані копії контенту.

                                                                                                                                                  Налаштуйте кластер гібридної безпеки даних

                                                                                                                                                  Потік завдань розгортання безпеки гібридних даних

                                                                                                                                                  1.

                                                                                                                                                  Завантажте файли встановлення

                                                                                                                                                  Завантажте файл OVA на локальний комп’ютер для подальшого використання.

                                                                                                                                                  2.

                                                                                                                                                  Створіть ISO конфігурації для хостів HDS

                                                                                                                                                  Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

                                                                                                                                                  3.

                                                                                                                                                  Установіть OVA хоста HDS

                                                                                                                                                  Створіть віртуальну машину з файлу OVA та виконайте початкове налаштування, наприклад налаштування мережі.


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  4.

                                                                                                                                                  Налаштуйте віртуальну машину гібридної безпеки даних

                                                                                                                                                  Увійдіть на консоль VM і задайте облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо ви не налаштували їх під час розгортання OVA.

                                                                                                                                                  5.

                                                                                                                                                  Вивантажте та підключіть ISO конфігурації HDS

                                                                                                                                                  Налаштуйте віртуальну машину з файлу конфігурації ISO, який ви створили за допомогою засобу налаштування HDS.

                                                                                                                                                  6.

                                                                                                                                                  Налаштуйте вузол HDS для інтеграції проксі

                                                                                                                                                  Якщо мережеве середовище вимагає конфігурації проксі-сервера, укажіть тип проксі, який ви використовуватимете для вузла, і за потреби додайте сертифікат проксі до сховища довіри.

                                                                                                                                                  7.

                                                                                                                                                  Зареєструйте перший вузол у кластері

                                                                                                                                                  Зареєструйте віртуальну машину в хмарі Cisco Webex як вузол гібридної безпеки даних.

                                                                                                                                                  8

                                                                                                                                                  Створіть і зареєструйте більше вузлів

                                                                                                                                                  Завершіть налаштування кластера.

                                                                                                                                                  9

                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

                                                                                                                                                  Поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

                                                                                                                                                  Завантажте файли встановлення

                                                                                                                                                  У цьому завданні ви завантажуєте файл OVA на ваш комп’ютер (а не на сервери, які ви налаштували як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.
                                                                                                                                                  1.

                                                                                                                                                  Увійти вhttps://admin.webex.com , а потім клацніть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Налаштування .

                                                                                                                                                  Якщо картку вимкнено або ви не бачите її, зверніться до команди облікового запису або партнерської організації. Надайте їм номер свого облікового запису та попросіть увімкнути гібридну безпеку даних у вашій організації. Щоб знайти номер облікового запису, клацніть шестірню у верхньому правому куті поруч із назвою організації.


                                                                                                                                                   

                                                                                                                                                  Ви також можете в будь-який час завантажити OVA з Довідка розділ про Налаштування сторінка. На картці гібридної безпеки даних клацніть Змінити налаштування , щоб відкрити сторінку. Потім клацніть Завантажте програмне забезпечення гібридної безпеки даних в Довідка розділ.


                                                                                                                                                   

                                                                                                                                                  Старші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до проблем під час оновлення програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

                                                                                                                                                  3.

                                                                                                                                                  Виберіть Ні , щоб указати, що вузол ще не налаштовано, а потім клацніть Далі .

                                                                                                                                                  Завантаження файлу OVA почнеться автоматично. Збережіть файл у розташуванні на вашому комп’ютері.
                                                                                                                                                  4.

                                                                                                                                                  Клацніть за бажанням Відкрийте посібник із розгортання щоб перевірити, чи доступна пізніша версія цього посібника.

                                                                                                                                                  Створіть ISO конфігурації для хостів HDS

                                                                                                                                                  У процесі налаштування гібридної безпеки даних створюється файл ISO. Потім ви використовуєте ISO для налаштування хоста гібридної безпеки даних.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Центру керування з повними правами адміністратора для вашої організації.

                                                                                                                                                    Якщо інструмент налаштування HDS працює за допомогою проксі у вашому середовищі, надайте параметри проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час виклику контейнера Docker на кроці. 5 . У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі з аутентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Створений вами файл конфігурації містить основний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Остання копія цього файлу потрібна щоразу, коли ви вносите зміни конфігурації, наприклад:

                                                                                                                                                    • Облікові дані бази даних

                                                                                                                                                    • Оновлення сертифіката

                                                                                                                                                    • Зміни політики авторизації

                                                                                                                                                  • Якщо ви плануєте шифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

                                                                                                                                                  1.

                                                                                                                                                  У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

                                                                                                                                                  У звичайних умовах:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Цей крок очищає попередні зображення інструментів налаштування HDS. Якщо попередніх зображень немає, він повертає помилку, яку можна проігнорувати.

                                                                                                                                                  2.

                                                                                                                                                  Щоб увійти до реєстру Docker-образів, введіть наступне:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3.

                                                                                                                                                  У підказці пароля введіть цей хеш:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4.

                                                                                                                                                  Завантажте останнє стабільне зображення для вашого середовища:

                                                                                                                                                  У звичайних умовах:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5.

                                                                                                                                                  Після завершення витягування введіть відповідну команду для вашого середовища:

                                                                                                                                                  • У звичайних середовищах без проксі-сервера:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • У звичайних середовищах з HTTP-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У звичайних середовищах з HTTPS-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У середовищах FedRAMP без проксі-сервера:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з HTTP-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з HTTPS-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

                                                                                                                                                  6.

                                                                                                                                                   

                                                                                                                                                  Інструмент налаштування не підтримує підключення до локального хосту http://localhost:8080. використання http://127.0.0.1:8080 для підключення до локального хосту.

                                                                                                                                                  Використовуйте веббраузер, щоб перейти до локального хоста, http://127.0.0.1:8080, і введіть ім’я користувача адміністратора клієнта для Control Hub у відповідь на запит.

                                                                                                                                                  Інструмент використовує цей перший запис імені користувача, щоб установити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку про вхід.

                                                                                                                                                  7.

                                                                                                                                                  Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора клієнта Control Hub, а потім клацніть Увійти щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

                                                                                                                                                  8

                                                                                                                                                  На сторінці огляду інструмента налаштування клацніть Почати роботу .

                                                                                                                                                  9

                                                                                                                                                  На Імпорт ISO на сторінці, у вас є такі параметри:

                                                                                                                                                  • Ні —Якщо ви створюєте свій перший вузол HDS, у вас немає файлу ISO для передавання.
                                                                                                                                                  • Так —Якщо ви вже створили вузли HDS, виберіть файл ISO під час перегляду й передайте його.
                                                                                                                                                  10

                                                                                                                                                  Переконайтеся, що ваш сертифікат X.509 відповідає вимогам у Вимоги до сертифіката X.509 .

                                                                                                                                                  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити .
                                                                                                                                                  • Якщо сертифікат відповідає вимогам, клацніть Продовжити .
                                                                                                                                                  • Якщо термін дії сертифіката завершився або ви хочете його замінити, виберіть Ні для Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO? . Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити .
                                                                                                                                                  11

                                                                                                                                                  Введіть адресу бази даних і обліковий запис HDS, щоб отримати доступ до сховища ключових даних:

                                                                                                                                                  1. Виберіть свій Тип бази даних ( PostgreSQL або Microsoft SQL Server ).

                                                                                                                                                    Якщо ви виберете Microsoft SQL Server , ви отримаєте поле Тип автентифікації.

                                                                                                                                                  2. ( Microsoft SQL Server тільки) Виберіть свій Тип автентифікації :

                                                                                                                                                    • Базова автентифікація : Потрібне ім’я локального облікового запису SQL Server у файлі Ім’я користувача поле.

                                                                                                                                                    • Автентифікація Windows : Потрібен обліковий запис Windows у форматі username@DOMAIN в Ім’я користувача поле.

                                                                                                                                                  3. Введіть адресу сервера бази даних у формі <hostname>:<port> або <IP-address>:<port>.

                                                                                                                                                    Приклад:
                                                                                                                                                    dbhost.example.org:1433 або 198.51.100.17:1433

                                                                                                                                                    Можна використовувати IP-адресу для базової автентифікації, якщо вузли не можуть використовувати DNS для визначення імені хоста.

                                                                                                                                                    Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433

                                                                                                                                                  4. Введіть Ім’я бази даних .

                                                                                                                                                  5. Введіть Ім’я користувача і Пароль користувача з усіма правами на базу даних сховища ключів.

                                                                                                                                                  12

                                                                                                                                                  Виберіть a Режим підключення до бази даних TLS :

                                                                                                                                                  Режим

                                                                                                                                                  Опис

                                                                                                                                                  Віддати перевагу TLS (параметр за замовчуванням)

                                                                                                                                                  Вузли HDS не вимагають TLS для підключення до сервера бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли намагатимуться встановити зашифроване підключення.

                                                                                                                                                  Вимагати TLS

                                                                                                                                                  Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  Вимагати TLS і перевіряти підписувача сертифіката


                                                                                                                                                   

                                                                                                                                                  Цей режим не застосовується до баз даних SQL Server.

                                                                                                                                                  • Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  • Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

                                                                                                                                                  Щоб завантажити кореневий сертифікат для цього параметра, скористайтеся пунктом керування кореневим сертифікатом бази даних під спадним меню.

                                                                                                                                                  Вимагати TLS та перевіряти підписувача сертифіката та ім 'я хоста

                                                                                                                                                  • Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  • Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

                                                                                                                                                  • Вузли також перевіряють, що ім’я хоста в сертифікаті сервера збігається з іменем хоста в Хост бази даних і порт поле. Імена повинні точно збігатися, або вузол розриває з 'єднання.

                                                                                                                                                  Щоб завантажити кореневий сертифікат для цього параметра, скористайтеся пунктом керування кореневим сертифікатом бази даних під спадним меню.

                                                                                                                                                  Під час передавання кореневого сертифіката (за необхідності) клацніть Продовжити , засіб налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє підписувача сертифіката та ім 'я хоста, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності в можливостях підключення вузли HDS можуть встановити підключення TLS, навіть якщо машині засобу налаштування HDS не вдасться успішно перевірити його.)

                                                                                                                                                  13

                                                                                                                                                  На сторінці системних журналів налаштуйте сервер Syslogd:

                                                                                                                                                  1. Введіть URL-адресу сервера системного журналу.

                                                                                                                                                    Якщо сервер не можна розділити з DNS на вузлах кластера HDS, використовуйте IP-адресу в URL-адресі.

                                                                                                                                                    Приклад:
                                                                                                                                                    udp://10.92.43.23:514 вказує на ведення журналу до хоста Syslogd 10.92.43.23 через UDP-порт 514.
                                                                                                                                                  2. Якщо ви налаштували свій сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер системного журналу на шифрування SSL? .

                                                                                                                                                    Якщо встановити цей прапорець, переконайтеся, що ви ввели URL-адресу TCP, наприклад tcp://10.92.43.23:514.

                                                                                                                                                  3. З Виберіть припинення запису системного журналу у розкривному меню виберіть відповідне налаштування для вашого файлу ISO: Виберіть або Новий рядок використовується для Graylog і Rsyslog TCP

                                                                                                                                                    • Нульовий байт -- \x00

                                                                                                                                                    • Новий рядок -- \n —Виберіть цей варіант для Graylog і Rsyslog TCP.

                                                                                                                                                  4. Клацніть Продовжити.

                                                                                                                                                  14

                                                                                                                                                  (Необов’язково) Можна змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Розширені налаштування . Як правило, цей параметр є єдиним, який ви можете змінити:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Клацніть Продовжити на Скинути пароль службових облікових записів екрана.

                                                                                                                                                  Термін дії паролів службових облікових записів становить дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів наближається або ви хочете скинути їх, щоб зробити попередні файли ISO недійсними.

                                                                                                                                                  16

                                                                                                                                                  Клацніть Завантажте файл ISO . Збережіть файл у місці, яке легко знайти.

                                                                                                                                                  17

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі.

                                                                                                                                                  Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  18

                                                                                                                                                  Щоб вимкнути інструмент налаштування, введіть CTRL+C.

                                                                                                                                                  Що далі

                                                                                                                                                  Створіть резервну копію файлу конфігурації ISO. Він потрібен, щоб створити більше вузлів для відновлення або внести зміни в конфігурацію. Якщо ви втратили всі копії файлу ISO, ви також втратили основний ключ. Відновити ключі з бази даних PostgreSQL або Microsoft SQL Server неможливо.


                                                                                                                                                   

                                                                                                                                                  Ми ніколи не маємо копії цього ключа. Ми не можемо допомогти, якщо ви її втратите.

                                                                                                                                                  Установіть OVA хоста HDS

                                                                                                                                                  Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
                                                                                                                                                  1.

                                                                                                                                                  Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi.

                                                                                                                                                  2.

                                                                                                                                                  Виберіть Файл > Розгорнути шаблон OVF .

                                                                                                                                                  3.

                                                                                                                                                  У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі .

                                                                                                                                                  4.

                                                                                                                                                  На Виберіть ім’я та папку сторінки, введіть a Ім’я віртуальної машини для вузла (наприклад, «HDS_ Node_ 1"), виберіть розташування, де може перебувати розгортання вузла віртуальної машини, а потім клацніть Далі .

                                                                                                                                                  5.

                                                                                                                                                  На Виберіть обчислювальний ресурс виберіть цільовий обчислювальний ресурс, а потім клацніть Далі .

                                                                                                                                                  Запускається перевірка. Після завершення відобразяться відомості про шаблон.

                                                                                                                                                  6.

                                                                                                                                                  Перевірте відомості шаблону й клацніть Далі .

                                                                                                                                                  7.

                                                                                                                                                  Якщо вас попросять вибрати конфігурацію ресурсу на Конфігурація сторінки, клацніть 4 ЦП а потім клацніть Далі .

                                                                                                                                                  8

                                                                                                                                                  На Виберіть сховище сторінки, клацніть Далі щоб прийняти формат диска за замовчуванням і політику сховища VM.

                                                                                                                                                  9

                                                                                                                                                  На Виберіть мережі виберіть мережевий параметр зі списку записів, щоб забезпечити потрібне підключення до VM.

                                                                                                                                                  10

                                                                                                                                                  На Налаштувати шаблон налаштуйте такі параметри мережі:

                                                                                                                                                  • Ім’я хоста —Введіть FQDN (ім’я хоста та домен) або ім’я хоста з одного слова для вузла.

                                                                                                                                                     
                                                                                                                                                    • Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.

                                                                                                                                                    • Щоб забезпечити успішну реєстрацію в хмарі, використовуйте лише малі символи в повному домені або імені хоста, які ви встановили для вузла. Наразі використання великих літер не підтримується.

                                                                                                                                                    • Загальна довжина FQDN не повинна перевищувати 64 символи.

                                                                                                                                                  • IP-адреса — Введіть IP-адресу для внутрішнього інтерфейсу вузла.

                                                                                                                                                     

                                                                                                                                                    Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

                                                                                                                                                  • Маска —Введіть адресу маски підмережі у вигляді десяткових крапок. Наприклад, 255.255.255.0 .
                                                                                                                                                  • Шлюз —Введіть IP-адресу шлюзу. Шлюз – це вузол мережі, який слугує точкою доступу до іншої мережі.
                                                                                                                                                  • Сервери DNS —Введіть розділений комами список серверів DNS, які обробляють перетворення імен доменів у числові IP-адреси. (Дозволено до 4 записів DNS.)
                                                                                                                                                  • Сервери NTP —Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Для введення кількох серверів NTP також можна використовувати список, розділений комами.
                                                                                                                                                  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними для клієнтів у вашій мережі з адміністративними цілями.

                                                                                                                                                  За бажанням можна пропустити конфігурацію мережевих параметрів і виконати інструкції Налаштуйте віртуальну машину гібридної безпеки даних щоб налаштувати параметри з консолі вузла.


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  11

                                                                                                                                                  Клацніть правою кнопкою миші вузол VM, а потім виберіть Потужність > Увімкнено .

                                                                                                                                                  Програмне забезпечення Hybrid Data Security встановлюється як гість на хості VM. Тепер ви готові ввійти на консоль і налаштувати вузол.

                                                                                                                                                  Поради з усунення несправностей

                                                                                                                                                  Перед відкриттям контейнерів вузлів може виникнути затримка в кілька хвилин. Повідомлення брандмауера мосту з’являється на консолі під час першого завантаження, під час якого ви не можете ввійти.

                                                                                                                                                  Налаштуйте віртуальну машину гібридної безпеки даних

                                                                                                                                                  Використовуйте цю процедуру, щоб уперше ввійти до консолі VM вузла гібридної безпеки даних і задати облікові дані для входу. Ви також можете використовувати консоль, щоб налаштувати параметри мережі для вузла, якщо ви не налаштували їх під час розгортання OVA.

                                                                                                                                                  1.

                                                                                                                                                  У клієнті VMware vSphere виберіть свою віртуальну машину вузла гібридної безпеки даних і виберіть Консоль вкладка.

                                                                                                                                                  ВМ завантажиться, і з’явиться запит щодо входу. Якщо запит щодо входу не відображається, натисніть Введіть .
                                                                                                                                                  2.

                                                                                                                                                  Використовуйте такі логін і пароль за замовчуванням для входу та зміни облікових даних:

                                                                                                                                                  1. Вхід: admin

                                                                                                                                                  2. Пароль: cisco

                                                                                                                                                  Оскільки ви вперше входите на свою віртуальну машину, вам потрібно змінити пароль адміністратора.

                                                                                                                                                  3.

                                                                                                                                                  Якщо ви вже налаштували параметри мережі в Установіть OVA хоста HDS , пропустіть решту цієї процедури. В іншому разі в головному меню виберіть Змінити конфігурацію параметр.

                                                                                                                                                  4.

                                                                                                                                                  Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

                                                                                                                                                  5.

                                                                                                                                                  (Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно, щоб вони відповідали вашій політиці мережі.

                                                                                                                                                  Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.

                                                                                                                                                  6.

                                                                                                                                                  Збережіть конфігурацію мережі та перезавантажте віртуальну машину, щоб зміни набули сили.

                                                                                                                                                  Вивантажте та підключіть ISO конфігурації HDS

                                                                                                                                                  Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою засобу налаштування HDS.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Оскільки файл ISO містить основний ключ, його потрібно надавати лише в разі необхідності для доступу віртуальних машин гібридної безпеки даних і всіх адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

                                                                                                                                                  1.

                                                                                                                                                  Передайте файл ISO з комп’ютера:

                                                                                                                                                  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

                                                                                                                                                  2. У списку обладнання на вкладці Конфігурація клацніть Зберігання .

                                                                                                                                                  3. У списку сховища даних клацніть правою кнопкою миші сховище даних для ваших віртуальних машин і клацніть Огляд сховища даних .

                                                                                                                                                  4. Клацніть значок Передати файли, а потім клацніть Передати файл .

                                                                                                                                                  5. Перейдіть до розташування, куди ви завантажили файл ISO на комп’ютер, і клацніть Відкрити .

                                                                                                                                                  6. Клацніть Так щоб прийняти попередження про операцію передавання/завантаження, і закрийте діалогове вікно сховища даних.

                                                                                                                                                  2.

                                                                                                                                                  Підключіть файл ISO:

                                                                                                                                                  1. На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.

                                                                                                                                                  2. Клацніть OK щоб прийняти попередження про обмеження параметрів редагування.

                                                                                                                                                  3. Клацніть CD/DVD Drive 1, виберіть параметр для підключення з ISO-файлу сховища даних і перейдіть до розташування, куди ви передали ISO-файл конфігурації.

                                                                                                                                                  4. Перевірте Підключено і Підключіться після ввімкнення .

                                                                                                                                                  5. Збережіть зміни та перезавантажте віртуальну машину.

                                                                                                                                                  Що далі

                                                                                                                                                  Якщо цього вимагає політика ІТ, ви можете додатково відключити файл ISO після того, як усі вузли отримають зміни конфігурації. Див (Необов’язково) Відключіть ISO після конфігурації HDS для отримання додаткової інформації.

                                                                                                                                                  Налаштуйте вузол HDS для інтеграції проксі

                                                                                                                                                  Якщо мережеве середовище вимагає проксі, скористайтеся цією процедурою, щоб указати тип проксі, який потрібно інтегрувати з гібридною безпекою даних. Якщо ви виберете прозорий перевіряючий проксі або явний проксі HTTPS, можна використовувати інтерфейс вузла для передавання та встановлення кореневого сертифіката. Ви також можете перевірити підключення проксі в інтерфейсі та усунути будь-які потенційні проблеми.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  1.

                                                                                                                                                  Введіть URL-адресу налаштування вузла HDS https://[HDS Node IP or FQDN]/setup у веббраузері введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .

                                                                                                                                                  2.

                                                                                                                                                  Перейти до Сховище довіри та проксі , а потім виберіть параметр:

                                                                                                                                                  • Немає проксі — Параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібно.
                                                                                                                                                  • Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.
                                                                                                                                                  • Прозорий перевіряючий проксі —Вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних змінювати конфігурацію HTTPS не потрібно, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
                                                                                                                                                  • Явний проксі — За допомогою явного проксі ви вказуєте клієнту (вузли HDS), який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести таку інформацію:
                                                                                                                                                    1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.

                                                                                                                                                    2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.

                                                                                                                                                    3. Протокол проксі —Вибрати http (переглядає й керує всіма запитами, отриманими від клієнта) або https (надає канал до сервера, а клієнт отримує та перевіряє сертифікат сервера). Виберіть параметр залежно від того, що підтримує ваш проксі-сервер.

                                                                                                                                                    4. Тип автентифікації — Виберіть один із таких типів автентифікації:

                                                                                                                                                      • Немає — подальша автентифікація не потрібна.

                                                                                                                                                        Доступно для проксі-серверів HTTP або HTTPS.

                                                                                                                                                      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.

                                                                                                                                                        Доступно для проксі-серверів HTTP або HTTPS.

                                                                                                                                                        Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль.

                                                                                                                                                      • Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.

                                                                                                                                                        Доступно лише для проксі-серверів HTTPS.

                                                                                                                                                        Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль.

                                                                                                                                                  Виконайте наступні кроки для проксі-сервера з перевіркою, проксі-сервера з явним доступом HTTP з базовою автентифікацією або явним проксі-сервером HTTPS.

                                                                                                                                                  3.

                                                                                                                                                  Клацніть Передати кореневий сертифікат або сертифікат кінцевого запису , а потім перейдіть до виберіть кореневий сертифікат для проксі.

                                                                                                                                                  Сертифікат передано, але його ще не встановлено, оскільки для встановлення сертифіката необхідно перезавантажити вузол. Клацніть стрілку в формі шеврону біля імені емітента сертифіката, щоб отримати додаткову інформацію, або клацніть Видалити якщо ви зробили помилку й хочете повторно передати файл.

                                                                                                                                                  4.

                                                                                                                                                  Клацніть Перевірте підключення проксі щоб перевірити підключення до мережі між вузлом і проксі.

                                                                                                                                                  Якщо перевірку підключення не вдалося виконати, ви побачите повідомлення про помилку, у якому буде вказано причину та способи виправлення проблеми.

                                                                                                                                                  Якщо відображається повідомлення про помилку розв’язання зовнішнього DNS, вузлу не вдалося зв’язатися з сервером DNS. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол функціонуватиме в режимі роздільної здатності заблокованого зовнішнього DNS. Якщо ви вважаєте, що це помилка, виконайте ці кроки, а потім перегляньте Вимкніть режим роздільної здатності заблокованого зовнішнього DNS .

                                                                                                                                                  5.

                                                                                                                                                  Після завершення перевірки підключення для явного проксі, установленого лише на https, увімкніть перемикач Маршрутизувати всі запити HTTPS на порт 443/444 від цього вузла через явний проксі-сервер . Це налаштування набуде чинності через 15 секунд.

                                                                                                                                                  6.

                                                                                                                                                  Клацніть Установіть усі сертифікати в сховище довіри (з’являється для явного проксі HTTPS або прозорого проксі-сервера для перевірки) або Перезавантажте (з’являється для явного проксі-сервера HTTP), прочитайте підказку, а потім клацніть Установити якщо ви готові.

                                                                                                                                                  Вузол перезавантажиться за кілька хвилин.

                                                                                                                                                  7.

                                                                                                                                                  Після перезавантаження вузла за потреби ввійдіть ще раз, а потім відкрийте файл Огляд сторінку, щоб перевірити перевірки підключення та переконатися, що всі вони мають зелений стан.

                                                                                                                                                  Перевірка підключення до проксі перевіряє лише субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі з хмарних доменів, перелічених в інструкціях зі встановлення, блокуються на проксі.

                                                                                                                                                  Зареєструйте перший вузол у кластері

                                                                                                                                                  Це завдання використовує загальний вузол, який ви створили в Налаштуйте віртуальну машину гібридної безпеки даних , реєструє вузол у хмарі Webex і перетворює його на вузол гібридної безпеки даних.

                                                                                                                                                  Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначено цей вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.

                                                                                                                                                  • Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у https://admin.webex.com.

                                                                                                                                                  2.

                                                                                                                                                  У меню ліворуч на екрані виберіть Служби .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування .

                                                                                                                                                  З’явиться сторінка Реєстрація вузла безпеки гібридних даних.
                                                                                                                                                  4.

                                                                                                                                                  Виберіть Так , щоб зазначити, що ви налаштували вузол і готові його зареєструвати, а потім клацніть Далі .

                                                                                                                                                  5.

                                                                                                                                                  У першому полі введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних.

                                                                                                                                                  Рекомендовано призначати кластеру залежно від географічного розташування вузлів кластера. Приклади. "Сан-Франциско", "Нью-Йорк" або "Даллас"

                                                                                                                                                  6.

                                                                                                                                                  У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі .

                                                                                                                                                  Ця IP-адреса або повне доменне ім’я має збігатися з IP-адресою або іменем хоста й доменом, які ви використовували Налаштуйте віртуальну машину гібридної безпеки даних .

                                                                                                                                                  З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у Webex.
                                                                                                                                                  7.

                                                                                                                                                  Клацніть Перейдіть до Node .

                                                                                                                                                  8

                                                                                                                                                  Клацніть Продовжити у попередженні.

                                                                                                                                                  Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Тут ви підтверджуєте, що хочете надати дозволи організації Webex на доступ до вашого вузла.
                                                                                                                                                  9

                                                                                                                                                  Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити .

                                                                                                                                                  Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
                                                                                                                                                  10

                                                                                                                                                  Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub.

                                                                                                                                                  На Гібридна безпека даних на сторінці, відображається новий кластер, що містить зареєстрований вами вузол. Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

                                                                                                                                                  Створіть і зареєструйте більше вузлів

                                                                                                                                                  Щоб додати додаткові вузли до кластера, потрібно просто створити додаткові віртуальні машини та підключити той самий файл конфігурації, а потім зареєструвати вузол. Рекомендовано мати принаймні 3 вузли.

                                                                                                                                                   

                                                                                                                                                  Зараз резервні VM, які ви створили Виконайте обов’язкові умови для гібридної безпеки даних резервні хости, які використовуються лише в разі аварійного відновлення; вони не зареєстровані в системі до цього часу. Докладніше див Аварійне відновлення за допомогою резервного центру обробки даних .

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.

                                                                                                                                                  • Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

                                                                                                                                                  1.

                                                                                                                                                  Створіть нову віртуальну машину з OVA, повторивши кроки в Установіть OVA хоста HDS .

                                                                                                                                                  2.

                                                                                                                                                  Налаштуйте початкову конфігурацію на новій віртуальній машині, повторивши кроки в Налаштуйте віртуальну машину гібридної безпеки даних .

                                                                                                                                                  3.

                                                                                                                                                  На новій віртуальній машині повторіть кроки в Вивантажте та підключіть ISO конфігурації HDS .

                                                                                                                                                  4.

                                                                                                                                                  Якщо ви налаштовуєте проксі для свого розгортання, повторіть кроки в розділі Налаштуйте вузол HDS для інтеграції проксі за потребою для нового вузла.

                                                                                                                                                  5.

                                                                                                                                                  Зареєструйте вузол.

                                                                                                                                                  1. Уhttps://admin.webex.com , виберіть Служби з меню в лівій частині екрана.

                                                                                                                                                  2. У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Ресурси .

                                                                                                                                                    З’явиться сторінка ресурсів безпеки гібридних даних.
                                                                                                                                                  3. Клацніть Додати ресурс .

                                                                                                                                                  4. У першому полі виберіть ім’я наявного кластера.

                                                                                                                                                  5. У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі .

                                                                                                                                                    З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у хмарі Webex.
                                                                                                                                                  6. Клацніть Перейдіть до Node .

                                                                                                                                                    Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Там ви підтверджуєте, що хочете надати дозволи вашій організації на доступ до вашого вузла.
                                                                                                                                                  7. Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити .

                                                                                                                                                    Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
                                                                                                                                                  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub.

                                                                                                                                                  Ваш вузол зареєстровано. Зауважте, що поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

                                                                                                                                                  Що далі

                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)
                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії

                                                                                                                                                  Потік завдань із пробної версії до виробничого

                                                                                                                                                  Після налаштування кластера гібридної безпеки даних можна запустити пілот, додати до нього користувачів і почати використовувати його для тестування та перевірки розгортання під час підготовки до переходу до робочої версії.

                                                                                                                                                  1.

                                                                                                                                                  Якщо можливо, синхронізуйте HdsTrialGroup об’єкт групи.

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати HdsTrialGroup груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію. Інструкції див Посібник із розгортання для Cisco Directory Connector.

                                                                                                                                                  2.

                                                                                                                                                  Активувати ознайомлювальну версію

                                                                                                                                                  Почніть пробну версію. Поки ви не виконаєте це завдання, ваші вузли створять попередження, що вказує на те, що служба ще не активована.

                                                                                                                                                  3.

                                                                                                                                                  Перевірте розгортання гібридної безпеки даних

                                                                                                                                                  Перевірте, чи передаються запити на ключ до розгортання гібридної безпеки даних.

                                                                                                                                                  4.

                                                                                                                                                  Моніторинг працездатності гібридної безпеки даних

                                                                                                                                                  Перевірте стан і налаштуйте сповіщення електронною поштою для попереджень.

                                                                                                                                                  5.

                                                                                                                                                  Додавання або видалення користувачів із пробної версії

                                                                                                                                                  6.

                                                                                                                                                  Завершіть ознайомлювальну фазу, виконавши одну з таких дій:

                                                                                                                                                  Активувати ознайомлювальну версію

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати HdsTrialGroup груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію для вашої організації. Інструкції див Посібник із розгортання для Cisco Directory Connector.

                                                                                                                                                  1.

                                                                                                                                                  Увійти вhttps://admin.webex.com , а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Стан служби клацніть Почати пробну версію .

                                                                                                                                                  Стан служби змінюється на ознайомлювальний режим.
                                                                                                                                                  4.

                                                                                                                                                  Клацніть Додати користувачів і введіть адресу електронної пошти одного або кількох користувачів, які будуть використовувати ваші вузли гібридної безпеки даних для служб шифрування та індексування.

                                                                                                                                                  (Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory для керування ознайомлювальною групою, HdsTrialGroup.)

                                                                                                                                                  Перевірте розгортання гібридної безпеки даних

                                                                                                                                                  Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Налаштуйте розгортання гібридної безпеки даних.

                                                                                                                                                  • Активуйте ознайомлювальну версію та додайте кілька користувачів пробної версії.

                                                                                                                                                  • Переконайтеся, що у вас є доступ до системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

                                                                                                                                                  1.

                                                                                                                                                  Ключі для певного простору встановлюються його творцем. Увійдіть у програму Webex як один із пілотних користувачів, а потім створіть простір і запросіть принаймні одного пілотного користувача та одного не пілотного користувача.


                                                                                                                                                   

                                                                                                                                                  Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюють пілотні користувачі, стане недоступним після заміни кешованих клієнтом копій ключів шифрування.

                                                                                                                                                  2.

                                                                                                                                                  Надсилайте повідомлення в новий простір.

                                                                                                                                                  3.

                                                                                                                                                  Перевірте вивід системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

                                                                                                                                                  1. Щоб перевірити, чи є користувач, який спочатку встановлює безпечний канал до KMS, увімкніть фільтр kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис (ідентифікатори скорочені для читабельності):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Щоб перевірити наявність користувача, який запитує наявний ключ із KMS, увімкніть фільтр kms.data.method=retrieve і kms.data.type=KEY.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Щоб перевірити, чи є користувач із запитом щодо створення нового ключа KMS, увімкніть фільтр kms.data.method=create і kms.data.type=KEY_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Щоб перевірити, чи немає користувача, який подав запит щодо створення нового ресурсного об’єкта KMS (KRO), коли створюється простір або інший захищений ресурс, відфільтруйте kms.data.method=create і kms.data.type=RESOURCE_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Моніторинг працездатності гібридної безпеки даних

                                                                                                                                                  Індикатор стану в Control Hub показує, чи все гаразд із розгортанням гібридної безпеки даних. Щоб отримати більше проактивних сповіщень, зареєструйтеся на отримання сповіщень електронною поштою. Ви отримаєте сповіщення про попередження, що впливають на службу, або оновлення програмного забезпечення.
                                                                                                                                                  1.

                                                                                                                                                  У Control Hub , виберіть Служби з меню в лівій частині екрана.

                                                                                                                                                  2.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування .

                                                                                                                                                  З’явиться сторінка параметрів безпеки гібридних даних.
                                                                                                                                                  3.

                                                                                                                                                  У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділені комами, і натисніть Введіть .

                                                                                                                                                  Додавання або видалення користувачів із пробної версії

                                                                                                                                                  Після активації пробної версії й додавання початкового набору користувачів пробної версії можна додавати або видаляти учасників пробної версії будь-коли, поки пробна версія активна.

                                                                                                                                                  Якщо видалити користувача з ознайомлювальної версії, клієнт цього користувача запитуватиме ключі та створення ключів із хмарного KMS замість вашої KMS. Якщо клієнту потрібен ключ, який зберігається у вашій KMS, хмарний KMS отримає його від імені користувача.

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory (замість цієї процедури) для керування ознайомлювальною групою, HdsTrialGroup; Ви можете переглядати учасників групи в Control Hub, але не можете додавати або видаляти їх.

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі «Ознайомлювальний режим» області стану служби клацніть Додати користувачів або клацніть переглянути та змінити щоб видалити користувачів із пробної версії.

                                                                                                                                                  4.

                                                                                                                                                  Введіть адресу електронної пошти одного або кількох користувачів, яких потрібно додати, або клацніть X за допомогою ідентифікатора користувача, щоб видалити користувача з ознайомлювальної версії. Потім натисніть Зберегти.

                                                                                                                                                  Перейдіть із пробної версії до робочої версії

                                                                                                                                                  Коли ви переконаєтеся, що ваше розгортання працює добре для користувачів пробної версії, можна перейти до робочої версії. Після переходу до робочої версії всі користувачі в організації використовуватимуть ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Неможливо повернутися до ознайомлювального режиму з робочої версії, якщо ви не деактивуєте службу в рамках відновлення після аварій. Для повторної активації служби потрібно налаштувати нову ознайомлювальну версію.
                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Стан служби клацніть Перейти до робочої версії .

                                                                                                                                                  4.

                                                                                                                                                  Підтвердьте, що хочете перемістити всіх користувачів у робочу версію.

                                                                                                                                                  Завершіть ознайомлювальну версію, не переходячи на робочу версію

                                                                                                                                                  Якщо під час використання пробної версії ви вирішите не продовжувати розгортання гібридної безпеки даних, можна деактивувати гібридну безпеку даних, що завершить ознайомлювальну версію й перемістить користувачів пробної версії назад до хмарних служб безпеки даних. Користувачі пробної версії втратять доступ до даних, які були зашифровані під час пробної версії.
                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Деактивувати клацніть Деактивувати .

                                                                                                                                                  4.

                                                                                                                                                  Підтвердьте, що хочете деактивувати службу, і завершите ознайомлювальну версію.

                                                                                                                                                  Керуйте своїм розгортанням HDS

                                                                                                                                                  Керуйте розгортанням HDS

                                                                                                                                                  Використовуйте описані тут завдання, щоб керувати розгортанням гібридної безпеки даних.

                                                                                                                                                  Установіть розклад оновлення кластерів

                                                                                                                                                  Оновлення програмного забезпечення для гібридної безпеки даних виконується автоматично на рівні кластера, що гарантує, що на всіх вузлах завжди запущено ту саму версію програмного забезпечення. Оновлення версії виконуються відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стає доступним, у вас є можливість оновити кластер вручну до запланованого часу оновлення. Можна задати конкретний розклад оновлення версії або використовувати розклад за замовчуванням о 3:00 щодня (США): Америка/Лос-Анджелес. За потреби можна також відкласти майбутнє оновлення версії.

                                                                                                                                                  Щоб установити розклад оновлення:

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть в Control Hub.

                                                                                                                                                  2.

                                                                                                                                                  На сторінці "Огляд" у розділі "Гібридні служби" виберіть Гібридна безпека даних .

                                                                                                                                                  3.

                                                                                                                                                  На сторінці Ресурси безпеки гібридних даних виберіть кластер.

                                                                                                                                                  4.

                                                                                                                                                  На панелі «Огляд» праворуч у розділі «Налаштування кластера» виберіть ім’я кластера.

                                                                                                                                                  5.

                                                                                                                                                  На сторінці налаштувань у розділі «Оновлення» виберіть час і часовий пояс для розкладу оновлення.

                                                                                                                                                  Примітка. Під часовим поясом відображається наступна доступна дата й час оновлення версії. За потреби можна відкласти оновлення версії на наступний день, натиснувши Відкласти .

                                                                                                                                                  Змініть конфігурацію вузла

                                                                                                                                                  Іноді вам може знадобитися змінити конфігурацію вузла Hybrid Data Security з такої причини, як:
                                                                                                                                                  • Зміна сертифікатів x.509 через закінчення терміну дії або з інших причин.


                                                                                                                                                     

                                                                                                                                                    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовувався для реєстрації кластера.

                                                                                                                                                  • Оновлення налаштувань бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ми не підтримуємо перенесення даних з PostgreSQL на Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, запустіть нове розгортання Hybrid Data Security.

                                                                                                                                                  • Створення нової конфігурації для підготовки нового дата-центру.

                                                                                                                                                  Крім того, в цілях безпеки Hybrid Data Security використовує паролі облікових записів, які мають дев 'ятимісячний термін служби. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з вузлів HDS у файлі конфігурації ISO. Коли термін дії паролів вашої організації наближається до закінчення, ви отримуєте сповіщення від команди Webex про скидання пароля для облікового запису вашого комп 'ютера. (Електронний лист містить текст: «Використовуйте API облікового запису машини для оновлення пароля.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

                                                                                                                                                  • М 'яке скидання- старий і новий паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

                                                                                                                                                  • Hard Reset- старі паролі негайно перестають працювати.

                                                                                                                                                  Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

                                                                                                                                                  Використовуйте цю процедуру, щоб створити новий файл ISO конфігурації та застосувати його до вашого кластера.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Центру керування з повними правами адміністратора для вашої організації.

                                                                                                                                                    Якщо інструмент налаштування HDS працює за допомогою проксі у вашому середовищі, укажіть налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час відображення контейнера Docker у 1.e . У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі з аутентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Для створення нової конфігурації потрібна копія поточного файлу конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Під час внесення змін до конфігурації, включаючи облікові дані бази даних, оновлення сертифікатів або зміни політики авторизації, потрібно використовувати ISO.

                                                                                                                                                  1.

                                                                                                                                                  Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

                                                                                                                                                  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

                                                                                                                                                    У звичайних умовах:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Цей крок очищає попередні зображення інструментів налаштування HDS. Якщо попередніх зображень немає, він повертає помилку, яку можна проігнорувати.

                                                                                                                                                  2. Щоб увійти до реєстру Docker-образів, введіть наступне:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. У підказці пароля введіть цей хеш:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Завантажте останнє стабільне зображення для вашого середовища:

                                                                                                                                                    У звичайних умовах:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Переконайтеся, що ви витягли останній інструмент налаштування для цієї процедури. Версії інструменту, створені до 22 лютого 2018 року, не мають екранів для скидання пароля.

                                                                                                                                                  5. Після завершення витягування введіть відповідну команду для вашого середовища:

                                                                                                                                                    • У звичайних середовищах без проксі-сервера:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах з HTTP-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах із HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У середовищах FedRAMP без проксі-сервера:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з HTTP-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з HTTPS-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

                                                                                                                                                  6. Використовуйте браузер для підключення до локального вузла, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Інструмент налаштування не підтримує підключення до локального хосту http://localhost:8080. використання http://127.0.0.1:8080 для підключення до локального хосту.

                                                                                                                                                  7. Коли з 'явиться запит, введіть облікові дані для входу в Центр керування клієнтами, а потім натисніть "Прийняти", щоб продовжити.

                                                                                                                                                  8. Імпортуйте поточний файл конфігурації ISO.

                                                                                                                                                  9. Дотримуйтесь вказівок, щоб завершити інструмент і завантажити оновлений файл.

                                                                                                                                                    Щоб вимкнути інструмент налаштування, введіть CTRL+C.

                                                                                                                                                  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

                                                                                                                                                  2.

                                                                                                                                                  Якщо у вас працює лише один вузол HDS, створіть нову віртуальну машину з гібридною системою безпеки даних і зареєструйте її за допомогою нового файлу конфігурації ISO. Докладні інструкції див Створіть і зареєструйте більше вузлів .

                                                                                                                                                  1. Встановіть HDS хост OVA.

                                                                                                                                                  2. Налаштуйте HDS VM.

                                                                                                                                                  3. Змонтуйте оновлений файл конфігурації.

                                                                                                                                                  4. Зареєструйте новий вузол в Control Hub.

                                                                                                                                                  3.

                                                                                                                                                  Для існуючих вузлів HDS, які працюють зі старим файлом конфігурації, монтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

                                                                                                                                                  1. Вимкніть віртуальну машину.

                                                                                                                                                  2. На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.

                                                                                                                                                  3. Клацніть CD/DVD Drive 1, виберіть параметр для монтування з файлу ISO і перейдіть до місця, де ви завантажили новий файл конфігурації ISO.

                                                                                                                                                  4. Перевірте підключення при увімкненому живленні.

                                                                                                                                                  5. Збережіть зміни та ввімкніть віртуальну машину.

                                                                                                                                                  4.

                                                                                                                                                  Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, що працює за старою конфігурацією.

                                                                                                                                                  Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі вузла, процес перевіряє пошук DNS і можливість підключення до хмари Cisco Webex. Якщо сервер DNS вузла не може дозволити загальнодоступні імена DNS, вузол автоматично переходить у режим роздільної здатності заблокованого зовнішнього DNS.

                                                                                                                                                  Якщо ваші вузли здатні дозволяти публічні імена DNS через внутрішні сервери DNS, можна вимкнути цей режим, повторно запустивши перевірку підключення до проксі на кожному вузлі.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Переконайтеся, що ваші внутрішні сервери DNS можуть дозволяти загальнодоступні імена DNS і що ваші вузли можуть зв’язуватися з ними.
                                                                                                                                                  1.

                                                                                                                                                  У веббраузері відкрийте інтерфейс вузла Hybrid Data Security (IP-адреса/налаштування, наприклад,https://192.0.2.0/setup), введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .

                                                                                                                                                  2.

                                                                                                                                                  Перейти до Огляд (сторінка за замовчуванням).

                                                                                                                                                  Якщо ввімкнено, для параметра Blocked External DNS Resolution (Заблокована зовнішня роздільна здатність DNS) встановлено значення

                                                                                                                                                  3.

                                                                                                                                                  Перейдіть до Сховище довіри та проксі сторінка.

                                                                                                                                                  4.

                                                                                                                                                  Клацніть Перевірте підключення проксі .

                                                                                                                                                  Якщо з’явиться повідомлення про помилку розв’язання зовнішнього DNS, вузол не зміг зв’язатися з сервером DNS і залишиться в цьому режимі. В іншому разі після перезавантаження вузла й повернення до Огляд сторінки, роздільна здатність заблокованого зовнішнього DNS має бути встановлена на no.

                                                                                                                                                  Що далі

                                                                                                                                                  Повторіть перевірку підключення до проксі на кожному вузлі в кластері гібридної безпеки даних.

                                                                                                                                                  Видалити вузол

                                                                                                                                                  Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
                                                                                                                                                  1.

                                                                                                                                                  Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi та вимкнути віртуальну машину.

                                                                                                                                                  2.

                                                                                                                                                  Видалити вузол:

                                                                                                                                                  1. Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів безпеки гібридних даних.

                                                                                                                                                  3. Виберіть кластер, щоб відобразити панель «Огляд».

                                                                                                                                                  4. Клацніть Відкрити список вузлів .

                                                                                                                                                  5. На вкладці Вузли виберіть вузол, який потрібно видалити.

                                                                                                                                                  6. Клацніть Дії > Скасувати реєстрацію вузла .

                                                                                                                                                  3.

                                                                                                                                                  У клієнті vSphere видаліть віртуальну машину. (На панелі переходів ліворуч клацніть VM правою кнопкою миші й клацніть Видалити .)

                                                                                                                                                  Якщо ви не видалите віртуальну машину, не забудьте відключити файл ISO конфігурації. Без файлу ISO ви не зможете використовувати віртуальну машину для доступу до даних безпеки.

                                                                                                                                                  Аварійне відновлення за допомогою резервного центру обробки даних

                                                                                                                                                  Найважливіша служба, яку надає кластер гібридної безпеки даних, — це створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, якого призначено до гібридної безпеки даних, запити на створення нових ключів маршрутизуються до кластера. Кластер також відповідає за повернення створених ним ключів будь-яким користувачам, уповноваженим на їх отримання, наприклад учасникам простору розмови.

                                                                                                                                                  Оскільки кластер виконує критичну функцію надання цих ключів, важливо, щоб кластер продовжував працювати та підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕВІДПОВІДАННЯ ВТРАТИ контенту клієнта. Щоб запобігти такій втраті, необхідно дотримуватися наведених нижче дій.

                                                                                                                                                  Якщо внаслідок стихійного лиха розгортання HDS в основному центрі обробки даних стає недоступним, виконайте цю процедуру, щоб вручну перейти до резервного центру обробки даних.

                                                                                                                                                  1.

                                                                                                                                                  Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

                                                                                                                                                  2.

                                                                                                                                                  Після налаштування сервера Syslogd клацніть Розширені налаштування

                                                                                                                                                  3.

                                                                                                                                                  На Розширені налаштування сторінку, додайте конфігурацію нижче або видаліть passiveMode конфігурації, щоб зробити вузол активним. Після налаштування вузол може обробляти трафік.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4.

                                                                                                                                                  Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

                                                                                                                                                  5.

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  6.

                                                                                                                                                  На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування. .

                                                                                                                                                  7.

                                                                                                                                                  Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.


                                                                                                                                                   

                                                                                                                                                  Переконайтеся, що Підключено і Підключіться після ввімкнення перевірено, щоб оновлені зміни конфігурації набули чинності після запуску вузлів.

                                                                                                                                                  8

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

                                                                                                                                                  9

                                                                                                                                                  Повторіть процес для кожного вузла в резервному центрі обробки даних.


                                                                                                                                                   

                                                                                                                                                  Перевірте вивід системного журналу, щоб переконатися, що вузли резервного центру обробки даних не перебувають у пасивному режимі. "KMS налаштовано в пасивному режимі" не має відображатися в системних журналах.

                                                                                                                                                  Що далі

                                                                                                                                                  Якщо після відмови основний центр обробки даних знову стане активним, переведіть резервний центр обробки даних у пасивний режим знову, виконавши дії, описані в Налаштуйте резервний центр обробки даних для аварійного відновлення .

                                                                                                                                                  (Необов’язково) Відключіть ISO після конфігурації HDS

                                                                                                                                                  Стандартна конфігурація HDS працює з установленим ISO. Однак деякі клієнти вважають за краще не залишати файли ISO безперервно підключеними. Можна відключити файл ISO після того, як усі вузли HDS отримають нову конфігурацію.

                                                                                                                                                  Ви все ще використовуєте файли ISO для внесення змін конфігурації. Коли ви створюєте новий ISO або оновлюєте ISO за допомогою інструмента налаштування, ви повинні підключити оновлений ISO на всіх вузлах HDS. Після того як усі ваші вузли приймуть зміни конфігурації, ви можете знову відключити ISO за допомогою цієї процедури.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Оновіть усі вузли HDS до версії 2021.01.22.4720 або пізнішої.

                                                                                                                                                  1.

                                                                                                                                                  Вимкніть один із вузлів HDS.

                                                                                                                                                  2.

                                                                                                                                                  У vCenter Server Appliance виберіть вузол HDS.

                                                                                                                                                  3.

                                                                                                                                                  Виберіть Змінити налаштування > CD/DVD-привід і зніміть прапорець Файл ISO сховища даних .

                                                                                                                                                  4.

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що попередження немає принаймні 20 хвилин.

                                                                                                                                                  5.

                                                                                                                                                  Повторіть по черзі для кожного вузла HDS.

                                                                                                                                                  Усунення проблем гібридної безпеки даних

                                                                                                                                                  Перегляд сповіщень і усунення несправностей

                                                                                                                                                  Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що запитує тайм-аут. Якщо користувачі не можуть підключитися до кластера гібридної безпеки даних, у них з’являються такі ознаки:

                                                                                                                                                  • Неможливо створити нові простори (неможливо створити нові ключі)

                                                                                                                                                  • Не вдалося розшифрувати повідомлення та назви просторів для:

                                                                                                                                                    • До простору додано нових користувачів (не вдається отримати ключі)

                                                                                                                                                    • Наявні користувачі в просторі, що використовують нового клієнта (не вдається отримати ключі)

                                                                                                                                                  • Наявні користувачі в просторі продовжуватимуть успішно працювати, доки їхні клієнти мають кеш ключів шифрування.

                                                                                                                                                  Важливо належним чином відстежувати кластер гібридної безпеки даних і своєчасно виправляти будь-які сповіщення, щоб уникнути перебоїв у роботі служби.

                                                                                                                                                  Сповіщення

                                                                                                                                                  Якщо виникла проблема з налаштуванням гібридної безпеки даних, Control Hub відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато поширених сценаріїв.

                                                                                                                                                  Таблиця 1. Загальні проблеми та кроки до їх вирішення

                                                                                                                                                  Оповіщення

                                                                                                                                                  Дія

                                                                                                                                                  Помилка доступу до локальної бази даних.

                                                                                                                                                  Перевірте помилки бази даних або проблеми з локальною мережею.

                                                                                                                                                  Помилка підключення до локальної бази даних.

                                                                                                                                                  Переконайтеся, що сервер бази даних доступний, а в конфігурації вузла використано правильні облікові дані облікового запису служби.

                                                                                                                                                  Помилка доступу до хмарної служби.

                                                                                                                                                  Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього підключення .

                                                                                                                                                  Поновлення реєстрації хмарної служби.

                                                                                                                                                  Реєстрацію в хмарних службах перервано. Триває поновлення реєстрації.

                                                                                                                                                  Реєстрацію хмарної служби зупинено.

                                                                                                                                                  Реєстрацію в хмарних службах припинено. Служба завершується.

                                                                                                                                                  Службу ще не активовано.

                                                                                                                                                  Активуйте ознайомлювальну версію або завершите переміщення пробної версії до робочої версії.

                                                                                                                                                  Налаштований домен не відповідає сертифікату сервера.

                                                                                                                                                  Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

                                                                                                                                                  Найімовірніша причина полягає в тому, що CN сертифіката було нещодавно змінено, і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

                                                                                                                                                  Не вдалося автентифікуватися в хмарних службах.

                                                                                                                                                  Перевірте точність і можливе закінчення терміну дії облікових даних облікового запису служби.

                                                                                                                                                  Не вдалося відкрити файл локального сховища ключів.

                                                                                                                                                  Перевірте цілісність і точність пароля у файлі локального сховища ключів.

                                                                                                                                                  Сертифікат локального сервера неприпустимий.

                                                                                                                                                  Перевірте дату закінчення терміну дії сертифіката сервера та переконайтеся, що його видано довіреним центром сертифікації.

                                                                                                                                                  Не вдалося опублікувати показники.

                                                                                                                                                  Перевірте доступ локальної мережі до зовнішніх хмарних служб.

                                                                                                                                                  /media/configdrive/hds не існує.

                                                                                                                                                  Перевірте конфігурацію монтування ISO на віртуальному хості. Переконайтеся, що файл ISO існує, що його налаштовано на підключення під час перезавантаження та що він успішно підключений.

                                                                                                                                                  Усунення проблем гібридної безпеки даних

                                                                                                                                                  Використовуйте наведені далі загальні інструкції під час усунення проблем із гібридною безпекою даних.
                                                                                                                                                  1.

                                                                                                                                                  Перевірте Control Hub на наявність сповіщень і виправте будь-які елементи, які ви там знайдете.

                                                                                                                                                  2.

                                                                                                                                                  Перевірте вивід сервера системного журналу щодо активності розгортання гібридної безпеки даних.

                                                                                                                                                  3.

                                                                                                                                                  Контакт Підтримка Cisco .

                                                                                                                                                  Інші примітки

                                                                                                                                                  Відомі проблеми безпеки гібридних даних

                                                                                                                                                  • Якщо ви завершите роботу кластера гібридної безпеки даних (шляхом видалення його в Control Hub або закривши всі вузли), втратите файл ISO конфігурації або втратите доступ до бази даних сховища ключів, користувачі програми Webex більше не зможуть використовувати простори в розділі "Контакти". список, створений за допомогою ключів із KMS. Це стосується як пробного, так і робочого розгортання. Наразі ми не маємо обхідних шляхів або виправлення цієї проблеми. Ми закликаємо вас не закривати служби HDS після того, як вони оброблятимуть активні облікові записи користувачів.

                                                                                                                                                  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом певного періоду часу (імовірно, однієї години). Коли користувач стає учасником ознайомлювальної версії гібридної безпеки даних, клієнт користувача продовжує використовувати наявне підключення ECDH, доки не завершиться час очікування. Крім того, користувач може вийти та знову ввійти в програму Webex, щоб оновити розташування, до якого програма звертається для отримання ключів шифрування.

                                                                                                                                                    Така ж поведінка відбувається під час переміщення пробної версії до робочої версії для організації. Усі користувачі без пробної версії, які мають наявні підключення ECDH до попередніх служб безпеки даних, продовжуватимуть використовувати ці служби, доки не буде переузгоджено підключення ECDH (через тайм-аут або вихід із системи та повторний вхід).

                                                                                                                                                  Використовуйте OpenSSL для створення файлу PKCS12

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • OpenSSL — це один із інструментів, який можна використовувати для створення файлу PKCS12 у відповідному форматі для завантаження в інструменті налаштування HDS. Це можна зробити й іншими способами. Ми не підтримуємо й не рекламуємо один із них.

                                                                                                                                                  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, яка допоможе вам створити файл, який відповідає вимогам до сертифіката X.509 у Вимоги до сертифіката X.509 . Ознайомтеся з цими вимогами, перш ніж продовжити.

                                                                                                                                                  • Установіть OpenSSL у підтримуваному середовищі. Дивhttps://www.openssl.org для програмного забезпечення та документації.

                                                                                                                                                  • Створіть закритий ключ.

                                                                                                                                                  • Почніть цю процедуру, коли отримаєте сертифікат сервера від центру сертифікації (CA).

                                                                                                                                                  1.

                                                                                                                                                  Отримавши сертифікат сервера від CA, збережіть його як hdsnode.pem.

                                                                                                                                                  2.

                                                                                                                                                  Відобразіть сертифікат у вигляді тексту та перевірте відомості.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3.

                                                                                                                                                  Використовуйте текстовий редактор, щоб створити файл пакета сертифікатів під назвою hdsnode-bundle.pem. Файл пакета має містити сертифікат сервера, будь-які проміжні сертифікати CA та сертифікати кореневого CA у форматі нижче:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4.

                                                                                                                                                  Створіть файл .p12 зі зручним іменем kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5.

                                                                                                                                                  Перевірте відомості про сертифікат сервера.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Введіть пароль у підказці, щоб зашифрувати закритий ключ, щоб він відображався у виводі. Потім переконайтеся, що закритий ключ і перший сертифікат містять рядки friendlyName: kms-private-key.

                                                                                                                                                    Приклад:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Що далі

                                                                                                                                                  Повернутися до Виконайте обов’язкові умови для гібридної безпеки даних . Ви використовуватимете hdsnode.p12 файл і пароль, який ви для нього встановили, у Створіть ISO конфігурації для хостів HDS .


                                                                                                                                                   

                                                                                                                                                  Ви можете повторно використовувати ці файли для запиту нового сертифіката після завершення терміну дії оригінального сертифіката.

                                                                                                                                                  Трафік між вузлами HDS і хмарою

                                                                                                                                                  Трафік збору вихідних показників

                                                                                                                                                  Вузли гібридної безпеки даних надсилають певні показники до хмари Webex. До них належать системні показники для максимальної кількості накопичувачів, використаної пам’яті, навантаження на ЦП і кількості потоків; метрики для синхронних та асинхронних потоків; показники для оповіщень, що включають поріг з’єднань шифрування, затримку або довжину черги запитів; метрики в сховищі даних; і показники підключення шифрування. Вузли надсилають матеріал зашифрованого ключа через позасмуговий (окремий від запиту) канал.

                                                                                                                                                  Вхідний трафік

                                                                                                                                                  Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

                                                                                                                                                  • Запити шифрування від клієнтів, які маршрутизуються службою шифрування

                                                                                                                                                  • Оновлення програмного забезпечення вузла

                                                                                                                                                  Налаштуйте проксі Squid для гібридної безпеки даних

                                                                                                                                                  Websocket не вдається підключитися через проксі-сервер Squid

                                                                                                                                                  Проксі-сервери Squid, які перевіряють трафік HTTPS, можуть перешкоджати встановленню websocket ( wss:) підключення, які вимагає Hybrid Data Security. У цих розділах наведено інструкції щодо налаштування різних версій Squid для ігнорування wss: трафіку для належної роботи служб.

                                                                                                                                                  Кальмари 4 і 5

                                                                                                                                                  Додайте on_unsupported_protocol директива до squid.conf.

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Ми успішно перевірили безпеку гібридних даних, додавши такі правила squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Передмова

                                                                                                                                                  Нова та змінена інформація

                                                                                                                                                  Дата

                                                                                                                                                  Внесені зміни

                                                                                                                                                  20 жовтня 2023 року

                                                                                                                                                  7 серпня 2023 року

                                                                                                                                                  23 травня 2023 року

                                                                                                                                                  6 грудня 2022 року

                                                                                                                                                  23 листопада 2022 року

                                                                                                                                                  13 жовтня 2021 р.

                                                                                                                                                  Щоб установити вузли HDS, Docker Desktop необхідно запустити програму встановлення. Див Вимоги до Docker Desktop .

                                                                                                                                                  24 червня 2021 року

                                                                                                                                                  Зауважено, що ви можете повторно використовувати файл із закритим ключем і CSR для запиту іншого сертифіката. Див Використовуйте OpenSSL для створення файлу PKCS12 для отримання додаткової інформації.

                                                                                                                                                  30 квітня 2021 р.

                                                                                                                                                  Вимогу до VM щодо простору на локальному жорсткому диску змінено на 30 ГБ. Див Вимоги до віртуального хоста для отримання додаткової інформації.

                                                                                                                                                  24 лютого 2021 р.

                                                                                                                                                  HDS Setup Tool тепер може працювати через проксі. Див Створіть ISO конфігурації для хостів HDS для отримання додаткової інформації.

                                                                                                                                                  2 лютого 2021 р.

                                                                                                                                                  Тепер HDS може працювати без підключеного файлу ISO. Див (Необов’язково) Відключіть ISO після конфігурації HDS для отримання додаткової інформації.

                                                                                                                                                  11 січня 2021 року

                                                                                                                                                  Додано інформацію про інструмент налаштування HDS і проксі в Створіть ISO конфігурації для хостів HDS .

                                                                                                                                                  13 жовтня 2020 р.

                                                                                                                                                  Оновлено Завантажте файли встановлення .

                                                                                                                                                  8 жовтня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла з командами для середовищ FedRAMP.

                                                                                                                                                  14 серпня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла зі змінами в процесі входу.

                                                                                                                                                  5 серпня 2020 р.

                                                                                                                                                  Оновлено Перевірте розгортання гібридної безпеки даних для змін у повідомленнях журналу.

                                                                                                                                                  Оновлено Вимоги до віртуального хоста щоб видалити максимальну кількість хостів.

                                                                                                                                                  16 червня 2020 р.

                                                                                                                                                  Оновлено Видалити вузол для змін в інтерфейсі користувача Control Hub.

                                                                                                                                                  4 червня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS для змін у розширених налаштуваннях, які ви можете встановити.

                                                                                                                                                  29 травня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS щоб показати, що також можна використовувати TLS з базами даних SQL Server, змінами інтерфейсу користувача та іншими роз’ясненнями.

                                                                                                                                                  5 травня 2020 р.

                                                                                                                                                  Оновлено Вимоги до віртуального хоста щоб відобразити нові вимоги ESXi 6.5.

                                                                                                                                                  21 квітня 2020 р

                                                                                                                                                  Оновлено Вимоги до зовнішнього підключення з новими хостами CI Північної і Південної Америки.

                                                                                                                                                  1 квітня 2020 р

                                                                                                                                                  Оновлено Вимоги до зовнішнього підключення з інформацією про регіональні хости CI.

                                                                                                                                                  20 лютого 2020 р.Оновлено Створіть ISO конфігурації для хостів HDS з інформацією на новому екрані додаткових додаткових параметрів у інструменті налаштування HDS.
                                                                                                                                                  4 лютого 2020 рОновлено Вимоги до проксі-сервера .
                                                                                                                                                  16 грудня 2019 р.Роз’яснено вимоги до роботи в режимі роздільної здатності заблокованого зовнішнього DNS Вимоги до проксі-сервера .
                                                                                                                                                  19 листопада 2019 р.

                                                                                                                                                  Додано інформацію про режим дозволу заблокованого зовнішнього DNS в таких розділах:

                                                                                                                                                  8 листопада 2019 р.

                                                                                                                                                  Тепер можна налаштувати параметри мережі для вузла під час розгортання OVA, а не пізніше.

                                                                                                                                                  Відповідно оновлено такі розділи:


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  6 вересня 2019 р.

                                                                                                                                                  Стандартний SQL Server додано до Вимоги до сервера бази даних .

                                                                                                                                                  29 серпня 2019 рокуДодано Налаштуйте проксі Squid для гібридної безпеки даних додаток із інструкціями щодо налаштування проксі Squid для ігнорування трафіку вебсокетів для належної роботи.
                                                                                                                                                  20 серпня 2019 р.

                                                                                                                                                  Додані й оновлені розділи, які охоплюють підтримку проксі-сервера для зв’язку вузла гібридної безпеки даних із хмарою Webex.

                                                                                                                                                  Щоб отримати доступ лише до контенту підтримки проксі для наявного розгортання, див Підтримка проксі для гібридної безпеки даних і Webex Video Mesh довідкова стаття.

                                                                                                                                                  13 червня 2019 рокуОновлено Потік завдань із пробної версії до виробничого з нагадуванням про синхронізацію HdsTrialGroup об’єкт групи перед початком ознайомлювальної версії, якщо ваша організація використовує синхронізацію каталогів.
                                                                                                                                                  6 березня 2019 року
                                                                                                                                                  28 лютого 2019 року
                                                                                                                                                  • Виправлено кількість простору локального жорсткого диска на сервер, який ви повинні були виділити під час підготовки віртуальних хостів, які стануть вузлами гібридної безпеки даних, з 50 ГБ до 20 ГБ, щоб відобразити розмір диска, який створює OVA.

                                                                                                                                                  26 лютого 2019 р.
                                                                                                                                                  • Вузли гібридної безпеки даних тепер підтримують зашифровані підключення до серверів баз даних PostgreSQL, а також зашифровані підключення для ведення журналів до сервера системного журналу з підтримкою TLS. Оновлено Створіть ISO конфігурації для хостів HDS з інструкціями.

                                                                                                                                                  • Цільові URL-адреси видалено з таблиці "Вимоги до підключення до інтернету для віртуальних машин вузлів гібридної безпеки даних". Тепер таблиця посилається на список, який ведеться в таблиці "Додаткові URL-адреси для гібридних служб Webex Teams" Вимоги до мережі для служб Webex Teams .

                                                                                                                                                  24 січня 2019 р.

                                                                                                                                                  • Hybrid Data Security тепер підтримує Microsoft SQL Server як базу даних. Параметр SQL Server Always On (Always On Failover Clusters and Always On Availability Groups) підтримується драйверами JDBC, які використовуються в гібридній безпеці даних. Додано контент, пов’язаний із розгортанням за допомогою SQL Server.


                                                                                                                                                     

                                                                                                                                                    Підтримку Microsoft SQL Server призначено лише для нового розгортання служби безпеки даних гібридного типу. Наразі міграція даних із PostgreSQL у Microsoft SQL Server у наявному розгортанні не підтримується.

                                                                                                                                                  5 листопада 2018 року
                                                                                                                                                  19 жовтня 2018 року

                                                                                                                                                  31 липня 2018 року

                                                                                                                                                  21 травня 2018 р.

                                                                                                                                                  Термінологію змінено, щоб відобразити ребрендинг Cisco Spark:

                                                                                                                                                  • Гібридна безпека даних Cisco Spark тепер є гібридною безпекою даних.

                                                                                                                                                  • Програма Cisco Spark тепер стала програмою Webex.

                                                                                                                                                  • Хмара Cisco Collaboraton тепер хмара Webex.

                                                                                                                                                  11 квітня 2018 року
                                                                                                                                                  22 лютого 2018 р.
                                                                                                                                                  15 лютого 2018 року
                                                                                                                                                  • У Вимоги до сертифіката X.509 вказано, що сертифікат не може бути сертифікатом із символами підстановки та що KMS використовує домен CN, а не будь-який домен, визначений у полях x.509v3 SAN.

                                                                                                                                                  18 січня 2018 року

                                                                                                                                                  2 листопада 2017 року

                                                                                                                                                  • Уточнена синхронізація каталогів HdsTrialGroup.

                                                                                                                                                  • Виправлені інструкції щодо передавання файлу конфігурації ISO для підключення до вузлів віртуальної машини.

                                                                                                                                                  18 серпня 2017 року

                                                                                                                                                  Вперше опубліковано

                                                                                                                                                  Почніть роботу з гібридною безпекою даних

                                                                                                                                                  Огляд безпеки гібридних даних

                                                                                                                                                  З першого дня безпека даних була головним у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, що забезпечується клієнтами Webex App, які взаємодіють зі Службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і розшифрування повідомлень і файлів.

                                                                                                                                                  За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS, у сфері безпеки Cisco. Hybrid Data Security переміщує KMS та інші функції, пов 'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не має ключів до вашого зашифрованого вмісту.

                                                                                                                                                  Архітектура області безпеки

                                                                                                                                                  Хмарна архітектура Webex розділяє різні типи служб на окремі області або довірені домени, як показано нижче.

                                                                                                                                                  Області розділення (без гібридної безпеки даних)

                                                                                                                                                  Щоб краще зрозуміти гібридну безпеку даних, давайте спочатку розглянемо цей випадок у чистому вигляді, коли Cisco надає всі функції у своїх хмарних сферах. Служба ідентифікації, єдине місце, де користувачів можна безпосередньо зв’язати з їхньою особистою інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зберігається зашифрований контент. , у центрі обробки даних C.

                                                                                                                                                  На цій діаграмі клієнтом є програма Webex, що запущена на ноутбуці користувача та пройшла автентифікацію за допомогою служби ідентифікації. Коли користувач створює повідомлення для надсилання до простору, виконуються такі кроки:

                                                                                                                                                  1. Клієнт встановлює захищене підключення до служби керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Захищене підключення використовує ECDH, а KMS шифрує ключ за допомогою головного ключа AES-256.

                                                                                                                                                  2. Повідомлення шифрується, перш ніж залишити клієнт. Клієнт надсилає його до служби індексування, яка створює зашифровані індекси пошуку, щоб допомогти в майбутніх пошуках контенту.

                                                                                                                                                  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

                                                                                                                                                  4. Зашифроване повідомлення зберігається в області сховища.

                                                                                                                                                  Під час розгортання гібридної безпеки даних функції області безпеки (KMS, індексація та відповідність вимогам) переносяться до локального центру обробки даних. Інші хмарні служби, що складають Webex (зокрема, ідентифікаційні дані та сховище контенту) залишаються в сферах Cisco.

                                                                                                                                                  Співпраця з іншими організаціями

                                                                                                                                                  Користувачі у вашій організації можуть регулярно використовувати програму Webex для співпраці із зовнішніми учасниками в інших організаціях. Коли один із користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), KMS надсилає ключ клієнту через захищений канал ECDH. Однак, коли ключ для простору володіє інша організація, KMS маршрутизує запит до хмари Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в оригінальному каналі.

                                                                                                                                                  Служба KMS, що працює в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Див Підготуйте своє середовище Докладніше про створення сертифіката x.509 для використання з розгортанням гібридної безпеки даних.

                                                                                                                                                  Очікування щодо розгортання гібридної безпеки даних

                                                                                                                                                  Розгортання гібридної безпеки даних вимагає значних зобов’язань клієнта та усвідомлення ризиків, пов’язаних із володінням ключами шифрування.

                                                                                                                                                  Щоб розгорнути гібридну безпеку даних, необхідно надати:

                                                                                                                                                  Повна втрата ISO конфігурації, створеної для гібридної безпеки даних, або наданої вами бази даних призведе до втрати ключів. Втрата ключа не дозволяє користувачам розшифрувати вміст простору та інші зашифровані дані в програмі Webex. Якщо це станеться, можна створити нове розгортання, але видимим буде лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

                                                                                                                                                  • Керуйте резервним копіюванням і відновленням бази даних і ISO конфігурації.

                                                                                                                                                  • Будьте готові виконати швидке відновлення після аварії, якщо станеться катастрофа, як-от збій диска бази даних або аварійний стан центру обробки даних.


                                                                                                                                                   

                                                                                                                                                  Немає механізму переміщення ключів назад до хмари після розгортання HDS.

                                                                                                                                                  Процес налаштування високого рівня

                                                                                                                                                  У цьому документі описано налаштування та керування розгортанням гібридної безпеки даних:

                                                                                                                                                  • Налаштуйте безпеку гібридних даних —Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення Hybrid Data Security, тестування розгортання з підгрупою користувачів у ознайомлювальному режимі та, після завершення тестування, перехід до робочої версії. Це перетворить всю організацію на використання кластера гібридної безпеки даних для функцій безпеки.

                                                                                                                                                    Про фази налаштування, ознайомлювальної версії та виробництва докладно описано в наступних трьох розділах.

                                                                                                                                                  • Підтримуйте розгортання гібридної безпеки даних — Хмара Webex автоматично надає поточні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати екранні сповіщення та налаштувати сповіщення на основі електронної пошти в Control Hub.

                                                                                                                                                  • Ознайомтеся з поширеними сповіщеннями, кроками з усунення несправностей та відомими проблемами — Якщо у вас виникнуть проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й усунути проблему.

                                                                                                                                                  Модель розгортання гібридної безпеки даних

                                                                                                                                                  У межах корпоративного центру обробки даних ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли взаємодіють із хмарою Webex через захищені вебсокети та захищений HTTP.

                                                                                                                                                  Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами віртуальних машинах. За допомогою інструмента налаштування HDS можна створити користувацький ISO-файл конфігурації кластера, який монтується на кожному вузлі. Кластер гібридної безпеки даних використовує наданий вами сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і деталі підключення до бази даних у інструменті налаштування HDS.)

                                                                                                                                                  Модель розгортання гібридної безпеки даних

                                                                                                                                                  Мінімальна кількість вузлів, які можна мати в кластері, становить два. Рекомендовано принаймні три, а можна до п’яти. Наявність кількох вузлів гарантує, що обслуговування не буде перервано під час оновлення програмного забезпечення або інших дій з обслуговування на вузлі. (У хмарі Webex одночасно оновлюється лише один вузол.)

                                                                                                                                                  Усі вузли в кластері отримують доступ до одного сховища ключових даних і реєструють дії на одному сервері системних журналів. Самі вузли не мають стану та обробляють запити ключів у циклічному порядку, відповідно до вказівок хмари.

                                                                                                                                                  Вузли стають активними, коли ви реєструєте їх у Control Hub. Щоб вимкнути окремий вузол, можна скасувати його реєстрацію, а пізніше за потреби зареєструвати повторно.

                                                                                                                                                  Ми підтримуємо лише один кластер на організацію.

                                                                                                                                                  Ознайомлювальний режим безпеки гібридних даних

                                                                                                                                                  Після налаштування розгортання гібридної безпеки даних ви спочатку спробуєте його з набором пілотних користувачів. Протягом пробного періоду ці користувачі використовують ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Інші ваші користувачі продовжують використовувати область хмарної безпеки.

                                                                                                                                                  Якщо ви вирішите не продовжувати розгортання під час пробної версії та деактивуєте службу, пілотні користувачі та всі користувачі, з якими вони взаємодіяли шляхом створення нових просторів протягом пробного періоду, втратять доступ до повідомлень і контенту. У програмі Webex вони побачать повідомлення "Це повідомлення неможливо розшифрувати".

                                                                                                                                                  Якщо ви впевнені, що ваше розгортання працює добре для користувачів пробної версії, і ви готові поширити гібридну безпеку даних на всіх своїх користувачів, ви переміщуєте розгортання до робочої версії. Пілотні користувачі продовжують мати доступ до ключів, які використовувалися під час ознайомлювальної версії. Однак ви не можете переходити між робочим режимом і вихідним ознайомлювальним режимом. Якщо ви повинні деактивувати службу, наприклад, для виконання аварійного відновлення, під час повторної активації необхідно почати нову ознайомлювальну версію та налаштувати набір пілотних користувачів для нової ознайомлювальної версії, перш ніж повернутися до робочого режиму. Те, чи збережуть користувачі доступ до даних на цьому етапі, залежить від того, чи успішно ви створили резервні копії сховища ключових даних і файлу конфігурації ISO для вузлів гібридної безпеки даних у вашому кластері.

                                                                                                                                                  Резервний центр обробки даних для аварійного відновлення

                                                                                                                                                  Під час розгортання ви налаштовуєте захищений резервний центр обробки даних. У разі аварійної ситуації в центрі обробки даних можна вручну зупинити розгортання в резервному центрі обробки даних.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручне перемикання на резервний центр обробки даних

                                                                                                                                                  Бази даних активного та резервного центрів обробки даних синхронізовані одна з одною, що мінімізує час, необхідний для перемикання на помилку. Файл ISO резервного центру обробки даних оновлено додатковими конфігураціями, які гарантують, що вузли зареєстровані в організації, але не оброблятимуть трафік. Тому вузли резервного центру обробки даних завжди залишаються в актуальному стані з останньою версією програмного забезпечення HDS.


                                                                                                                                                   

                                                                                                                                                  Активні вузли гібридної безпеки даних повинні завжди перебувати в тому самому центрі обробки даних, що й активний сервер бази даних.

                                                                                                                                                  Налаштуйте резервний центр обробки даних для аварійного відновлення

                                                                                                                                                  Виконайте наведені нижче дії, щоб налаштувати файл ISO резервного центру обробки даних:

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Резервний центр обробки даних має відображати виробниче середовище віртуальних машин і резервну копію бази даних PostgreSQL або Microsoft SQL Server. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини. (Див Резервний центр обробки даних для аварійного відновлення для огляду цієї моделі резервного перемикання.)

                                                                                                                                                  • Переконайтеся, що ввімкнено синхронізацію бази даних між базою даних активних і пасивних вузлів кластера.

                                                                                                                                                  1.

                                                                                                                                                  Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .


                                                                                                                                                   

                                                                                                                                                  Файл ISO має бути копією вихідного файлу ISO основного центру обробки даних, у якому необхідно виконати наведені далі оновлення конфігурації.

                                                                                                                                                  2.

                                                                                                                                                  Після налаштування сервера Syslogd клацніть Розширені налаштування

                                                                                                                                                  3.

                                                                                                                                                  На Розширені налаштування сторінку, додайте конфігурацію нижче, щоб перевести вузол у пасивний режим. У цьому режимі вузол буде зареєстровано в організації та підключено до хмари, але не оброблятиме трафік.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4.

                                                                                                                                                  Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

                                                                                                                                                  5.

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  6.

                                                                                                                                                  На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування. .

                                                                                                                                                  7.

                                                                                                                                                  Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.


                                                                                                                                                   

                                                                                                                                                  Переконайтеся, що Підключено і Підключіться після ввімкнення перевірено, щоб оновлені зміни конфігурації набули чинності після запуску вузлів.

                                                                                                                                                  8

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

                                                                                                                                                  9

                                                                                                                                                  Повторіть процес для кожного вузла в резервному центрі обробки даних.


                                                                                                                                                   

                                                                                                                                                  Перевірте системні журнали, щоб переконатися, що вузли перебувають у пасивному режимі. Ви повинні мати змогу переглядати повідомлення «KMS налаштовано в пасивному режимі» в системних журналах.

                                                                                                                                                  Що далі

                                                                                                                                                  Після налаштування passiveMode у файлі ISO та після його збереження можна створити іншу копію файлу ISO без файлу passiveMode конфігурацію та збережіть її в захищеному місці. Ця копія файлу ISO без passiveMode configured може допомогти в швидкому перемиканні на помилку під час аварійного відновлення. Див Аварійне відновлення за допомогою резервного центру обробки даних для детальної процедури переходу до відмови.

                                                                                                                                                  Підтримка проксі-сервера

                                                                                                                                                  Гібридна безпека даних підтримує явні, прозорі проксі-сервери з перевіркою та без перевірки. Можна прив’язати ці проксі-сервери до свого розгортання, щоб захищати та відстежувати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для керування сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

                                                                                                                                                  Вузли гібридної безпеки даних підтримують такі параметри проксі:

                                                                                                                                                  • Немає проксі — Значення за замовчуванням, якщо ви не використовуєте налаштування вузла HDS, сховища довіри та конфігурацію проксі для інтеграції проксі. Оновлення сертифіката не потрібно.

                                                                                                                                                  • Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.

                                                                                                                                                  • Прозорий проксі з тунелюванням або перевіркою —Вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах змінювати конфігурацію HTTP або HTTPS не потрібно. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

                                                                                                                                                  • Явний проксі — За допомогою явного проксі ви вказуєте вузлам HDS, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі-сервер, необхідно ввести таку інформацію на кожному вузлі:

                                                                                                                                                    1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.

                                                                                                                                                    2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.

                                                                                                                                                    3. Протокол проксі — Залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

                                                                                                                                                      • HTTP — перегляд і контроль усіх запитів, які надсилає клієнт.

                                                                                                                                                      • HTTPS — надає канал до сервера. Клієнт отримує та перевіряє сертифікат сервера.

                                                                                                                                                    4. Тип автентифікації — Виберіть один із таких типів автентифікації:

                                                                                                                                                      • Немає — подальша автентифікація не потрібна.

                                                                                                                                                        Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.

                                                                                                                                                      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.

                                                                                                                                                        Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.

                                                                                                                                                        Вимагає ввести ім’я користувача та пароль на кожному вузлі.

                                                                                                                                                      • Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.

                                                                                                                                                        Доступно, лише якщо вибрано HTTPS як протокол проксі.

                                                                                                                                                        Вимагає ввести ім’я користувача та пароль на кожному вузлі.

                                                                                                                                                  Приклад гібридних вузлів безпеки даних і проксі

                                                                                                                                                  На цій діаграмі показано приклад підключення між гібридною безпекою даних, мережею та проксі. Для параметрів проксі-сервера з прозорою перевіркою та явною перевіркою HTTPS необхідно встановити той самий кореневий сертифікат на проксі-сервері та вузлах гібридної безпеки даних.

                                                                                                                                                  Режим дозволу заблокованого зовнішнього DNS (явні конфігурації проксі)

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі вузла, процес перевіряє пошук DNS і можливість підключення до хмари Cisco Webex. У розгортаннях із явними конфігураціями проксі, які не дозволяють роздільну здатність зовнішнього DNS для внутрішніх клієнтів, якщо вузол не може запитувати сервери DNS, він автоматично переходить у режим роздільної здатності заблокованого зовнішнього DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести підключення проксі.

                                                                                                                                                  Підготуйте своє середовище

                                                                                                                                                  Вимоги до гібридної безпеки даних

                                                                                                                                                  Вимоги до ліцензії Cisco Webex

                                                                                                                                                  Щоб розгорнути гібридну безпеку даних:

                                                                                                                                                  Вимоги до Docker Desktop

                                                                                                                                                  Перш ніж установити вузли HDS, необхідно запустити програму встановлення Docker Desktop. Docker нещодавно оновив свою модель ліцензування. Для вашої організації може знадобитися платна підписка на Docker Desktop. Докладніше див. у дописі до блогу Docker "Docker оновлює та розширює наші підписки на продукти".

                                                                                                                                                  Вимоги до сертифіката X.509

                                                                                                                                                  Ланцюжок сертифікатів має відповідати таким вимогам:

                                                                                                                                                  Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

                                                                                                                                                  Вимоги

                                                                                                                                                  Відомості

                                                                                                                                                  • Підписано довіреним центром сертифікації (CA)

                                                                                                                                                  За замовчуванням ми довіряємо ЦС у списку Mozilla (за винятком WoSign і StartCom) за адресоюhttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Має доменне ім’я Common Name (CN), яке ідентифікує ваше розгортання гібридної безпеки даних

                                                                                                                                                  • Не є сертифікатом із символом підстановки

                                                                                                                                                  CN не обов’язково має бути доступним або активним організатором. Рекомендовано використовувати назву, яка відображає вашу організацію, наприклад, hds.company.com.

                                                                                                                                                  CN не повинна містити символ * (підстановка).

                                                                                                                                                  CN використовується для перевірки вузлів гібридної безпеки даних для клієнтів програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, який визначено в полях SAN x.509v3.

                                                                                                                                                  Після реєстрації вузла за допомогою цього сертифіката зміна імені домену CN не підтримується. Виберіть домен, який може застосовуватися як для ознайомлювального, так і для робочого розгортання.

                                                                                                                                                  • Підпис не SHA1

                                                                                                                                                  Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключень до KMS інших організацій.

                                                                                                                                                  • Відформатовано як файл PKCS № 12, захищений паролем

                                                                                                                                                  • Використовуйте дружнє ім’я користувача kms-private-key щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.

                                                                                                                                                  Щоб змінити формат сертифіката, можна використовувати конвертер, наприклад OpenSSL.

                                                                                                                                                  Під час запуску засобу налаштування HDS потрібно буде ввести пароль.

                                                                                                                                                  Програмне забезпечення KMS не встановлює обмеження щодо використання ключів або розширеного використання ключів. Деякі центри сертифікації вимагають, щоб до кожного сертифіката були застосовані розширені обмеження використання ключів, наприклад автентифікація сервера. Можна використовувати автентифікацію сервера або інші налаштування.

                                                                                                                                                  Вимоги до віртуального хоста

                                                                                                                                                  Віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері, мають такі вимоги:

                                                                                                                                                  • Принаймні два окремих хости (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

                                                                                                                                                  • VMware ESXi 6.5 (або пізнішої версії) встановлено та працює.


                                                                                                                                                     

                                                                                                                                                    Необхідно оновити версію, якщо у вас є попередня версія ESXi.

                                                                                                                                                  • Мінімум 4 vCPU, 8 ГБ основної пам’яті, 30 ГБ місця на локальному жорсткому диску на сервер

                                                                                                                                                  Вимоги до сервера бази даних


                                                                                                                                                   

                                                                                                                                                  Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

                                                                                                                                                  Є два варіанти для сервера бази даних. Вимоги до кожного є такими:

                                                                                                                                                  Таблиця 2. Вимоги до сервера бази даних за типом бази даних

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 або 16, установлено та запущено.

                                                                                                                                                  • Установлено SQL Server 2016, 2017 або 2019 (Enterprise або Standard).


                                                                                                                                                     

                                                                                                                                                    Для SQL Server 2016 потрібні пакет оновлень 2 і накопичувальне оновлення 2 або пізнішої версії.

                                                                                                                                                  Мінімум 8 vCPU, 16 ГБ основної пам’яті, достатньо простору на жорсткому диску та моніторинг, щоб гарантувати, що воно не перевищено (рекомендується 2 ТБ, якщо ви хочете працювати з базою даних протягом тривалого часу без необхідності збільшувати обсяг сховища).

                                                                                                                                                  Мінімум 8 vCPU, 16 ГБ основної пам’яті, достатньо простору на жорсткому диску та моніторинг, щоб гарантувати, що воно не перевищено (рекомендується 2 ТБ, якщо ви хочете працювати з базою даних протягом тривалого часу без необхідності збільшувати обсяг сховища).

                                                                                                                                                  Зараз програмне забезпечення HDS встановлює такі версії драйверів для зв’язку із сервером бази даних:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Драйвер JDBC Postgres 42.2.5

                                                                                                                                                  Драйвер JDBC SQL Server 4.6

                                                                                                                                                  Ця версія драйвера підтримує SQL Server Always On ( Завжди ввімкнені екземпляри кластера перемикання і Завжди ввімкнені групи доступності ).

                                                                                                                                                  Додаткові вимоги до автентифікації Windows у Microsoft SQL Server

                                                                                                                                                  Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для отримання доступу до бази даних сховища ключів на Microsoft SQL Server, вам потрібна така конфігурація у вашому середовищі:

                                                                                                                                                  • Вузли HDS, інфраструктура Active Directory і MS SQL Server мають бути синхронізовані з NTP.

                                                                                                                                                  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ для читання та запису до бази даних.

                                                                                                                                                  • Сервери DNS, які ви надаєте вузлам HDS, повинні мати можливість дозволити ваш центр розподілу ключів (KDC).

                                                                                                                                                  • Ви можете зареєструвати екземпляр бази даних HDS на Microsoft SQL Server як ім’я користувача-служби (SPN) у вашому Active Directory. Див Зареєструйте ім’я користувача-служби для підключень Kerberos .

                                                                                                                                                    Інструмент налаштування HDS, засіб запуску HDS і локальний KMS повинні використовувати автентифікацію Windows для доступу до бази даних сховища ключів. Вони використовують дані вашої конфігурації ISO для створення SPN, коли запитують доступ за допомогою автентифікації Kerberos.

                                                                                                                                                  Вимоги до зовнішнього підключення

                                                                                                                                                  Налаштуйте брандмауер, щоб дозволити такі можливості підключення для програм HDS:

                                                                                                                                                  Застосування

                                                                                                                                                  Протокол

                                                                                                                                                  Порт

                                                                                                                                                  Напрямок із програми

                                                                                                                                                  Призначення

                                                                                                                                                  Вузли гібридної безпеки даних

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Вихідні HTTPS і WSS

                                                                                                                                                  • Сервери Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Усі хости Common Identity

                                                                                                                                                  • Інші URL-адреси, перелічені для гібридної безпеки даних у Додаткові URL-адреси для гібридних служб Webex таблицю з Вимоги до мережі для служб Webex

                                                                                                                                                  Інструмент налаштування HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Вихідний HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Усі хости Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Вузли гібридної безпеки даних працюють із трансляцією доступу до мережі (NAT) або за брандмауером, якщо NAT або брандмауер дозволяє використовувати необхідні вихідні підключення до адресатів домену, наведених у попередній таблиці. Для вхідних підключень до вузлів гібридної безпеки даних порти з інтернету не повинні бути видимими. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

                                                                                                                                                  URL-адреси хостів Common Identity (CI) залежать від регіону. Це поточні хости CI:

                                                                                                                                                  Регіон

                                                                                                                                                  URL-адреси хоста спільних ідентифікаційних даних

                                                                                                                                                  Північна та Південна Америки

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Європейський Союз

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Канада

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Вимоги до проксі-сервера

                                                                                                                                                  • Ми офіційно підтримуємо такі проксі-рішення, які можна інтегрувати з вашими вузлами гібридної безпеки даних.

                                                                                                                                                  • Підтримуються такі комбінації типів автентифікації для явних проксі-серверів:

                                                                                                                                                    • Немає автентифікації за допомогою HTTP або HTTPS

                                                                                                                                                    • Базова автентифікація за допомогою HTTP або HTTPS

                                                                                                                                                    • Дайджест автентифікації лише за допомогою HTTPS

                                                                                                                                                  • Для прозорого проксі-сервера з перевіркою або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі. В інструкціях із розгортання в цьому посібнику описано, як передати копію до сховищ довіри вузлів гібридної безпеки даних.

                                                                                                                                                  • Мережа, де розміщено вузли HDS, повинна бути налаштована на примусове маршрутизацію вихідного трафіку TCP через порт 443 через проксі.

                                                                                                                                                  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з 'єднанню веб-сокетів. Якщо ця проблема виникне, обійти (не перевіряти) трафік до wbx2.com і ciscospark.com вирішить проблему.

                                                                                                                                                  Виконайте обов’язкові умови для гібридної безпеки даних

                                                                                                                                                  Використовуйте цей контрольний список, щоб переконатися, що ви готові до встановлення та налаштування кластера гібридної безпеки даних.
                                                                                                                                                  1.

                                                                                                                                                  Переконайтеся, що у вашій організації Webex увімкнено Pro Pack for Cisco Webex Control Hub, і отримайте облікові дані облікового запису з повними правами адміністратора організації. Зверніться до партнера Cisco або менеджера облікового запису, щоб отримати допомогу з цим процесом.

                                                                                                                                                  2.

                                                                                                                                                  Виберіть ім’я домену для розгортання HDS (наприклад, hds.company.com) і отримати ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ і будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам у Вимоги до сертифіката X.509 .

                                                                                                                                                  3.

                                                                                                                                                  Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері. Вам потрібно принаймні два окремих хоста (рекомендовано 3), розміщені в одному захищеному центрі обробки даних, які відповідають вимогам у Вимоги до віртуального хоста .

                                                                                                                                                  4.

                                                                                                                                                  Підготуйте сервер бази даних, який буде виконувати функцію сховища ключових даних для кластера, відповідно до Вимоги до сервера бази даних . Сервер бази даних має бути одночасно розташований у захищеному центрі обробки даних із віртуальними хостами.

                                                                                                                                                  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.)

                                                                                                                                                  2. Зберіть відомості, які вузли використовуватимуть для зв’язку із сервером бази даних:

                                                                                                                                                    • ім’я хоста або IP-адресу (хост) і порт

                                                                                                                                                    • ім’я бази даних (dbname) для зберігання ключів

                                                                                                                                                    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

                                                                                                                                                  5.

                                                                                                                                                  Для швидкого аварійного відновлення налаштуйте середовище резервного копіювання в іншому центрі обробки даних. Середовище резервного копіювання відображає виробниче середовище віртуальних машин і сервера бази даних резервного копіювання. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини.

                                                                                                                                                  6.

                                                                                                                                                  Налаштуйте хост системного журналу для збору журналів із вузлів у кластері. Зібрати його мережеву адресу та порт системного журналу (за замовчуванням – UDP 514).

                                                                                                                                                  7.

                                                                                                                                                  Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста системного журналу. Як мінімум, щоб запобігти втраті даних без можливості відновлення, необхідно створити резервну копію бази даних і файлу ISO конфігурації, створеного для вузлів гібридної безпеки даних.


                                                                                                                                                   

                                                                                                                                                  Оскільки вузли гібридної безпеки даних зберігають ключі, що використовуються для шифрування та розшифровки контенту, неможливість підтримати оперативне розгортання призведе до НЕВІДКЛЮЧЕНА ВТРАТА цього контенту.

                                                                                                                                                  Клієнти програми Webex кешують свої ключі, тому перебої в роботі можуть бути помітні не відразу, а з часом. Хоча тимчасові перебої в роботі неможливо запобігти, їх можна відновити. Однак повна втрата (недоступні резервні копії) бази даних або файлу ISO конфігурації призведе до того, що дані клієнта будуть недоступні для відновлення. Очікується, що оператори вузлів гібридної безпеки даних будуть підтримувати часте резервне копіювання бази даних і файлу ISO конфігурації та бути готовими до відновлення центру обробки даних гібридної безпеки даних у разі катастрофічної помилки.

                                                                                                                                                  8

                                                                                                                                                  Переконайтеся, що конфігурація брандмауера дозволяє підключатися до вузлів гібридної безпеки даних, як описано в Вимоги до зовнішнього підключення .

                                                                                                                                                  9

                                                                                                                                                  Установити Docker (https://www.docker.com ) на будь-якому локальному комп’ютері з підтримуваною ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядна версія або Mac OSX Yosemite 10.10.3 або новішої версії) з веббраузером, який може отримати до неї доступ за адресою http://127.0.0.1:8080.

                                                                                                                                                  Ви використовуєте екземпляр Docker для завантаження та запуску засобу налаштування HDS, який створює інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Вашій організації може знадобитися ліцензія Docker Desktop. Див Вимоги до Docker Desktop для отримання додаткової інформації.

                                                                                                                                                  Щоб установити та запустити HDS Setup Tool, локальний комп’ютер повинен мати можливість підключення, описану в Вимоги до зовнішнього підключення .

                                                                                                                                                  10

                                                                                                                                                  Якщо ви інтегруєте проксі-сервер із гібридною безпекою даних, переконайтеся, що він відповідає Вимоги до проксі-сервера .

                                                                                                                                                  11

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів, створіть групу в Active Directory з викликом HdsTrialGroup, і додати пілотних користувачів. Ознайомлювальна група може налічувати до 250 користувачів. Нараду HdsTrialGroup об’єкт необхідно синхронізувати з хмарою, перш ніж ви зможете почати пробну версію для вашої організації. Щоб синхронізувати об’єкт групи, виберіть його в з’єднувачі каталогу Конфігурація > Вибір об’єкта меню. (Докладні інструкції див Посібник із розгортання для Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Ключі для певного простору встановлюються його творцем. Вибираючи пілотних користувачів, пам’ятайте, що якщо ви вирішите остаточно деактивувати розгортання гібридної безпеки даних, усі користувачі втратять доступ до контенту в просторах, які були створені пілотними користувачами. Втрата стає очевидною, щойно програми користувачів оновлять кешовані копії контенту.

                                                                                                                                                  Налаштуйте кластер гібридної безпеки даних

                                                                                                                                                  Потік завдань розгортання безпеки гібридних даних

                                                                                                                                                  1.

                                                                                                                                                  Завантажте файли встановлення

                                                                                                                                                  Завантажте файл OVA на локальний комп’ютер для подальшого використання.

                                                                                                                                                  2.

                                                                                                                                                  Створіть ISO конфігурації для хостів HDS

                                                                                                                                                  Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

                                                                                                                                                  3.

                                                                                                                                                  Установіть OVA хоста HDS

                                                                                                                                                  Створіть віртуальну машину з файлу OVA та виконайте початкове налаштування, наприклад налаштування мережі.


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  4.

                                                                                                                                                  Налаштуйте віртуальну машину гібридної безпеки даних

                                                                                                                                                  Увійдіть на консоль VM і задайте облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо ви не налаштували їх під час розгортання OVA.

                                                                                                                                                  5.

                                                                                                                                                  Вивантажте та підключіть ISO конфігурації HDS

                                                                                                                                                  Налаштуйте віртуальну машину з файлу конфігурації ISO, який ви створили за допомогою засобу налаштування HDS.

                                                                                                                                                  6.

                                                                                                                                                  Налаштуйте вузол HDS для інтеграції проксі

                                                                                                                                                  Якщо мережеве середовище вимагає конфігурації проксі-сервера, укажіть тип проксі, який ви використовуватимете для вузла, і за потреби додайте сертифікат проксі до сховища довіри.

                                                                                                                                                  7.

                                                                                                                                                  Зареєструйте перший вузол у кластері

                                                                                                                                                  Зареєструйте віртуальну машину в хмарі Cisco Webex як вузол гібридної безпеки даних.

                                                                                                                                                  8

                                                                                                                                                  Створіть і зареєструйте більше вузлів

                                                                                                                                                  Завершіть налаштування кластера.

                                                                                                                                                  9

                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

                                                                                                                                                  Поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

                                                                                                                                                  Завантажте файли встановлення

                                                                                                                                                  У цьому завданні ви завантажуєте файл OVA на ваш комп’ютер (а не на сервери, які ви налаштували як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.
                                                                                                                                                  1.

                                                                                                                                                  Увійти вhttps://admin.webex.com , а потім клацніть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Налаштування .

                                                                                                                                                  Якщо картку вимкнено або ви не бачите її, зверніться до команди облікового запису або партнерської організації. Надайте їм номер свого облікового запису та попросіть увімкнути гібридну безпеку даних у вашій організації. Щоб знайти номер облікового запису, клацніть шестірню у верхньому правому куті поруч із назвою організації.


                                                                                                                                                   

                                                                                                                                                  Ви також можете в будь-який час завантажити OVA з Довідка розділ про Налаштування сторінка. На картці гібридної безпеки даних клацніть Змінити налаштування , щоб відкрити сторінку. Потім клацніть Завантажте програмне забезпечення гібридної безпеки даних в Довідка розділ.


                                                                                                                                                   

                                                                                                                                                  Старші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до проблем під час оновлення програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

                                                                                                                                                  3.

                                                                                                                                                  Виберіть Ні , щоб указати, що вузол ще не налаштовано, а потім клацніть Далі .

                                                                                                                                                  Завантаження файлу OVA почнеться автоматично. Збережіть файл у розташуванні на вашому комп’ютері.
                                                                                                                                                  4.

                                                                                                                                                  Клацніть за бажанням Відкрийте посібник із розгортання щоб перевірити, чи доступна пізніша версія цього посібника.

                                                                                                                                                  Створіть ISO конфігурації для хостів HDS

                                                                                                                                                  У процесі налаштування гібридної безпеки даних створюється файл ISO. Потім ви використовуєте ISO для налаштування хоста гібридної безпеки даних.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Центру керування з повними правами адміністратора для вашої організації.

                                                                                                                                                    Якщо інструмент налаштування HDS працює за допомогою проксі у вашому середовищі, надайте параметри проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час виклику контейнера Docker на кроці. 5 . У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі з аутентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Створений вами файл конфігурації містить основний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Остання копія цього файлу потрібна щоразу, коли ви вносите зміни конфігурації, наприклад:

                                                                                                                                                    • Облікові дані бази даних

                                                                                                                                                    • Оновлення сертифіката

                                                                                                                                                    • Зміни політики авторизації

                                                                                                                                                  • Якщо ви плануєте шифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

                                                                                                                                                  1.

                                                                                                                                                  У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

                                                                                                                                                  У звичайних умовах:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Цей крок очищає попередні зображення інструментів налаштування HDS. Якщо попередніх зображень немає, він повертає помилку, яку можна проігнорувати.

                                                                                                                                                  2.

                                                                                                                                                  Щоб увійти до реєстру Docker-образів, введіть наступне:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3.

                                                                                                                                                  У підказці пароля введіть цей хеш:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4.

                                                                                                                                                  Завантажте останнє стабільне зображення для вашого середовища:

                                                                                                                                                  У звичайних умовах:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5.

                                                                                                                                                  Після завершення витягування введіть відповідну команду для вашого середовища:

                                                                                                                                                  • У звичайних середовищах без проксі-сервера:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • У звичайних середовищах з HTTP-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У звичайних середовищах з HTTPS-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У середовищах FedRAMP без проксі-сервера:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з HTTP-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з HTTPS-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

                                                                                                                                                  6.

                                                                                                                                                   

                                                                                                                                                  Інструмент налаштування не підтримує підключення до локального хосту http://localhost:8080. використання http://127.0.0.1:8080 для підключення до локального хосту.

                                                                                                                                                  Використовуйте веббраузер, щоб перейти до локального хоста, http://127.0.0.1:8080, і введіть ім’я користувача адміністратора клієнта для Control Hub у відповідь на запит.

                                                                                                                                                  Інструмент використовує цей перший запис імені користувача, щоб установити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку про вхід.

                                                                                                                                                  7.

                                                                                                                                                  Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора клієнта Control Hub, а потім клацніть Увійти щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

                                                                                                                                                  8

                                                                                                                                                  На сторінці огляду інструмента налаштування клацніть Почати роботу .

                                                                                                                                                  9

                                                                                                                                                  На Імпорт ISO на сторінці, у вас є такі параметри:

                                                                                                                                                  • Ні —Якщо ви створюєте свій перший вузол HDS, у вас немає файлу ISO для передавання.
                                                                                                                                                  • Так —Якщо ви вже створили вузли HDS, виберіть файл ISO під час перегляду й передайте його.
                                                                                                                                                  10

                                                                                                                                                  Переконайтеся, що ваш сертифікат X.509 відповідає вимогам у Вимоги до сертифіката X.509 .

                                                                                                                                                  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити .
                                                                                                                                                  • Якщо сертифікат відповідає вимогам, клацніть Продовжити .
                                                                                                                                                  • Якщо термін дії сертифіката завершився або ви хочете його замінити, виберіть Ні для Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO? . Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити .
                                                                                                                                                  11

                                                                                                                                                  Введіть адресу бази даних і обліковий запис HDS, щоб отримати доступ до сховища ключових даних:

                                                                                                                                                  1. Виберіть свій Тип бази даних ( PostgreSQL або Microsoft SQL Server ).

                                                                                                                                                    Якщо ви виберете Microsoft SQL Server , ви отримаєте поле Тип автентифікації.

                                                                                                                                                  2. ( Microsoft SQL Server тільки) Виберіть свій Тип автентифікації :

                                                                                                                                                    • Базова автентифікація : Потрібне ім’я локального облікового запису SQL Server у файлі Ім’я користувача поле.

                                                                                                                                                    • Автентифікація Windows : Потрібен обліковий запис Windows у форматі username@DOMAIN в Ім’я користувача поле.

                                                                                                                                                  3. Введіть адресу сервера бази даних у формі <hostname>:<port> або <IP-address>:<port>.

                                                                                                                                                    Приклад:
                                                                                                                                                    dbhost.example.org:1433 або 198.51.100.17:1433

                                                                                                                                                    Можна використовувати IP-адресу для базової автентифікації, якщо вузли не можуть використовувати DNS для визначення імені хоста.

                                                                                                                                                    Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433

                                                                                                                                                  4. Введіть Ім’я бази даних .

                                                                                                                                                  5. Введіть Ім’я користувача і Пароль користувача з усіма правами на базу даних сховища ключів.

                                                                                                                                                  12

                                                                                                                                                  Виберіть a Режим підключення до бази даних TLS :

                                                                                                                                                  Режим

                                                                                                                                                  Опис

                                                                                                                                                  Віддати перевагу TLS (параметр за замовчуванням)

                                                                                                                                                  Вузли HDS не вимагають TLS для підключення до сервера бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли намагатимуться встановити зашифроване підключення.

                                                                                                                                                  Вимагати TLS

                                                                                                                                                  Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  Вимагати TLS і перевіряти підписувача сертифіката


                                                                                                                                                   

                                                                                                                                                  Цей режим не застосовується до баз даних SQL Server.

                                                                                                                                                  • Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  • Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

                                                                                                                                                  Щоб завантажити кореневий сертифікат для цього параметра, скористайтеся пунктом керування кореневим сертифікатом бази даних під спадним меню.

                                                                                                                                                  Вимагати TLS та перевіряти підписувача сертифіката та ім 'я хоста

                                                                                                                                                  • Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  • Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

                                                                                                                                                  • Вузли також перевіряють, що ім’я хоста в сертифікаті сервера збігається з іменем хоста в Хост бази даних і порт поле. Імена повинні точно збігатися, або вузол розриває з 'єднання.

                                                                                                                                                  Щоб завантажити кореневий сертифікат для цього параметра, скористайтеся пунктом керування кореневим сертифікатом бази даних під спадним меню.

                                                                                                                                                  Під час передавання кореневого сертифіката (за необхідності) клацніть Продовжити , засіб налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє підписувача сертифіката та ім 'я хоста, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності в можливостях підключення вузли HDS можуть встановити підключення TLS, навіть якщо машині засобу налаштування HDS не вдасться успішно перевірити його.)

                                                                                                                                                  13

                                                                                                                                                  На сторінці системних журналів налаштуйте сервер Syslogd:

                                                                                                                                                  1. Введіть URL-адресу сервера системного журналу.

                                                                                                                                                    Якщо сервер не можна розділити з DNS на вузлах кластера HDS, використовуйте IP-адресу в URL-адресі.

                                                                                                                                                    Приклад:
                                                                                                                                                    udp://10.92.43.23:514 вказує на ведення журналу до хоста Syslogd 10.92.43.23 через UDP-порт 514.
                                                                                                                                                  2. Якщо ви налаштували свій сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер системного журналу на шифрування SSL? .

                                                                                                                                                    Якщо встановити цей прапорець, переконайтеся, що ви ввели URL-адресу TCP, наприклад tcp://10.92.43.23:514.

                                                                                                                                                  3. З Виберіть припинення запису системного журналу у розкривному меню виберіть відповідне налаштування для вашого файлу ISO: Виберіть або Новий рядок використовується для Graylog і Rsyslog TCP

                                                                                                                                                    • Нульовий байт -- \x00

                                                                                                                                                    • Новий рядок -- \n —Виберіть цей варіант для Graylog і Rsyslog TCP.

                                                                                                                                                  4. Клацніть Продовжити.

                                                                                                                                                  14

                                                                                                                                                  (Необов’язково) Можна змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Розширені налаштування . Як правило, цей параметр є єдиним, який ви можете змінити:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Клацніть Продовжити на Скинути пароль службових облікових записів екрана.

                                                                                                                                                  Термін дії паролів службових облікових записів становить дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів наближається або ви хочете скинути їх, щоб зробити попередні файли ISO недійсними.

                                                                                                                                                  16

                                                                                                                                                  Клацніть Завантажте файл ISO . Збережіть файл у місці, яке легко знайти.

                                                                                                                                                  17

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі.

                                                                                                                                                  Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  18

                                                                                                                                                  Щоб вимкнути інструмент налаштування, введіть CTRL+C.

                                                                                                                                                  Що далі

                                                                                                                                                  Створіть резервну копію файлу конфігурації ISO. Він потрібен, щоб створити більше вузлів для відновлення або внести зміни в конфігурацію. Якщо ви втратили всі копії файлу ISO, ви також втратили основний ключ. Відновити ключі з бази даних PostgreSQL або Microsoft SQL Server неможливо.


                                                                                                                                                   

                                                                                                                                                  Ми ніколи не маємо копії цього ключа. Ми не можемо допомогти, якщо ви її втратите.

                                                                                                                                                  Установіть OVA хоста HDS

                                                                                                                                                  Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
                                                                                                                                                  1.

                                                                                                                                                  Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi.

                                                                                                                                                  2.

                                                                                                                                                  Виберіть Файл > Розгорнути шаблон OVF .

                                                                                                                                                  3.

                                                                                                                                                  У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі .

                                                                                                                                                  4.

                                                                                                                                                  На Виберіть ім’я та папку сторінки, введіть a Ім’я віртуальної машини для вузла (наприклад, «HDS_ Node_ 1"), виберіть розташування, де може перебувати розгортання вузла віртуальної машини, а потім клацніть Далі .

                                                                                                                                                  5.

                                                                                                                                                  На Виберіть обчислювальний ресурс виберіть цільовий обчислювальний ресурс, а потім клацніть Далі .

                                                                                                                                                  Запускається перевірка. Після завершення відобразяться відомості про шаблон.

                                                                                                                                                  6.

                                                                                                                                                  Перевірте відомості шаблону й клацніть Далі .

                                                                                                                                                  7.

                                                                                                                                                  Якщо вас попросять вибрати конфігурацію ресурсу на Конфігурація сторінки, клацніть 4 ЦП а потім клацніть Далі .

                                                                                                                                                  8

                                                                                                                                                  На Виберіть сховище сторінки, клацніть Далі щоб прийняти формат диска за замовчуванням і політику сховища VM.

                                                                                                                                                  9

                                                                                                                                                  На Виберіть мережі виберіть мережевий параметр зі списку записів, щоб забезпечити потрібне підключення до VM.

                                                                                                                                                  10

                                                                                                                                                  На Налаштувати шаблон налаштуйте такі параметри мережі:

                                                                                                                                                  • Ім’я хоста —Введіть FQDN (ім’я хоста та домен) або ім’я хоста з одного слова для вузла.

                                                                                                                                                     
                                                                                                                                                    • Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.

                                                                                                                                                    • Щоб забезпечити успішну реєстрацію в хмарі, використовуйте лише малі символи в повному домені або імені хоста, які ви встановили для вузла. Наразі використання великих літер не підтримується.

                                                                                                                                                    • Загальна довжина FQDN не повинна перевищувати 64 символи.

                                                                                                                                                  • IP-адреса — Введіть IP-адресу для внутрішнього інтерфейсу вузла.

                                                                                                                                                     

                                                                                                                                                    Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

                                                                                                                                                  • Маска —Введіть адресу маски підмережі у вигляді десяткових крапок. Наприклад, 255.255.255.0 .
                                                                                                                                                  • Шлюз —Введіть IP-адресу шлюзу. Шлюз – це вузол мережі, який слугує точкою доступу до іншої мережі.
                                                                                                                                                  • Сервери DNS —Введіть розділений комами список серверів DNS, які обробляють перетворення імен доменів у числові IP-адреси. (Дозволено до 4 записів DNS.)
                                                                                                                                                  • Сервери NTP —Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Для введення кількох серверів NTP також можна використовувати список, розділений комами.
                                                                                                                                                  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними для клієнтів у вашій мережі з адміністративними цілями.

                                                                                                                                                  За бажанням можна пропустити конфігурацію мережевих параметрів і виконати інструкції Налаштуйте віртуальну машину гібридної безпеки даних щоб налаштувати параметри з консолі вузла.


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  11

                                                                                                                                                  Клацніть правою кнопкою миші вузол VM, а потім виберіть Потужність > Увімкнено .

                                                                                                                                                  Програмне забезпечення Hybrid Data Security встановлюється як гість на хості VM. Тепер ви готові ввійти на консоль і налаштувати вузол.

                                                                                                                                                  Поради з усунення несправностей

                                                                                                                                                  Перед відкриттям контейнерів вузлів може виникнути затримка в кілька хвилин. Повідомлення брандмауера мосту з’являється на консолі під час першого завантаження, під час якого ви не можете ввійти.

                                                                                                                                                  Налаштуйте віртуальну машину гібридної безпеки даних

                                                                                                                                                  Використовуйте цю процедуру, щоб уперше ввійти до консолі VM вузла гібридної безпеки даних і задати облікові дані для входу. Ви також можете використовувати консоль, щоб налаштувати параметри мережі для вузла, якщо ви не налаштували їх під час розгортання OVA.

                                                                                                                                                  1.

                                                                                                                                                  У клієнті VMware vSphere виберіть свою віртуальну машину вузла гібридної безпеки даних і виберіть Консоль вкладка.

                                                                                                                                                  ВМ завантажиться, і з’явиться запит щодо входу. Якщо запит щодо входу не відображається, натисніть Введіть .
                                                                                                                                                  2.

                                                                                                                                                  Використовуйте такі логін і пароль за замовчуванням для входу та зміни облікових даних:

                                                                                                                                                  1. Вхід: admin

                                                                                                                                                  2. Пароль: cisco

                                                                                                                                                  Оскільки ви вперше входите на свою віртуальну машину, вам потрібно змінити пароль адміністратора.

                                                                                                                                                  3.

                                                                                                                                                  Якщо ви вже налаштували параметри мережі в Установіть OVA хоста HDS , пропустіть решту цієї процедури. В іншому разі в головному меню виберіть Змінити конфігурацію параметр.

                                                                                                                                                  4.

                                                                                                                                                  Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

                                                                                                                                                  5.

                                                                                                                                                  (Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно, щоб вони відповідали вашій політиці мережі.

                                                                                                                                                  Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.

                                                                                                                                                  6.

                                                                                                                                                  Збережіть конфігурацію мережі та перезавантажте віртуальну машину, щоб зміни набули сили.

                                                                                                                                                  Вивантажте та підключіть ISO конфігурації HDS

                                                                                                                                                  Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою засобу налаштування HDS.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Оскільки файл ISO містить основний ключ, його потрібно надавати лише в разі необхідності для доступу віртуальних машин гібридної безпеки даних і всіх адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

                                                                                                                                                  1.

                                                                                                                                                  Передайте файл ISO з комп’ютера:

                                                                                                                                                  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

                                                                                                                                                  2. У списку обладнання на вкладці Конфігурація клацніть Зберігання .

                                                                                                                                                  3. У списку сховища даних клацніть правою кнопкою миші сховище даних для ваших віртуальних машин і клацніть Огляд сховища даних .

                                                                                                                                                  4. Клацніть значок Передати файли, а потім клацніть Передати файл .

                                                                                                                                                  5. Перейдіть до розташування, куди ви завантажили файл ISO на комп’ютер, і клацніть Відкрити .

                                                                                                                                                  6. Клацніть Так щоб прийняти попередження про операцію передавання/завантаження, і закрийте діалогове вікно сховища даних.

                                                                                                                                                  2.

                                                                                                                                                  Підключіть файл ISO:

                                                                                                                                                  1. На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.

                                                                                                                                                  2. Клацніть OK щоб прийняти попередження про обмеження параметрів редагування.

                                                                                                                                                  3. Клацніть CD/DVD Drive 1, виберіть параметр для підключення з ISO-файлу сховища даних і перейдіть до розташування, куди ви передали ISO-файл конфігурації.

                                                                                                                                                  4. Перевірте Підключено і Підключіться після ввімкнення .

                                                                                                                                                  5. Збережіть зміни та перезавантажте віртуальну машину.

                                                                                                                                                  Що далі

                                                                                                                                                  Якщо цього вимагає політика ІТ, ви можете додатково відключити файл ISO після того, як усі вузли отримають зміни конфігурації. Див (Необов’язково) Відключіть ISO після конфігурації HDS для отримання додаткової інформації.

                                                                                                                                                  Налаштуйте вузол HDS для інтеграції проксі

                                                                                                                                                  Якщо мережеве середовище вимагає проксі, скористайтеся цією процедурою, щоб указати тип проксі, який потрібно інтегрувати з гібридною безпекою даних. Якщо ви виберете прозорий перевіряючий проксі або явний проксі HTTPS, можна використовувати інтерфейс вузла для передавання та встановлення кореневого сертифіката. Ви також можете перевірити підключення проксі в інтерфейсі та усунути будь-які потенційні проблеми.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  1.

                                                                                                                                                  Введіть URL-адресу налаштування вузла HDS https://[HDS Node IP or FQDN]/setup у веббраузері введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .

                                                                                                                                                  2.

                                                                                                                                                  Перейти до Сховище довіри та проксі , а потім виберіть параметр:

                                                                                                                                                  • Немає проксі — Параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібно.
                                                                                                                                                  • Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.
                                                                                                                                                  • Прозорий перевіряючий проксі —Вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних змінювати конфігурацію HTTPS не потрібно, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
                                                                                                                                                  • Явний проксі — За допомогою явного проксі ви вказуєте клієнту (вузли HDS), який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести таку інформацію:
                                                                                                                                                    1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.

                                                                                                                                                    2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.

                                                                                                                                                    3. Протокол проксі —Вибрати http (переглядає й керує всіма запитами, отриманими від клієнта) або https (надає канал до сервера, а клієнт отримує та перевіряє сертифікат сервера). Виберіть параметр залежно від того, що підтримує ваш проксі-сервер.

                                                                                                                                                    4. Тип автентифікації — Виберіть один із таких типів автентифікації:

                                                                                                                                                      • Немає — подальша автентифікація не потрібна.

                                                                                                                                                        Доступно для проксі-серверів HTTP або HTTPS.

                                                                                                                                                      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.

                                                                                                                                                        Доступно для проксі-серверів HTTP або HTTPS.

                                                                                                                                                        Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль.

                                                                                                                                                      • Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.

                                                                                                                                                        Доступно лише для проксі-серверів HTTPS.

                                                                                                                                                        Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль.

                                                                                                                                                  Виконайте наступні кроки для проксі-сервера з перевіркою, проксі-сервера з явним доступом HTTP з базовою автентифікацією або явним проксі-сервером HTTPS.

                                                                                                                                                  3.

                                                                                                                                                  Клацніть Передати кореневий сертифікат або сертифікат кінцевого запису , а потім перейдіть до виберіть кореневий сертифікат для проксі.

                                                                                                                                                  Сертифікат передано, але його ще не встановлено, оскільки для встановлення сертифіката необхідно перезавантажити вузол. Клацніть стрілку в формі шеврону біля імені емітента сертифіката, щоб отримати додаткову інформацію, або клацніть Видалити якщо ви зробили помилку й хочете повторно передати файл.

                                                                                                                                                  4.

                                                                                                                                                  Клацніть Перевірте підключення проксі щоб перевірити підключення до мережі між вузлом і проксі.

                                                                                                                                                  Якщо перевірку підключення не вдалося виконати, ви побачите повідомлення про помилку, у якому буде вказано причину та способи виправлення проблеми.

                                                                                                                                                  Якщо відображається повідомлення про помилку розв’язання зовнішнього DNS, вузлу не вдалося зв’язатися з сервером DNS. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол функціонуватиме в режимі роздільної здатності заблокованого зовнішнього DNS. Якщо ви вважаєте, що це помилка, виконайте ці кроки, а потім перегляньте Вимкніть режим роздільної здатності заблокованого зовнішнього DNS .

                                                                                                                                                  5.

                                                                                                                                                  Після завершення перевірки підключення для явного проксі, установленого лише на https, увімкніть перемикач Маршрутизувати всі запити HTTPS на порт 443/444 від цього вузла через явний проксі-сервер . Це налаштування набуде чинності через 15 секунд.

                                                                                                                                                  6.

                                                                                                                                                  Клацніть Установіть усі сертифікати в сховище довіри (з’являється для явного проксі HTTPS або прозорого проксі-сервера для перевірки) або Перезавантажте (з’являється для явного проксі-сервера HTTP), прочитайте підказку, а потім клацніть Установити якщо ви готові.

                                                                                                                                                  Вузол перезавантажиться за кілька хвилин.

                                                                                                                                                  7.

                                                                                                                                                  Після перезавантаження вузла за потреби ввійдіть ще раз, а потім відкрийте файл Огляд сторінку, щоб перевірити перевірки підключення та переконатися, що всі вони мають зелений стан.

                                                                                                                                                  Перевірка підключення до проксі перевіряє лише субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі з хмарних доменів, перелічених в інструкціях зі встановлення, блокуються на проксі.

                                                                                                                                                  Зареєструйте перший вузол у кластері

                                                                                                                                                  Це завдання використовує загальний вузол, який ви створили в Налаштуйте віртуальну машину гібридної безпеки даних , реєструє вузол у хмарі Webex і перетворює його на вузол гібридної безпеки даних.

                                                                                                                                                  Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначено цей вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.

                                                                                                                                                  • Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у https://admin.webex.com.

                                                                                                                                                  2.

                                                                                                                                                  У меню ліворуч на екрані виберіть Служби .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування .

                                                                                                                                                  З’явиться сторінка Реєстрація вузла безпеки гібридних даних.
                                                                                                                                                  4.

                                                                                                                                                  Виберіть Так , щоб зазначити, що ви налаштували вузол і готові його зареєструвати, а потім клацніть Далі .

                                                                                                                                                  5.

                                                                                                                                                  У першому полі введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних.

                                                                                                                                                  Рекомендовано призначати кластеру залежно від географічного розташування вузлів кластера. Приклади. "Сан-Франциско", "Нью-Йорк" або "Даллас"

                                                                                                                                                  6.

                                                                                                                                                  У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі .

                                                                                                                                                  Ця IP-адреса або повне доменне ім’я має збігатися з IP-адресою або іменем хоста й доменом, які ви використовували Налаштуйте віртуальну машину гібридної безпеки даних .

                                                                                                                                                  З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у Webex.
                                                                                                                                                  7.

                                                                                                                                                  Клацніть Перейдіть до Node .

                                                                                                                                                  8

                                                                                                                                                  Клацніть Продовжити у попередженні.

                                                                                                                                                  Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Тут ви підтверджуєте, що хочете надати дозволи організації Webex на доступ до вашого вузла.
                                                                                                                                                  9

                                                                                                                                                  Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити .

                                                                                                                                                  Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
                                                                                                                                                  10

                                                                                                                                                  Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub.

                                                                                                                                                  На Гібридна безпека даних на сторінці, відображається новий кластер, що містить зареєстрований вами вузол. Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

                                                                                                                                                  Створіть і зареєструйте більше вузлів

                                                                                                                                                  Щоб додати додаткові вузли до кластера, потрібно просто створити додаткові віртуальні машини та підключити той самий файл конфігурації, а потім зареєструвати вузол. Рекомендовано мати принаймні 3 вузли.

                                                                                                                                                   

                                                                                                                                                  Зараз резервні VM, які ви створили Виконайте обов’язкові умови для гібридної безпеки даних резервні хости, які використовуються лише в разі аварійного відновлення; вони не зареєстровані в системі до цього часу. Докладніше див Аварійне відновлення за допомогою резервного центру обробки даних .

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.

                                                                                                                                                  • Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

                                                                                                                                                  1.

                                                                                                                                                  Створіть нову віртуальну машину з OVA, повторивши кроки в Установіть OVA хоста HDS .

                                                                                                                                                  2.

                                                                                                                                                  Налаштуйте початкову конфігурацію на новій віртуальній машині, повторивши кроки в Налаштуйте віртуальну машину гібридної безпеки даних .

                                                                                                                                                  3.

                                                                                                                                                  На новій віртуальній машині повторіть кроки в Вивантажте та підключіть ISO конфігурації HDS .

                                                                                                                                                  4.

                                                                                                                                                  Якщо ви налаштовуєте проксі для свого розгортання, повторіть кроки в розділі Налаштуйте вузол HDS для інтеграції проксі за потребою для нового вузла.

                                                                                                                                                  5.

                                                                                                                                                  Зареєструйте вузол.

                                                                                                                                                  1. Уhttps://admin.webex.com , виберіть Служби з меню в лівій частині екрана.

                                                                                                                                                  2. У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Ресурси .

                                                                                                                                                    З’явиться сторінка ресурсів безпеки гібридних даних.
                                                                                                                                                  3. Клацніть Додати ресурс .

                                                                                                                                                  4. У першому полі виберіть ім’я наявного кластера.

                                                                                                                                                  5. У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі .

                                                                                                                                                    З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у хмарі Webex.
                                                                                                                                                  6. Клацніть Перейдіть до Node .

                                                                                                                                                    Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Там ви підтверджуєте, що хочете надати дозволи вашій організації на доступ до вашого вузла.
                                                                                                                                                  7. Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити .

                                                                                                                                                    Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
                                                                                                                                                  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub.

                                                                                                                                                  Ваш вузол зареєстровано. Зауважте, що поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

                                                                                                                                                  Що далі

                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)
                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії

                                                                                                                                                  Потік завдань із пробної версії до виробничого

                                                                                                                                                  Після налаштування кластера гібридної безпеки даних можна запустити пілот, додати до нього користувачів і почати використовувати його для тестування та перевірки розгортання під час підготовки до переходу до робочої версії.

                                                                                                                                                  1.

                                                                                                                                                  Якщо можливо, синхронізуйте HdsTrialGroup об’єкт групи.

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати HdsTrialGroup груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію. Інструкції див Посібник із розгортання для Cisco Directory Connector.

                                                                                                                                                  2.

                                                                                                                                                  Активувати ознайомлювальну версію

                                                                                                                                                  Почніть пробну версію. Поки ви не виконаєте це завдання, ваші вузли створять попередження, що вказує на те, що служба ще не активована.

                                                                                                                                                  3.

                                                                                                                                                  Перевірте розгортання гібридної безпеки даних

                                                                                                                                                  Перевірте, чи передаються запити на ключ до розгортання гібридної безпеки даних.

                                                                                                                                                  4.

                                                                                                                                                  Моніторинг працездатності гібридної безпеки даних

                                                                                                                                                  Перевірте стан і налаштуйте сповіщення електронною поштою для попереджень.

                                                                                                                                                  5.

                                                                                                                                                  Додавання або видалення користувачів із пробної версії

                                                                                                                                                  6.

                                                                                                                                                  Завершіть ознайомлювальну фазу, виконавши одну з таких дій:

                                                                                                                                                  Активувати ознайомлювальну версію

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати HdsTrialGroup груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію для вашої організації. Інструкції див Посібник із розгортання для Cisco Directory Connector.

                                                                                                                                                  1.

                                                                                                                                                  Увійти вhttps://admin.webex.com , а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Стан служби клацніть Почати пробну версію .

                                                                                                                                                  Стан служби змінюється на ознайомлювальний режим.
                                                                                                                                                  4.

                                                                                                                                                  Клацніть Додати користувачів і введіть адресу електронної пошти одного або кількох користувачів, які будуть використовувати ваші вузли гібридної безпеки даних для служб шифрування та індексування.

                                                                                                                                                  (Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory для керування ознайомлювальною групою, HdsTrialGroup.)

                                                                                                                                                  Перевірте розгортання гібридної безпеки даних

                                                                                                                                                  Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Налаштуйте розгортання гібридної безпеки даних.

                                                                                                                                                  • Активуйте ознайомлювальну версію та додайте кілька користувачів пробної версії.

                                                                                                                                                  • Переконайтеся, що у вас є доступ до системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

                                                                                                                                                  1.

                                                                                                                                                  Ключі для певного простору встановлюються його творцем. Увійдіть у програму Webex як один із пілотних користувачів, а потім створіть простір і запросіть принаймні одного пілотного користувача та одного не пілотного користувача.


                                                                                                                                                   

                                                                                                                                                  Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюють пілотні користувачі, стане недоступним після заміни кешованих клієнтом копій ключів шифрування.

                                                                                                                                                  2.

                                                                                                                                                  Надсилайте повідомлення в новий простір.

                                                                                                                                                  3.

                                                                                                                                                  Перевірте вивід системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

                                                                                                                                                  1. Щоб перевірити, чи є користувач, який спочатку встановлює безпечний канал до KMS, увімкніть фільтр kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис (ідентифікатори скорочені для читабельності):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Щоб перевірити наявність користувача, який запитує наявний ключ із KMS, увімкніть фільтр kms.data.method=retrieve і kms.data.type=KEY.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Щоб перевірити, чи є користувач із запитом щодо створення нового ключа KMS, увімкніть фільтр kms.data.method=create і kms.data.type=KEY_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Щоб перевірити, чи немає користувача, який подав запит щодо створення нового ресурсного об’єкта KMS (KRO), коли створюється простір або інший захищений ресурс, відфільтруйте kms.data.method=create і kms.data.type=RESOURCE_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Моніторинг працездатності гібридної безпеки даних

                                                                                                                                                  Індикатор стану в Control Hub показує, чи все гаразд із розгортанням гібридної безпеки даних. Щоб отримати більше проактивних сповіщень, зареєструйтеся на отримання сповіщень електронною поштою. Ви отримаєте сповіщення про попередження, що впливають на службу, або оновлення програмного забезпечення.
                                                                                                                                                  1.

                                                                                                                                                  У Control Hub , виберіть Служби з меню в лівій частині екрана.

                                                                                                                                                  2.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування .

                                                                                                                                                  З’явиться сторінка параметрів безпеки гібридних даних.
                                                                                                                                                  3.

                                                                                                                                                  У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділені комами, і натисніть Введіть .

                                                                                                                                                  Додавання або видалення користувачів із пробної версії

                                                                                                                                                  Після активації пробної версії й додавання початкового набору користувачів пробної версії можна додавати або видаляти учасників пробної версії будь-коли, поки пробна версія активна.

                                                                                                                                                  Якщо видалити користувача з ознайомлювальної версії, клієнт цього користувача запитуватиме ключі та створення ключів із хмарного KMS замість вашої KMS. Якщо клієнту потрібен ключ, який зберігається у вашій KMS, хмарний KMS отримає його від імені користувача.

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory (замість цієї процедури) для керування ознайомлювальною групою, HdsTrialGroup; Ви можете переглядати учасників групи в Control Hub, але не можете додавати або видаляти їх.

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі «Ознайомлювальний режим» області стану служби клацніть Додати користувачів або клацніть переглянути та змінити щоб видалити користувачів із пробної версії.

                                                                                                                                                  4.

                                                                                                                                                  Введіть адресу електронної пошти одного або кількох користувачів, яких потрібно додати, або клацніть X за допомогою ідентифікатора користувача, щоб видалити користувача з ознайомлювальної версії. Потім натисніть Зберегти.

                                                                                                                                                  Перейдіть із пробної версії до робочої версії

                                                                                                                                                  Коли ви переконаєтеся, що ваше розгортання працює добре для користувачів пробної версії, можна перейти до робочої версії. Після переходу до робочої версії всі користувачі в організації використовуватимуть ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Неможливо повернутися до ознайомлювального режиму з робочої версії, якщо ви не деактивуєте службу в рамках відновлення після аварій. Для повторної активації служби потрібно налаштувати нову ознайомлювальну версію.
                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Стан служби клацніть Перейти до робочої версії .

                                                                                                                                                  4.

                                                                                                                                                  Підтвердьте, що хочете перемістити всіх користувачів у робочу версію.

                                                                                                                                                  Завершіть ознайомлювальну версію, не переходячи на робочу версію

                                                                                                                                                  Якщо під час використання пробної версії ви вирішите не продовжувати розгортання гібридної безпеки даних, можна деактивувати гібридну безпеку даних, що завершить ознайомлювальну версію й перемістить користувачів пробної версії назад до хмарних служб безпеки даних. Користувачі пробної версії втратять доступ до даних, які були зашифровані під час пробної версії.
                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Деактивувати клацніть Деактивувати .

                                                                                                                                                  4.

                                                                                                                                                  Підтвердьте, що хочете деактивувати службу, і завершите ознайомлювальну версію.

                                                                                                                                                  Керуйте своїм розгортанням HDS

                                                                                                                                                  Керуйте розгортанням HDS

                                                                                                                                                  Використовуйте описані тут завдання, щоб керувати розгортанням гібридної безпеки даних.

                                                                                                                                                  Установіть розклад оновлення кластерів

                                                                                                                                                  Оновлення програмного забезпечення для гібридної безпеки даних виконується автоматично на рівні кластера, що гарантує, що на всіх вузлах завжди запущено ту саму версію програмного забезпечення. Оновлення версії виконуються відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стає доступним, у вас є можливість оновити кластер вручну до запланованого часу оновлення. Можна задати конкретний розклад оновлення версії або використовувати розклад за замовчуванням о 3:00 щодня (США): Америка/Лос-Анджелес. За потреби можна також відкласти майбутнє оновлення версії.

                                                                                                                                                  Щоб установити розклад оновлення:

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть в Control Hub.

                                                                                                                                                  2.

                                                                                                                                                  На сторінці "Огляд" у розділі "Гібридні служби" виберіть Гібридна безпека даних .

                                                                                                                                                  3.

                                                                                                                                                  На сторінці Ресурси безпеки гібридних даних виберіть кластер.

                                                                                                                                                  4.

                                                                                                                                                  На панелі «Огляд» праворуч у розділі «Налаштування кластера» виберіть ім’я кластера.

                                                                                                                                                  5.

                                                                                                                                                  На сторінці налаштувань у розділі «Оновлення» виберіть час і часовий пояс для розкладу оновлення.

                                                                                                                                                  Примітка. Під часовим поясом відображається наступна доступна дата й час оновлення версії. За потреби можна відкласти оновлення версії на наступний день, натиснувши Відкласти .

                                                                                                                                                  Змініть конфігурацію вузла

                                                                                                                                                  Іноді вам може знадобитися змінити конфігурацію вузла Hybrid Data Security з такої причини, як:
                                                                                                                                                  • Зміна сертифікатів x.509 через закінчення терміну дії або з інших причин.


                                                                                                                                                     

                                                                                                                                                    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовувався для реєстрації кластера.

                                                                                                                                                  • Оновлення налаштувань бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ми не підтримуємо перенесення даних з PostgreSQL на Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, запустіть нове розгортання Hybrid Data Security.

                                                                                                                                                  • Створення нової конфігурації для підготовки нового дата-центру.

                                                                                                                                                  Крім того, в цілях безпеки Hybrid Data Security використовує паролі облікових записів, які мають дев 'ятимісячний термін служби. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з вузлів HDS у файлі конфігурації ISO. Коли термін дії паролів вашої організації наближається до закінчення, ви отримуєте сповіщення від команди Webex про скидання пароля для облікового запису вашого комп 'ютера. (Електронний лист містить текст: «Використовуйте API облікового запису машини для оновлення пароля.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

                                                                                                                                                  • М 'яке скидання- старий і новий паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

                                                                                                                                                  • Hard Reset- старі паролі негайно перестають працювати.

                                                                                                                                                  Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

                                                                                                                                                  Використовуйте цю процедуру, щоб створити новий файл ISO конфігурації та застосувати його до вашого кластера.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Центру керування з повними правами адміністратора для вашої організації.

                                                                                                                                                    Якщо інструмент налаштування HDS працює за допомогою проксі у вашому середовищі, укажіть налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час відображення контейнера Docker у 1.e . У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі з аутентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Для створення нової конфігурації потрібна копія поточного файлу конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Під час внесення змін до конфігурації, включаючи облікові дані бази даних, оновлення сертифікатів або зміни політики авторизації, потрібно використовувати ISO.

                                                                                                                                                  1.

                                                                                                                                                  Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

                                                                                                                                                  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

                                                                                                                                                    У звичайних умовах:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Цей крок очищає попередні зображення інструментів налаштування HDS. Якщо попередніх зображень немає, він повертає помилку, яку можна проігнорувати.

                                                                                                                                                  2. Щоб увійти до реєстру Docker-образів, введіть наступне:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. У підказці пароля введіть цей хеш:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Завантажте останнє стабільне зображення для вашого середовища:

                                                                                                                                                    У звичайних умовах:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Переконайтеся, що ви витягли останній інструмент налаштування для цієї процедури. Версії інструменту, створені до 22 лютого 2018 року, не мають екранів для скидання пароля.

                                                                                                                                                  5. Після завершення витягування введіть відповідну команду для вашого середовища:

                                                                                                                                                    • У звичайних середовищах без проксі-сервера:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах з HTTP-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах із HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У середовищах FedRAMP без проксі-сервера:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з HTTP-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з HTTPS-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

                                                                                                                                                  6. Використовуйте браузер для підключення до локального вузла, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Інструмент налаштування не підтримує підключення до локального хосту http://localhost:8080. використання http://127.0.0.1:8080 для підключення до локального хосту.

                                                                                                                                                  7. Коли з 'явиться запит, введіть облікові дані для входу в Центр керування клієнтами, а потім натисніть "Прийняти", щоб продовжити.

                                                                                                                                                  8. Імпортуйте поточний файл конфігурації ISO.

                                                                                                                                                  9. Дотримуйтесь вказівок, щоб завершити інструмент і завантажити оновлений файл.

                                                                                                                                                    Щоб вимкнути інструмент налаштування, введіть CTRL+C.

                                                                                                                                                  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

                                                                                                                                                  2.

                                                                                                                                                  Якщо у вас працює лише один вузол HDS, створіть нову віртуальну машину з гібридною системою безпеки даних і зареєструйте її за допомогою нового файлу конфігурації ISO. Докладні інструкції див Створіть і зареєструйте більше вузлів .

                                                                                                                                                  1. Встановіть HDS хост OVA.

                                                                                                                                                  2. Налаштуйте HDS VM.

                                                                                                                                                  3. Змонтуйте оновлений файл конфігурації.

                                                                                                                                                  4. Зареєструйте новий вузол в Control Hub.

                                                                                                                                                  3.

                                                                                                                                                  Для існуючих вузлів HDS, які працюють зі старим файлом конфігурації, монтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

                                                                                                                                                  1. Вимкніть віртуальну машину.

                                                                                                                                                  2. На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.

                                                                                                                                                  3. Клацніть CD/DVD Drive 1, виберіть параметр для монтування з файлу ISO і перейдіть до місця, де ви завантажили новий файл конфігурації ISO.

                                                                                                                                                  4. Перевірте підключення при увімкненому живленні.

                                                                                                                                                  5. Збережіть зміни та ввімкніть віртуальну машину.

                                                                                                                                                  4.

                                                                                                                                                  Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, що працює за старою конфігурацією.

                                                                                                                                                  Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі вузла, процес перевіряє пошук DNS і можливість підключення до хмари Cisco Webex. Якщо сервер DNS вузла не може дозволити загальнодоступні імена DNS, вузол автоматично переходить у режим роздільної здатності заблокованого зовнішнього DNS.

                                                                                                                                                  Якщо ваші вузли здатні дозволяти публічні імена DNS через внутрішні сервери DNS, можна вимкнути цей режим, повторно запустивши перевірку підключення до проксі на кожному вузлі.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Переконайтеся, що ваші внутрішні сервери DNS можуть дозволяти загальнодоступні імена DNS і що ваші вузли можуть зв’язуватися з ними.
                                                                                                                                                  1.

                                                                                                                                                  У веббраузері відкрийте інтерфейс вузла Hybrid Data Security (IP-адреса/налаштування, наприклад,https://192.0.2.0/setup), введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .

                                                                                                                                                  2.

                                                                                                                                                  Перейти до Огляд (сторінка за замовчуванням).

                                                                                                                                                  Якщо ввімкнено, для параметра Blocked External DNS Resolution (Заблокована зовнішня роздільна здатність DNS) встановлено значення

                                                                                                                                                  3.

                                                                                                                                                  Перейдіть до Сховище довіри та проксі сторінка.

                                                                                                                                                  4.

                                                                                                                                                  Клацніть Перевірте підключення проксі .

                                                                                                                                                  Якщо з’явиться повідомлення про помилку розв’язання зовнішнього DNS, вузол не зміг зв’язатися з сервером DNS і залишиться в цьому режимі. В іншому разі після перезавантаження вузла й повернення до Огляд сторінки, роздільна здатність заблокованого зовнішнього DNS має бути встановлена на no.

                                                                                                                                                  Що далі

                                                                                                                                                  Повторіть перевірку підключення до проксі на кожному вузлі в кластері гібридної безпеки даних.

                                                                                                                                                  Видалити вузол

                                                                                                                                                  Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
                                                                                                                                                  1.

                                                                                                                                                  Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi та вимкнути віртуальну машину.

                                                                                                                                                  2.

                                                                                                                                                  Видалити вузол:

                                                                                                                                                  1. Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів безпеки гібридних даних.

                                                                                                                                                  3. Виберіть кластер, щоб відобразити панель «Огляд».

                                                                                                                                                  4. Клацніть Відкрити список вузлів .

                                                                                                                                                  5. На вкладці Вузли виберіть вузол, який потрібно видалити.

                                                                                                                                                  6. Клацніть Дії > Скасувати реєстрацію вузла .

                                                                                                                                                  3.

                                                                                                                                                  У клієнті vSphere видаліть віртуальну машину. (На панелі переходів ліворуч клацніть VM правою кнопкою миші й клацніть Видалити .)

                                                                                                                                                  Якщо ви не видалите віртуальну машину, не забудьте відключити файл ISO конфігурації. Без файлу ISO ви не зможете використовувати віртуальну машину для доступу до даних безпеки.

                                                                                                                                                  Аварійне відновлення за допомогою резервного центру обробки даних

                                                                                                                                                  Найважливіша служба, яку надає кластер гібридної безпеки даних, — це створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, якого призначено до гібридної безпеки даних, запити на створення нових ключів маршрутизуються до кластера. Кластер також відповідає за повернення створених ним ключів будь-яким користувачам, уповноваженим на їх отримання, наприклад учасникам простору розмови.

                                                                                                                                                  Оскільки кластер виконує критичну функцію надання цих ключів, важливо, щоб кластер продовжував працювати та підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕВІДПОВІДАННЯ ВТРАТИ контенту клієнта. Щоб запобігти такій втраті, необхідно дотримуватися наведених нижче дій.

                                                                                                                                                  Якщо внаслідок стихійного лиха розгортання HDS в основному центрі обробки даних стає недоступним, виконайте цю процедуру, щоб вручну перейти до резервного центру обробки даних.

                                                                                                                                                  1.

                                                                                                                                                  Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

                                                                                                                                                  2.

                                                                                                                                                  Після налаштування сервера Syslogd клацніть Розширені налаштування

                                                                                                                                                  3.

                                                                                                                                                  На Розширені налаштування сторінку, додайте конфігурацію нижче або видаліть passiveMode конфігурації, щоб зробити вузол активним. Після налаштування вузол може обробляти трафік.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4.

                                                                                                                                                  Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

                                                                                                                                                  5.

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  6.

                                                                                                                                                  На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування. .

                                                                                                                                                  7.

                                                                                                                                                  Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.


                                                                                                                                                   

                                                                                                                                                  Переконайтеся, що Підключено і Підключіться після ввімкнення перевірено, щоб оновлені зміни конфігурації набули чинності після запуску вузлів.

                                                                                                                                                  8

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

                                                                                                                                                  9

                                                                                                                                                  Повторіть процес для кожного вузла в резервному центрі обробки даних.


                                                                                                                                                   

                                                                                                                                                  Перевірте вивід системного журналу, щоб переконатися, що вузли резервного центру обробки даних не перебувають у пасивному режимі. "KMS налаштовано в пасивному режимі" не має відображатися в системних журналах.

                                                                                                                                                  Що далі

                                                                                                                                                  Якщо після відмови основний центр обробки даних знову стане активним, переведіть резервний центр обробки даних у пасивний режим знову, виконавши дії, описані в Налаштуйте резервний центр обробки даних для аварійного відновлення .

                                                                                                                                                  (Необов’язково) Відключіть ISO після конфігурації HDS

                                                                                                                                                  Стандартна конфігурація HDS працює з установленим ISO. Однак деякі клієнти вважають за краще не залишати файли ISO безперервно підключеними. Можна відключити файл ISO після того, як усі вузли HDS отримають нову конфігурацію.

                                                                                                                                                  Ви все ще використовуєте файли ISO для внесення змін конфігурації. Коли ви створюєте новий ISO або оновлюєте ISO за допомогою інструмента налаштування, ви повинні підключити оновлений ISO на всіх вузлах HDS. Після того як усі ваші вузли приймуть зміни конфігурації, ви можете знову відключити ISO за допомогою цієї процедури.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Оновіть усі вузли HDS до версії 2021.01.22.4720 або пізнішої.

                                                                                                                                                  1.

                                                                                                                                                  Вимкніть один із вузлів HDS.

                                                                                                                                                  2.

                                                                                                                                                  У vCenter Server Appliance виберіть вузол HDS.

                                                                                                                                                  3.

                                                                                                                                                  Виберіть Змінити налаштування > CD/DVD-привід і зніміть прапорець Файл ISO сховища даних .

                                                                                                                                                  4.

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що попередження немає принаймні 20 хвилин.

                                                                                                                                                  5.

                                                                                                                                                  Повторіть по черзі для кожного вузла HDS.

                                                                                                                                                  Усунення проблем гібридної безпеки даних

                                                                                                                                                  Перегляд сповіщень і усунення несправностей

                                                                                                                                                  Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що запитує тайм-аут. Якщо користувачі не можуть підключитися до кластера гібридної безпеки даних, у них з’являються такі ознаки:

                                                                                                                                                  • Неможливо створити нові простори (неможливо створити нові ключі)

                                                                                                                                                  • Не вдалося розшифрувати повідомлення та назви просторів для:

                                                                                                                                                    • До простору додано нових користувачів (не вдається отримати ключі)

                                                                                                                                                    • Наявні користувачі в просторі, що використовують нового клієнта (не вдається отримати ключі)

                                                                                                                                                  • Наявні користувачі в просторі продовжуватимуть успішно працювати, доки їхні клієнти мають кеш ключів шифрування.

                                                                                                                                                  Важливо належним чином відстежувати кластер гібридної безпеки даних і своєчасно виправляти будь-які сповіщення, щоб уникнути перебоїв у роботі служби.

                                                                                                                                                  Сповіщення

                                                                                                                                                  Якщо виникла проблема з налаштуванням гібридної безпеки даних, Control Hub відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато поширених сценаріїв.

                                                                                                                                                  Таблиця 1. Загальні проблеми та кроки до їх вирішення

                                                                                                                                                  Оповіщення

                                                                                                                                                  Дія

                                                                                                                                                  Помилка доступу до локальної бази даних.

                                                                                                                                                  Перевірте помилки бази даних або проблеми з локальною мережею.

                                                                                                                                                  Помилка підключення до локальної бази даних.

                                                                                                                                                  Переконайтеся, що сервер бази даних доступний, а в конфігурації вузла використано правильні облікові дані облікового запису служби.

                                                                                                                                                  Помилка доступу до хмарної служби.

                                                                                                                                                  Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього підключення .

                                                                                                                                                  Поновлення реєстрації хмарної служби.

                                                                                                                                                  Реєстрацію в хмарних службах перервано. Триває поновлення реєстрації.

                                                                                                                                                  Реєстрацію хмарної служби зупинено.

                                                                                                                                                  Реєстрацію в хмарних службах припинено. Служба завершується.

                                                                                                                                                  Службу ще не активовано.

                                                                                                                                                  Активуйте ознайомлювальну версію або завершите переміщення пробної версії до робочої версії.

                                                                                                                                                  Налаштований домен не відповідає сертифікату сервера.

                                                                                                                                                  Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

                                                                                                                                                  Найімовірніша причина полягає в тому, що CN сертифіката було нещодавно змінено, і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

                                                                                                                                                  Не вдалося автентифікуватися в хмарних службах.

                                                                                                                                                  Перевірте точність і можливе закінчення терміну дії облікових даних облікового запису служби.

                                                                                                                                                  Не вдалося відкрити файл локального сховища ключів.

                                                                                                                                                  Перевірте цілісність і точність пароля у файлі локального сховища ключів.

                                                                                                                                                  Сертифікат локального сервера неприпустимий.

                                                                                                                                                  Перевірте дату закінчення терміну дії сертифіката сервера та переконайтеся, що його видано довіреним центром сертифікації.

                                                                                                                                                  Не вдалося опублікувати показники.

                                                                                                                                                  Перевірте доступ локальної мережі до зовнішніх хмарних служб.

                                                                                                                                                  /media/configdrive/hds не існує.

                                                                                                                                                  Перевірте конфігурацію монтування ISO на віртуальному хості. Переконайтеся, що файл ISO існує, що його налаштовано на підключення під час перезавантаження та що він успішно підключений.

                                                                                                                                                  Усунення проблем гібридної безпеки даних

                                                                                                                                                  Використовуйте наведені далі загальні інструкції під час усунення проблем із гібридною безпекою даних.
                                                                                                                                                  1.

                                                                                                                                                  Перевірте Control Hub на наявність сповіщень і виправте будь-які елементи, які ви там знайдете.

                                                                                                                                                  2.

                                                                                                                                                  Перевірте вивід сервера системного журналу щодо активності розгортання гібридної безпеки даних.

                                                                                                                                                  3.

                                                                                                                                                  Контакт Підтримка Cisco .

                                                                                                                                                  Інші примітки

                                                                                                                                                  Відомі проблеми безпеки гібридних даних

                                                                                                                                                  • Якщо ви завершите роботу кластера гібридної безпеки даних (шляхом видалення його в Control Hub або закривши всі вузли), втратите файл ISO конфігурації або втратите доступ до бази даних сховища ключів, користувачі програми Webex більше не зможуть використовувати простори в розділі "Контакти". список, створений за допомогою ключів із KMS. Це стосується як пробного, так і робочого розгортання. Наразі ми не маємо обхідних шляхів або виправлення цієї проблеми. Ми закликаємо вас не закривати служби HDS після того, як вони оброблятимуть активні облікові записи користувачів.

                                                                                                                                                  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом певного періоду часу (імовірно, однієї години). Коли користувач стає учасником ознайомлювальної версії гібридної безпеки даних, клієнт користувача продовжує використовувати наявне підключення ECDH, доки не завершиться час очікування. Крім того, користувач може вийти та знову ввійти в програму Webex, щоб оновити розташування, до якого програма звертається для отримання ключів шифрування.

                                                                                                                                                    Така ж поведінка відбувається під час переміщення пробної версії до робочої версії для організації. Усі користувачі без пробної версії, які мають наявні підключення ECDH до попередніх служб безпеки даних, продовжуватимуть використовувати ці служби, доки не буде переузгоджено підключення ECDH (через тайм-аут або вихід із системи та повторний вхід).

                                                                                                                                                  Використовуйте OpenSSL для створення файлу PKCS12

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • OpenSSL — це один із інструментів, який можна використовувати для створення файлу PKCS12 у відповідному форматі для завантаження в інструменті налаштування HDS. Це можна зробити й іншими способами. Ми не підтримуємо й не рекламуємо один із них.

                                                                                                                                                  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, яка допоможе вам створити файл, який відповідає вимогам до сертифіката X.509 у Вимоги до сертифіката X.509 . Ознайомтеся з цими вимогами, перш ніж продовжити.

                                                                                                                                                  • Установіть OpenSSL у підтримуваному середовищі. Дивhttps://www.openssl.org для програмного забезпечення та документації.

                                                                                                                                                  • Створіть закритий ключ.

                                                                                                                                                  • Почніть цю процедуру, коли отримаєте сертифікат сервера від центру сертифікації (CA).

                                                                                                                                                  1.

                                                                                                                                                  Отримавши сертифікат сервера від CA, збережіть його як hdsnode.pem.

                                                                                                                                                  2.

                                                                                                                                                  Відобразіть сертифікат у вигляді тексту та перевірте відомості.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3.

                                                                                                                                                  Використовуйте текстовий редактор, щоб створити файл пакета сертифікатів під назвою hdsnode-bundle.pem. Файл пакета має містити сертифікат сервера, будь-які проміжні сертифікати CA та сертифікати кореневого CA у форматі нижче:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4.

                                                                                                                                                  Створіть файл .p12 зі зручним іменем kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5.

                                                                                                                                                  Перевірте відомості про сертифікат сервера.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Введіть пароль у підказці, щоб зашифрувати закритий ключ, щоб він відображався у виводі. Потім переконайтеся, що закритий ключ і перший сертифікат містять рядки friendlyName: kms-private-key.

                                                                                                                                                    Приклад:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Що далі

                                                                                                                                                  Повернутися до Виконайте обов’язкові умови для гібридної безпеки даних . Ви використовуватимете hdsnode.p12 файл і пароль, який ви для нього встановили, у Створіть ISO конфігурації для хостів HDS .


                                                                                                                                                   

                                                                                                                                                  Ви можете повторно використовувати ці файли для запиту нового сертифіката після завершення терміну дії оригінального сертифіката.

                                                                                                                                                  Трафік між вузлами HDS і хмарою

                                                                                                                                                  Трафік збору вихідних показників

                                                                                                                                                  Вузли гібридної безпеки даних надсилають певні показники до хмари Webex. До них належать системні показники для максимальної кількості накопичувачів, використаної пам’яті, навантаження на ЦП і кількості потоків; метрики для синхронних та асинхронних потоків; показники для оповіщень, що включають поріг з’єднань шифрування, затримку або довжину черги запитів; метрики в сховищі даних; і показники підключення шифрування. Вузли надсилають матеріал зашифрованого ключа через позасмуговий (окремий від запиту) канал.

                                                                                                                                                  Вхідний трафік

                                                                                                                                                  Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

                                                                                                                                                  • Запити шифрування від клієнтів, які маршрутизуються службою шифрування

                                                                                                                                                  • Оновлення програмного забезпечення вузла

                                                                                                                                                  Налаштуйте проксі Squid для гібридної безпеки даних

                                                                                                                                                  Websocket не вдається підключитися через проксі-сервер Squid

                                                                                                                                                  Проксі-сервери Squid, які перевіряють трафік HTTPS, можуть перешкоджати встановленню websocket ( wss:) підключення, які вимагає Hybrid Data Security. У цих розділах наведено інструкції щодо налаштування різних версій Squid для ігнорування wss: трафіку для належної роботи служб.

                                                                                                                                                  Кальмари 4 і 5

                                                                                                                                                  Додайте on_unsupported_protocol директива до squid.conf.

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Ми успішно перевірили безпеку гібридних даних, додавши такі правила squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Передмова

                                                                                                                                                  Нова та змінена інформація

                                                                                                                                                  Дата

                                                                                                                                                  Внесені зміни

                                                                                                                                                  20 жовтня 2023 року

                                                                                                                                                  7 серпня 2023 року

                                                                                                                                                  23 травня 2023 року

                                                                                                                                                  6 грудня 2022 року

                                                                                                                                                  23 листопада 2022 року

                                                                                                                                                  13 жовтня 2021 р.

                                                                                                                                                  Щоб установити вузли HDS, Docker Desktop необхідно запустити програму встановлення. Див Вимоги до Docker Desktop .

                                                                                                                                                  24 червня 2021 року

                                                                                                                                                  Зауважено, що ви можете повторно використовувати файл із закритим ключем і CSR для запиту іншого сертифіката. Див Використовуйте OpenSSL для створення файлу PKCS12 для отримання додаткової інформації.

                                                                                                                                                  30 квітня 2021 р.

                                                                                                                                                  Вимогу до VM щодо простору на локальному жорсткому диску змінено на 30 ГБ. Див Вимоги до віртуального хоста для отримання додаткової інформації.

                                                                                                                                                  24 лютого 2021 р.

                                                                                                                                                  HDS Setup Tool тепер може працювати через проксі. Див Створіть ISO конфігурації для хостів HDS для отримання додаткової інформації.

                                                                                                                                                  2 лютого 2021 р.

                                                                                                                                                  Тепер HDS може працювати без підключеного файлу ISO. Див (Необов’язково) Відключіть ISO після конфігурації HDS для отримання додаткової інформації.

                                                                                                                                                  11 січня 2021 року

                                                                                                                                                  Додано інформацію про інструмент налаштування HDS і проксі в Створіть ISO конфігурації для хостів HDS .

                                                                                                                                                  13 жовтня 2020 р.

                                                                                                                                                  Оновлено Завантажте файли встановлення .

                                                                                                                                                  8 жовтня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла з командами для середовищ FedRAMP.

                                                                                                                                                  14 серпня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла зі змінами в процесі входу.

                                                                                                                                                  5 серпня 2020 р.

                                                                                                                                                  Оновлено Перевірте розгортання гібридної безпеки даних для змін у повідомленнях журналу.

                                                                                                                                                  Оновлено Вимоги до віртуального хоста щоб видалити максимальну кількість хостів.

                                                                                                                                                  16 червня 2020 р.

                                                                                                                                                  Оновлено Видалити вузол для змін в інтерфейсі користувача Control Hub.

                                                                                                                                                  4 червня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS для змін у розширених налаштуваннях, які ви можете встановити.

                                                                                                                                                  29 травня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS щоб показати, що також можна використовувати TLS з базами даних SQL Server, змінами інтерфейсу користувача та іншими роз’ясненнями.

                                                                                                                                                  5 травня 2020 р.

                                                                                                                                                  Оновлено Вимоги до віртуального хоста щоб відобразити нові вимоги ESXi 6.5.

                                                                                                                                                  21 квітня 2020 р

                                                                                                                                                  Оновлено Вимоги до зовнішнього підключення з новими хостами CI Північної і Південної Америки.

                                                                                                                                                  1 квітня 2020 р

                                                                                                                                                  Оновлено Вимоги до зовнішнього підключення з інформацією про регіональні хости CI.

                                                                                                                                                  20 лютого 2020 р.Оновлено Створіть ISO конфігурації для хостів HDS з інформацією на новому екрані додаткових додаткових параметрів у інструменті налаштування HDS.
                                                                                                                                                  4 лютого 2020 рОновлено Вимоги до проксі-сервера .
                                                                                                                                                  16 грудня 2019 р.Роз’яснено вимоги до роботи в режимі роздільної здатності заблокованого зовнішнього DNS Вимоги до проксі-сервера .
                                                                                                                                                  19 листопада 2019 р.

                                                                                                                                                  Додано інформацію про режим дозволу заблокованого зовнішнього DNS в таких розділах:

                                                                                                                                                  8 листопада 2019 р.

                                                                                                                                                  Тепер можна налаштувати параметри мережі для вузла під час розгортання OVA, а не пізніше.

                                                                                                                                                  Відповідно оновлено такі розділи:


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  6 вересня 2019 р.

                                                                                                                                                  Стандартний SQL Server додано до Вимоги до сервера бази даних .

                                                                                                                                                  29 серпня 2019 рокуДодано Налаштуйте проксі Squid для гібридної безпеки даних додаток із інструкціями щодо налаштування проксі Squid для ігнорування трафіку вебсокетів для належної роботи.
                                                                                                                                                  20 серпня 2019 р.

                                                                                                                                                  Додані й оновлені розділи, які охоплюють підтримку проксі-сервера для зв’язку вузла гібридної безпеки даних із хмарою Webex.

                                                                                                                                                  Щоб отримати доступ лише до контенту підтримки проксі для наявного розгортання, див Підтримка проксі для гібридної безпеки даних і Webex Video Mesh довідкова стаття.

                                                                                                                                                  13 червня 2019 рокуОновлено Потік завдань із пробної версії до виробничого з нагадуванням про синхронізацію HdsTrialGroup об’єкт групи перед початком ознайомлювальної версії, якщо ваша організація використовує синхронізацію каталогів.
                                                                                                                                                  6 березня 2019 року
                                                                                                                                                  28 лютого 2019 року
                                                                                                                                                  • Виправлено кількість простору локального жорсткого диска на сервер, який ви повинні були виділити під час підготовки віртуальних хостів, які стануть вузлами гібридної безпеки даних, з 50 ГБ до 20 ГБ, щоб відобразити розмір диска, який створює OVA.

                                                                                                                                                  26 лютого 2019 р.
                                                                                                                                                  • Вузли гібридної безпеки даних тепер підтримують зашифровані підключення до серверів баз даних PostgreSQL, а також зашифровані підключення для ведення журналів до сервера системного журналу з підтримкою TLS. Оновлено Створіть ISO конфігурації для хостів HDS з інструкціями.

                                                                                                                                                  • Цільові URL-адреси видалено з таблиці "Вимоги до підключення до інтернету для віртуальних машин вузлів гібридної безпеки даних". Тепер таблиця посилається на список, який ведеться в таблиці "Додаткові URL-адреси для гібридних служб Webex Teams" Вимоги до мережі для служб Webex Teams .

                                                                                                                                                  24 січня 2019 р.

                                                                                                                                                  • Hybrid Data Security тепер підтримує Microsoft SQL Server як базу даних. Параметр SQL Server Always On (Always On Failover Clusters and Always On Availability Groups) підтримується драйверами JDBC, які використовуються в гібридній безпеці даних. Додано контент, пов’язаний із розгортанням за допомогою SQL Server.


                                                                                                                                                     

                                                                                                                                                    Підтримку Microsoft SQL Server призначено лише для нового розгортання служби безпеки даних гібридного типу. Наразі міграція даних із PostgreSQL у Microsoft SQL Server у наявному розгортанні не підтримується.

                                                                                                                                                  5 листопада 2018 року
                                                                                                                                                  19 жовтня 2018 року

                                                                                                                                                  31 липня 2018 року

                                                                                                                                                  21 травня 2018 р.

                                                                                                                                                  Термінологію змінено, щоб відобразити ребрендинг Cisco Spark:

                                                                                                                                                  • Гібридна безпека даних Cisco Spark тепер є гібридною безпекою даних.

                                                                                                                                                  • Програма Cisco Spark тепер стала програмою Webex.

                                                                                                                                                  • Хмара Cisco Collaboraton тепер хмара Webex.

                                                                                                                                                  11 квітня 2018 року
                                                                                                                                                  22 лютого 2018 р.
                                                                                                                                                  15 лютого 2018 року
                                                                                                                                                  • У Вимоги до сертифіката X.509 вказано, що сертифікат не може бути сертифікатом із символами підстановки та що KMS використовує домен CN, а не будь-який домен, визначений у полях x.509v3 SAN.

                                                                                                                                                  18 січня 2018 року

                                                                                                                                                  2 листопада 2017 року

                                                                                                                                                  • Уточнена синхронізація каталогів HdsTrialGroup.

                                                                                                                                                  • Виправлені інструкції щодо передавання файлу конфігурації ISO для підключення до вузлів віртуальної машини.

                                                                                                                                                  18 серпня 2017 року

                                                                                                                                                  Вперше опубліковано

                                                                                                                                                  Почніть роботу з гібридною безпекою даних

                                                                                                                                                  Огляд безпеки гібридних даних

                                                                                                                                                  З першого дня безпека даних була головним у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, що забезпечується клієнтами Webex App, які взаємодіють зі Службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і розшифрування повідомлень і файлів.

                                                                                                                                                  За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS, у сфері безпеки Cisco. Hybrid Data Security переміщує KMS та інші функції, пов 'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не має ключів до вашого зашифрованого вмісту.

                                                                                                                                                  Архітектура області безпеки

                                                                                                                                                  Хмарна архітектура Webex розділяє різні типи служб на окремі області або довірені домени, як показано нижче.

                                                                                                                                                  Області розділення (без гібридної безпеки даних)

                                                                                                                                                  Щоб краще зрозуміти гібридну безпеку даних, давайте спочатку розглянемо цей випадок у чистому вигляді, коли Cisco надає всі функції у своїх хмарних сферах. Служба ідентифікації, єдине місце, де користувачів можна безпосередньо зв’язати з їхньою особистою інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зберігається зашифрований контент. , у центрі обробки даних C.

                                                                                                                                                  На цій діаграмі клієнтом є програма Webex, що запущена на ноутбуці користувача та пройшла автентифікацію за допомогою служби ідентифікації. Коли користувач створює повідомлення для надсилання до простору, виконуються такі кроки:

                                                                                                                                                  1. Клієнт встановлює захищене підключення до служби керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Захищене підключення використовує ECDH, а KMS шифрує ключ за допомогою головного ключа AES-256.

                                                                                                                                                  2. Повідомлення шифрується, перш ніж залишити клієнт. Клієнт надсилає його до служби індексування, яка створює зашифровані індекси пошуку, щоб допомогти в майбутніх пошуках контенту.

                                                                                                                                                  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

                                                                                                                                                  4. Зашифроване повідомлення зберігається в області сховища.

                                                                                                                                                  Під час розгортання гібридної безпеки даних функції області безпеки (KMS, індексація та відповідність вимогам) переносяться до локального центру обробки даних. Інші хмарні служби, що складають Webex (зокрема, ідентифікаційні дані та сховище контенту) залишаються в сферах Cisco.

                                                                                                                                                  Співпраця з іншими організаціями

                                                                                                                                                  Користувачі у вашій організації можуть регулярно використовувати програму Webex для співпраці із зовнішніми учасниками в інших організаціях. Коли один із користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), KMS надсилає ключ клієнту через захищений канал ECDH. Однак, коли ключ для простору володіє інша організація, KMS маршрутизує запит до хмари Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в оригінальному каналі.

                                                                                                                                                  Служба KMS, що працює в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Див Підготуйте своє середовище Докладніше про створення сертифіката x.509 для використання з розгортанням гібридної безпеки даних.

                                                                                                                                                  Очікування щодо розгортання гібридної безпеки даних

                                                                                                                                                  Розгортання гібридної безпеки даних вимагає значних зобов’язань клієнта та усвідомлення ризиків, пов’язаних із володінням ключами шифрування.

                                                                                                                                                  Щоб розгорнути гібридну безпеку даних, необхідно надати:

                                                                                                                                                  Повна втрата ISO конфігурації, створеної для гібридної безпеки даних, або наданої вами бази даних призведе до втрати ключів. Втрата ключа не дозволяє користувачам розшифрувати вміст простору та інші зашифровані дані в програмі Webex. Якщо це станеться, можна створити нове розгортання, але видимим буде лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

                                                                                                                                                  • Керуйте резервним копіюванням і відновленням бази даних і ISO конфігурації.

                                                                                                                                                  • Будьте готові виконати швидке відновлення після аварії, якщо станеться катастрофа, як-от збій диска бази даних або аварійний стан центру обробки даних.


                                                                                                                                                   

                                                                                                                                                  Немає механізму переміщення ключів назад до хмари після розгортання HDS.

                                                                                                                                                  Процес налаштування високого рівня

                                                                                                                                                  У цьому документі описано налаштування та керування розгортанням гібридної безпеки даних:

                                                                                                                                                  • Налаштуйте безпеку гібридних даних —Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення Hybrid Data Security, тестування розгортання з підгрупою користувачів у ознайомлювальному режимі та, після завершення тестування, перехід до робочої версії. Це перетворить всю організацію на використання кластера гібридної безпеки даних для функцій безпеки.

                                                                                                                                                    Про фази налаштування, ознайомлювальної версії та виробництва докладно описано в наступних трьох розділах.

                                                                                                                                                  • Підтримуйте розгортання гібридної безпеки даних — Хмара Webex автоматично надає поточні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати екранні сповіщення та налаштувати сповіщення на основі електронної пошти в Control Hub.

                                                                                                                                                  • Ознайомтеся з поширеними сповіщеннями, кроками з усунення несправностей та відомими проблемами — Якщо у вас виникнуть проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й усунути проблему.

                                                                                                                                                  Модель розгортання гібридної безпеки даних

                                                                                                                                                  У межах корпоративного центру обробки даних ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли взаємодіють із хмарою Webex через захищені вебсокети та захищений HTTP.

                                                                                                                                                  Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами віртуальних машинах. За допомогою інструмента налаштування HDS можна створити користувацький ISO-файл конфігурації кластера, який монтується на кожному вузлі. Кластер гібридної безпеки даних використовує наданий вами сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і деталі підключення до бази даних у інструменті налаштування HDS.)

                                                                                                                                                  Модель розгортання гібридної безпеки даних

                                                                                                                                                  Мінімальна кількість вузлів, які можна мати в кластері, становить два. Рекомендовано принаймні три, а можна до п’яти. Наявність кількох вузлів гарантує, що обслуговування не буде перервано під час оновлення програмного забезпечення або інших дій з обслуговування на вузлі. (У хмарі Webex одночасно оновлюється лише один вузол.)

                                                                                                                                                  Усі вузли в кластері отримують доступ до одного сховища ключових даних і реєструють дії на одному сервері системних журналів. Самі вузли не мають стану та обробляють запити ключів у циклічному порядку, відповідно до вказівок хмари.

                                                                                                                                                  Вузли стають активними, коли ви реєструєте їх у Control Hub. Щоб вимкнути окремий вузол, можна скасувати його реєстрацію, а пізніше за потреби зареєструвати повторно.

                                                                                                                                                  Ми підтримуємо лише один кластер на організацію.

                                                                                                                                                  Ознайомлювальний режим безпеки гібридних даних

                                                                                                                                                  Після налаштування розгортання гібридної безпеки даних ви спочатку спробуєте його з набором пілотних користувачів. Протягом пробного періоду ці користувачі використовують ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Інші ваші користувачі продовжують використовувати область хмарної безпеки.

                                                                                                                                                  Якщо ви вирішите не продовжувати розгортання під час пробної версії та деактивуєте службу, пілотні користувачі та всі користувачі, з якими вони взаємодіяли шляхом створення нових просторів протягом пробного періоду, втратять доступ до повідомлень і контенту. У програмі Webex вони побачать повідомлення "Це повідомлення неможливо розшифрувати".

                                                                                                                                                  Якщо ви впевнені, що ваше розгортання працює добре для користувачів пробної версії, і ви готові поширити гібридну безпеку даних на всіх своїх користувачів, ви переміщуєте розгортання до робочої версії. Пілотні користувачі продовжують мати доступ до ключів, які використовувалися під час ознайомлювальної версії. Однак ви не можете переходити між робочим режимом і вихідним ознайомлювальним режимом. Якщо ви повинні деактивувати службу, наприклад, для виконання аварійного відновлення, під час повторної активації необхідно почати нову ознайомлювальну версію та налаштувати набір пілотних користувачів для нової ознайомлювальної версії, перш ніж повернутися до робочого режиму. Те, чи збережуть користувачі доступ до даних на цьому етапі, залежить від того, чи успішно ви створили резервні копії сховища ключових даних і файлу конфігурації ISO для вузлів гібридної безпеки даних у вашому кластері.

                                                                                                                                                  Резервний центр обробки даних для аварійного відновлення

                                                                                                                                                  Під час розгортання ви налаштовуєте захищений резервний центр обробки даних. У разі аварійної ситуації в центрі обробки даних можна вручну зупинити розгортання в резервному центрі обробки даних.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручне перемикання на резервний центр обробки даних

                                                                                                                                                  Бази даних активного та резервного центрів обробки даних синхронізовані одна з одною, що мінімізує час, необхідний для перемикання на помилку. Файл ISO резервного центру обробки даних оновлено додатковими конфігураціями, які гарантують, що вузли зареєстровані в організації, але не оброблятимуть трафік. Тому вузли резервного центру обробки даних завжди залишаються в актуальному стані з останньою версією програмного забезпечення HDS.


                                                                                                                                                   

                                                                                                                                                  Активні вузли гібридної безпеки даних повинні завжди перебувати в тому самому центрі обробки даних, що й активний сервер бази даних.

                                                                                                                                                  Налаштуйте резервний центр обробки даних для аварійного відновлення

                                                                                                                                                  Виконайте наведені нижче дії, щоб налаштувати файл ISO резервного центру обробки даних:

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Резервний центр обробки даних має відображати виробниче середовище віртуальних машин і резервну копію бази даних PostgreSQL або Microsoft SQL Server. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини. (Див Резервний центр обробки даних для аварійного відновлення для огляду цієї моделі резервного перемикання.)

                                                                                                                                                  • Переконайтеся, що ввімкнено синхронізацію бази даних між базою даних активних і пасивних вузлів кластера.

                                                                                                                                                  1.

                                                                                                                                                  Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .


                                                                                                                                                   

                                                                                                                                                  Файл ISO має бути копією вихідного файлу ISO основного центру обробки даних, у якому необхідно виконати наведені далі оновлення конфігурації.

                                                                                                                                                  2.

                                                                                                                                                  Після налаштування сервера Syslogd клацніть Розширені налаштування

                                                                                                                                                  3.

                                                                                                                                                  На Розширені налаштування сторінку, додайте конфігурацію нижче, щоб перевести вузол у пасивний режим. У цьому режимі вузол буде зареєстровано в організації та підключено до хмари, але не оброблятиме трафік.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4.

                                                                                                                                                  Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

                                                                                                                                                  5.

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  6.

                                                                                                                                                  На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування. .

                                                                                                                                                  7.

                                                                                                                                                  Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.


                                                                                                                                                   

                                                                                                                                                  Переконайтеся, що Підключено і Підключіться після ввімкнення перевірено, щоб оновлені зміни конфігурації набули чинності після запуску вузлів.

                                                                                                                                                  8

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

                                                                                                                                                  9

                                                                                                                                                  Повторіть процес для кожного вузла в резервному центрі обробки даних.


                                                                                                                                                   

                                                                                                                                                  Перевірте системні журнали, щоб переконатися, що вузли перебувають у пасивному режимі. Ви повинні мати змогу переглядати повідомлення «KMS налаштовано в пасивному режимі» в системних журналах.

                                                                                                                                                  Що далі

                                                                                                                                                  Після налаштування passiveMode у файлі ISO та після його збереження можна створити іншу копію файлу ISO без файлу passiveMode конфігурацію та збережіть її в захищеному місці. Ця копія файлу ISO без passiveMode configured може допомогти в швидкому перемиканні на помилку під час аварійного відновлення. Див Аварійне відновлення за допомогою резервного центру обробки даних для детальної процедури переходу до відмови.

                                                                                                                                                  Підтримка проксі-сервера

                                                                                                                                                  Гібридна безпека даних підтримує явні, прозорі проксі-сервери з перевіркою та без перевірки. Можна прив’язати ці проксі-сервери до свого розгортання, щоб захищати та відстежувати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для керування сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

                                                                                                                                                  Вузли гібридної безпеки даних підтримують такі параметри проксі:

                                                                                                                                                  • Немає проксі — Значення за замовчуванням, якщо ви не використовуєте налаштування вузла HDS, сховища довіри та конфігурацію проксі для інтеграції проксі. Оновлення сертифіката не потрібно.

                                                                                                                                                  • Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.

                                                                                                                                                  • Прозорий проксі з тунелюванням або перевіркою —Вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах змінювати конфігурацію HTTP або HTTPS не потрібно. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

                                                                                                                                                  • Явний проксі — За допомогою явного проксі ви вказуєте вузлам HDS, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі-сервер, необхідно ввести таку інформацію на кожному вузлі:

                                                                                                                                                    1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.

                                                                                                                                                    2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.

                                                                                                                                                    3. Протокол проксі — Залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

                                                                                                                                                      • HTTP — перегляд і контроль усіх запитів, які надсилає клієнт.

                                                                                                                                                      • HTTPS — надає канал до сервера. Клієнт отримує та перевіряє сертифікат сервера.

                                                                                                                                                    4. Тип автентифікації — Виберіть один із таких типів автентифікації:

                                                                                                                                                      • Немає — подальша автентифікація не потрібна.

                                                                                                                                                        Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.

                                                                                                                                                      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.

                                                                                                                                                        Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.

                                                                                                                                                        Вимагає ввести ім’я користувача та пароль на кожному вузлі.

                                                                                                                                                      • Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.

                                                                                                                                                        Доступно, лише якщо вибрано HTTPS як протокол проксі.

                                                                                                                                                        Вимагає ввести ім’я користувача та пароль на кожному вузлі.

                                                                                                                                                  Приклад гібридних вузлів безпеки даних і проксі

                                                                                                                                                  На цій діаграмі показано приклад підключення між гібридною безпекою даних, мережею та проксі. Для параметрів проксі-сервера з прозорою перевіркою та явною перевіркою HTTPS необхідно встановити той самий кореневий сертифікат на проксі-сервері та вузлах гібридної безпеки даних.

                                                                                                                                                  Режим дозволу заблокованого зовнішнього DNS (явні конфігурації проксі)

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі вузла, процес перевіряє пошук DNS і можливість підключення до хмари Cisco Webex. У розгортаннях із явними конфігураціями проксі, які не дозволяють роздільну здатність зовнішнього DNS для внутрішніх клієнтів, якщо вузол не може запитувати сервери DNS, він автоматично переходить у режим роздільної здатності заблокованого зовнішнього DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести підключення проксі.

                                                                                                                                                  Підготуйте своє середовище

                                                                                                                                                  Вимоги до гібридної безпеки даних

                                                                                                                                                  Вимоги до ліцензії Cisco Webex

                                                                                                                                                  Щоб розгорнути гібридну безпеку даних:

                                                                                                                                                  Вимоги до Docker Desktop

                                                                                                                                                  Перш ніж установити вузли HDS, необхідно запустити програму встановлення Docker Desktop. Docker нещодавно оновив свою модель ліцензування. Для вашої організації може знадобитися платна підписка на Docker Desktop. Докладніше див. у дописі до блогу Docker "Docker оновлює та розширює наші підписки на продукти".

                                                                                                                                                  Вимоги до сертифіката X.509

                                                                                                                                                  Ланцюжок сертифікатів має відповідати таким вимогам:

                                                                                                                                                  Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

                                                                                                                                                  Вимоги

                                                                                                                                                  Відомості

                                                                                                                                                  • Підписано довіреним центром сертифікації (CA)

                                                                                                                                                  За замовчуванням ми довіряємо ЦС у списку Mozilla (за винятком WoSign і StartCom) за адресоюhttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Має доменне ім’я Common Name (CN), яке ідентифікує ваше розгортання гібридної безпеки даних

                                                                                                                                                  • Не є сертифікатом із символом підстановки

                                                                                                                                                  CN не обов’язково має бути доступним або активним організатором. Рекомендовано використовувати назву, яка відображає вашу організацію, наприклад, hds.company.com.

                                                                                                                                                  CN не повинна містити символ * (підстановка).

                                                                                                                                                  CN використовується для перевірки вузлів гібридної безпеки даних для клієнтів програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, який визначено в полях SAN x.509v3.

                                                                                                                                                  Після реєстрації вузла за допомогою цього сертифіката зміна імені домену CN не підтримується. Виберіть домен, який може застосовуватися як для ознайомлювального, так і для робочого розгортання.

                                                                                                                                                  • Підпис не SHA1

                                                                                                                                                  Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключень до KMS інших організацій.

                                                                                                                                                  • Відформатовано як файл PKCS № 12, захищений паролем

                                                                                                                                                  • Використовуйте дружнє ім’я користувача kms-private-key щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.

                                                                                                                                                  Щоб змінити формат сертифіката, можна використовувати конвертер, наприклад OpenSSL.

                                                                                                                                                  Під час запуску засобу налаштування HDS потрібно буде ввести пароль.

                                                                                                                                                  Програмне забезпечення KMS не встановлює обмеження щодо використання ключів або розширеного використання ключів. Деякі центри сертифікації вимагають, щоб до кожного сертифіката були застосовані розширені обмеження використання ключів, наприклад автентифікація сервера. Можна використовувати автентифікацію сервера або інші налаштування.

                                                                                                                                                  Вимоги до віртуального хоста

                                                                                                                                                  Віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері, мають такі вимоги:

                                                                                                                                                  • Принаймні два окремих хости (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

                                                                                                                                                  • VMware ESXi 6.5 (або пізнішої версії) встановлено та працює.


                                                                                                                                                     

                                                                                                                                                    Необхідно оновити версію, якщо у вас є попередня версія ESXi.

                                                                                                                                                  • Мінімум 4 vCPU, 8 ГБ основної пам’яті, 30 ГБ місця на локальному жорсткому диску на сервер

                                                                                                                                                  Вимоги до сервера бази даних


                                                                                                                                                   

                                                                                                                                                  Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

                                                                                                                                                  Є два варіанти для сервера бази даних. Вимоги до кожного є такими:

                                                                                                                                                  Таблиця 2. Вимоги до сервера бази даних за типом бази даних

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 або 16, установлено та запущено.

                                                                                                                                                  • Установлено SQL Server 2016, 2017 або 2019 (Enterprise або Standard).


                                                                                                                                                     

                                                                                                                                                    Для SQL Server 2016 потрібні пакет оновлень 2 і накопичувальне оновлення 2 або пізнішої версії.

                                                                                                                                                  Мінімум 8 vCPU, 16 ГБ основної пам’яті, достатньо простору на жорсткому диску та моніторинг, щоб гарантувати, що воно не перевищено (рекомендується 2 ТБ, якщо ви хочете працювати з базою даних протягом тривалого часу без необхідності збільшувати обсяг сховища).

                                                                                                                                                  Мінімум 8 vCPU, 16 ГБ основної пам’яті, достатньо простору на жорсткому диску та моніторинг, щоб гарантувати, що воно не перевищено (рекомендується 2 ТБ, якщо ви хочете працювати з базою даних протягом тривалого часу без необхідності збільшувати обсяг сховища).

                                                                                                                                                  Зараз програмне забезпечення HDS встановлює такі версії драйверів для зв’язку із сервером бази даних:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Драйвер JDBC Postgres 42.2.5

                                                                                                                                                  Драйвер JDBC SQL Server 4.6

                                                                                                                                                  Ця версія драйвера підтримує SQL Server Always On ( Завжди ввімкнені екземпляри кластера перемикання і Завжди ввімкнені групи доступності ).

                                                                                                                                                  Додаткові вимоги до автентифікації Windows у Microsoft SQL Server

                                                                                                                                                  Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для отримання доступу до бази даних сховища ключів на Microsoft SQL Server, вам потрібна така конфігурація у вашому середовищі:

                                                                                                                                                  • Вузли HDS, інфраструктура Active Directory і MS SQL Server мають бути синхронізовані з NTP.

                                                                                                                                                  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ для читання та запису до бази даних.

                                                                                                                                                  • Сервери DNS, які ви надаєте вузлам HDS, повинні мати можливість дозволити ваш центр розподілу ключів (KDC).

                                                                                                                                                  • Ви можете зареєструвати екземпляр бази даних HDS на Microsoft SQL Server як ім’я користувача-служби (SPN) у вашому Active Directory. Див Зареєструйте ім’я користувача-служби для підключень Kerberos .

                                                                                                                                                    Інструмент налаштування HDS, засіб запуску HDS і локальний KMS повинні використовувати автентифікацію Windows для доступу до бази даних сховища ключів. Вони використовують дані вашої конфігурації ISO для створення SPN, коли запитують доступ за допомогою автентифікації Kerberos.

                                                                                                                                                  Вимоги до зовнішнього підключення

                                                                                                                                                  Налаштуйте брандмауер, щоб дозволити такі можливості підключення для програм HDS:

                                                                                                                                                  Застосування

                                                                                                                                                  Протокол

                                                                                                                                                  Порт

                                                                                                                                                  Напрямок із програми

                                                                                                                                                  Призначення

                                                                                                                                                  Вузли гібридної безпеки даних

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Вихідні HTTPS і WSS

                                                                                                                                                  • Сервери Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Усі хости Common Identity

                                                                                                                                                  • Інші URL-адреси, перелічені для гібридної безпеки даних у Додаткові URL-адреси для гібридних служб Webex таблицю з Вимоги до мережі для служб Webex

                                                                                                                                                  Інструмент налаштування HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Вихідний HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Усі хости Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Вузли гібридної безпеки даних працюють із трансляцією доступу до мережі (NAT) або за брандмауером, якщо NAT або брандмауер дозволяє використовувати необхідні вихідні підключення до адресатів домену, наведених у попередній таблиці. Для вхідних підключень до вузлів гібридної безпеки даних порти з інтернету не повинні бути видимими. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

                                                                                                                                                  URL-адреси хостів Common Identity (CI) залежать від регіону. Це поточні хости CI:

                                                                                                                                                  Регіон

                                                                                                                                                  URL-адреси хоста спільних ідентифікаційних даних

                                                                                                                                                  Північна та Південна Америки

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Європейський Союз

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Канада

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Вимоги до проксі-сервера

                                                                                                                                                  • Ми офіційно підтримуємо такі проксі-рішення, які можна інтегрувати з вашими вузлами гібридної безпеки даних.

                                                                                                                                                  • Підтримуються такі комбінації типів автентифікації для явних проксі-серверів:

                                                                                                                                                    • Немає автентифікації за допомогою HTTP або HTTPS

                                                                                                                                                    • Базова автентифікація за допомогою HTTP або HTTPS

                                                                                                                                                    • Дайджест автентифікації лише за допомогою HTTPS

                                                                                                                                                  • Для прозорого проксі-сервера з перевіркою або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі. В інструкціях із розгортання в цьому посібнику описано, як передати копію до сховищ довіри вузлів гібридної безпеки даних.

                                                                                                                                                  • Мережа, де розміщено вузли HDS, повинна бути налаштована на примусове маршрутизацію вихідного трафіку TCP через порт 443 через проксі.

                                                                                                                                                  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з 'єднанню веб-сокетів. Якщо ця проблема виникне, обійти (не перевіряти) трафік до wbx2.com і ciscospark.com вирішить проблему.

                                                                                                                                                  Виконайте обов’язкові умови для гібридної безпеки даних

                                                                                                                                                  Використовуйте цей контрольний список, щоб переконатися, що ви готові до встановлення та налаштування кластера гібридної безпеки даних.
                                                                                                                                                  1.

                                                                                                                                                  Переконайтеся, що у вашій організації Webex увімкнено Pro Pack for Cisco Webex Control Hub, і отримайте облікові дані облікового запису з повними правами адміністратора організації. Зверніться до партнера Cisco або менеджера облікового запису, щоб отримати допомогу з цим процесом.

                                                                                                                                                  2.

                                                                                                                                                  Виберіть ім’я домену для розгортання HDS (наприклад, hds.company.com) і отримати ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ і будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам у Вимоги до сертифіката X.509 .

                                                                                                                                                  3.

                                                                                                                                                  Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері. Вам потрібно принаймні два окремих хоста (рекомендовано 3), розміщені в одному захищеному центрі обробки даних, які відповідають вимогам у Вимоги до віртуального хоста .

                                                                                                                                                  4.

                                                                                                                                                  Підготуйте сервер бази даних, який буде виконувати функцію сховища ключових даних для кластера, відповідно до Вимоги до сервера бази даних . Сервер бази даних має бути одночасно розташований у захищеному центрі обробки даних із віртуальними хостами.

                                                                                                                                                  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.)

                                                                                                                                                  2. Зберіть відомості, які вузли використовуватимуть для зв’язку із сервером бази даних:

                                                                                                                                                    • ім’я хоста або IP-адресу (хост) і порт

                                                                                                                                                    • ім’я бази даних (dbname) для зберігання ключів

                                                                                                                                                    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

                                                                                                                                                  5.

                                                                                                                                                  Для швидкого аварійного відновлення налаштуйте середовище резервного копіювання в іншому центрі обробки даних. Середовище резервного копіювання відображає виробниче середовище віртуальних машин і сервера бази даних резервного копіювання. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини.

                                                                                                                                                  6.

                                                                                                                                                  Налаштуйте хост системного журналу для збору журналів із вузлів у кластері. Зібрати його мережеву адресу та порт системного журналу (за замовчуванням – UDP 514).

                                                                                                                                                  7.

                                                                                                                                                  Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста системного журналу. Як мінімум, щоб запобігти втраті даних без можливості відновлення, необхідно створити резервну копію бази даних і файлу ISO конфігурації, створеного для вузлів гібридної безпеки даних.


                                                                                                                                                   

                                                                                                                                                  Оскільки вузли гібридної безпеки даних зберігають ключі, що використовуються для шифрування та розшифровки контенту, неможливість підтримати оперативне розгортання призведе до НЕВІДКЛЮЧЕНА ВТРАТА цього контенту.

                                                                                                                                                  Клієнти програми Webex кешують свої ключі, тому перебої в роботі можуть бути помітні не відразу, а з часом. Хоча тимчасові перебої в роботі неможливо запобігти, їх можна відновити. Однак повна втрата (недоступні резервні копії) бази даних або файлу ISO конфігурації призведе до того, що дані клієнта будуть недоступні для відновлення. Очікується, що оператори вузлів гібридної безпеки даних будуть підтримувати часте резервне копіювання бази даних і файлу ISO конфігурації та бути готовими до відновлення центру обробки даних гібридної безпеки даних у разі катастрофічної помилки.

                                                                                                                                                  8

                                                                                                                                                  Переконайтеся, що конфігурація брандмауера дозволяє підключатися до вузлів гібридної безпеки даних, як описано в Вимоги до зовнішнього підключення .

                                                                                                                                                  9

                                                                                                                                                  Установити Docker (https://www.docker.com ) на будь-якому локальному комп’ютері з підтримуваною ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядна версія або Mac OSX Yosemite 10.10.3 або новішої версії) з веббраузером, який може отримати до неї доступ за адресою http://127.0.0.1:8080.

                                                                                                                                                  Ви використовуєте екземпляр Docker для завантаження та запуску засобу налаштування HDS, який створює інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Вашій організації може знадобитися ліцензія Docker Desktop. Див Вимоги до Docker Desktop для отримання додаткової інформації.

                                                                                                                                                  Щоб установити та запустити HDS Setup Tool, локальний комп’ютер повинен мати можливість підключення, описану в Вимоги до зовнішнього підключення .

                                                                                                                                                  10

                                                                                                                                                  Якщо ви інтегруєте проксі-сервер із гібридною безпекою даних, переконайтеся, що він відповідає Вимоги до проксі-сервера .

                                                                                                                                                  11

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів, створіть групу в Active Directory з викликом HdsTrialGroup, і додати пілотних користувачів. Ознайомлювальна група може налічувати до 250 користувачів. Нараду HdsTrialGroup об’єкт необхідно синхронізувати з хмарою, перш ніж ви зможете почати пробну версію для вашої організації. Щоб синхронізувати об’єкт групи, виберіть його в з’єднувачі каталогу Конфігурація > Вибір об’єкта меню. (Докладні інструкції див Посібник із розгортання для Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Ключі для певного простору встановлюються його творцем. Вибираючи пілотних користувачів, пам’ятайте, що якщо ви вирішите остаточно деактивувати розгортання гібридної безпеки даних, усі користувачі втратять доступ до контенту в просторах, які були створені пілотними користувачами. Втрата стає очевидною, щойно програми користувачів оновлять кешовані копії контенту.

                                                                                                                                                  Налаштуйте кластер гібридної безпеки даних

                                                                                                                                                  Потік завдань розгортання безпеки гібридних даних

                                                                                                                                                  1.

                                                                                                                                                  Завантажте файли встановлення

                                                                                                                                                  Завантажте файл OVA на локальний комп’ютер для подальшого використання.

                                                                                                                                                  2.

                                                                                                                                                  Створіть ISO конфігурації для хостів HDS

                                                                                                                                                  Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

                                                                                                                                                  3.

                                                                                                                                                  Установіть OVA хоста HDS

                                                                                                                                                  Створіть віртуальну машину з файлу OVA та виконайте початкове налаштування, наприклад налаштування мережі.


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  4.

                                                                                                                                                  Налаштуйте віртуальну машину гібридної безпеки даних

                                                                                                                                                  Увійдіть на консоль VM і задайте облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо ви не налаштували їх під час розгортання OVA.

                                                                                                                                                  5.

                                                                                                                                                  Вивантажте та підключіть ISO конфігурації HDS

                                                                                                                                                  Налаштуйте віртуальну машину з файлу конфігурації ISO, який ви створили за допомогою засобу налаштування HDS.

                                                                                                                                                  6.

                                                                                                                                                  Налаштуйте вузол HDS для інтеграції проксі

                                                                                                                                                  Якщо мережеве середовище вимагає конфігурації проксі-сервера, укажіть тип проксі, який ви використовуватимете для вузла, і за потреби додайте сертифікат проксі до сховища довіри.

                                                                                                                                                  7.

                                                                                                                                                  Зареєструйте перший вузол у кластері

                                                                                                                                                  Зареєструйте віртуальну машину в хмарі Cisco Webex як вузол гібридної безпеки даних.

                                                                                                                                                  8

                                                                                                                                                  Створіть і зареєструйте більше вузлів

                                                                                                                                                  Завершіть налаштування кластера.

                                                                                                                                                  9

                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

                                                                                                                                                  Поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

                                                                                                                                                  Завантажте файли встановлення

                                                                                                                                                  У цьому завданні ви завантажуєте файл OVA на ваш комп’ютер (а не на сервери, які ви налаштували як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.
                                                                                                                                                  1.

                                                                                                                                                  Увійти вhttps://admin.webex.com , а потім клацніть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Налаштування .

                                                                                                                                                  Якщо картку вимкнено або ви не бачите її, зверніться до команди облікового запису або партнерської організації. Надайте їм номер свого облікового запису та попросіть увімкнути гібридну безпеку даних у вашій організації. Щоб знайти номер облікового запису, клацніть шестірню у верхньому правому куті поруч із назвою організації.


                                                                                                                                                   

                                                                                                                                                  Ви також можете в будь-який час завантажити OVA з Довідка розділ про Налаштування сторінка. На картці гібридної безпеки даних клацніть Змінити налаштування , щоб відкрити сторінку. Потім клацніть Завантажте програмне забезпечення гібридної безпеки даних в Довідка розділ.


                                                                                                                                                   

                                                                                                                                                  Старші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до проблем під час оновлення програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

                                                                                                                                                  3.

                                                                                                                                                  Виберіть Ні , щоб указати, що вузол ще не налаштовано, а потім клацніть Далі .

                                                                                                                                                  Завантаження файлу OVA почнеться автоматично. Збережіть файл у розташуванні на вашому комп’ютері.
                                                                                                                                                  4.

                                                                                                                                                  Клацніть за бажанням Відкрийте посібник із розгортання щоб перевірити, чи доступна пізніша версія цього посібника.

                                                                                                                                                  Створіть ISO конфігурації для хостів HDS

                                                                                                                                                  У процесі налаштування гібридної безпеки даних створюється файл ISO. Потім ви використовуєте ISO для налаштування хоста гібридної безпеки даних.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Центру керування з повними правами адміністратора для вашої організації.

                                                                                                                                                    Якщо інструмент налаштування HDS працює за допомогою проксі у вашому середовищі, надайте параметри проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час виклику контейнера Docker на кроці. 5 . У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі з аутентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Створений вами файл конфігурації містить основний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Остання копія цього файлу потрібна щоразу, коли ви вносите зміни конфігурації, наприклад:

                                                                                                                                                    • Облікові дані бази даних

                                                                                                                                                    • Оновлення сертифіката

                                                                                                                                                    • Зміни політики авторизації

                                                                                                                                                  • Якщо ви плануєте шифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

                                                                                                                                                  1.

                                                                                                                                                  У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

                                                                                                                                                  У звичайних умовах:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Цей крок очищає попередні зображення інструментів налаштування HDS. Якщо попередніх зображень немає, він повертає помилку, яку можна проігнорувати.

                                                                                                                                                  2.

                                                                                                                                                  Щоб увійти до реєстру Docker-образів, введіть наступне:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3.

                                                                                                                                                  У підказці пароля введіть цей хеш:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4.

                                                                                                                                                  Завантажте останнє стабільне зображення для вашого середовища:

                                                                                                                                                  У звичайних умовах:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5.

                                                                                                                                                  Після завершення витягування введіть відповідну команду для вашого середовища:

                                                                                                                                                  • У звичайних середовищах без проксі-сервера:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • У звичайних середовищах з HTTP-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У звичайних середовищах з HTTPS-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У середовищах FedRAMP без проксі-сервера:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з HTTP-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з HTTPS-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

                                                                                                                                                  6.

                                                                                                                                                   

                                                                                                                                                  Інструмент налаштування не підтримує підключення до локального хосту http://localhost:8080. використання http://127.0.0.1:8080 для підключення до локального хосту.

                                                                                                                                                  Використовуйте веббраузер, щоб перейти до локального хоста, http://127.0.0.1:8080, і введіть ім’я користувача адміністратора клієнта для Control Hub у відповідь на запит.

                                                                                                                                                  Інструмент використовує цей перший запис імені користувача, щоб установити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку про вхід.

                                                                                                                                                  7.

                                                                                                                                                  Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора клієнта Control Hub, а потім клацніть Увійти щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

                                                                                                                                                  8

                                                                                                                                                  На сторінці огляду інструмента налаштування клацніть Почати роботу .

                                                                                                                                                  9

                                                                                                                                                  На Імпорт ISO на сторінці, у вас є такі параметри:

                                                                                                                                                  • Ні —Якщо ви створюєте свій перший вузол HDS, у вас немає файлу ISO для передавання.
                                                                                                                                                  • Так —Якщо ви вже створили вузли HDS, виберіть файл ISO під час перегляду й передайте його.
                                                                                                                                                  10

                                                                                                                                                  Переконайтеся, що ваш сертифікат X.509 відповідає вимогам у Вимоги до сертифіката X.509 .

                                                                                                                                                  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити .
                                                                                                                                                  • Якщо сертифікат відповідає вимогам, клацніть Продовжити .
                                                                                                                                                  • Якщо термін дії сертифіката завершився або ви хочете його замінити, виберіть Ні для Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO? . Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити .
                                                                                                                                                  11

                                                                                                                                                  Введіть адресу бази даних і обліковий запис HDS, щоб отримати доступ до сховища ключових даних:

                                                                                                                                                  1. Виберіть свій Тип бази даних ( PostgreSQL або Microsoft SQL Server ).

                                                                                                                                                    Якщо ви виберете Microsoft SQL Server , ви отримаєте поле Тип автентифікації.

                                                                                                                                                  2. ( Microsoft SQL Server тільки) Виберіть свій Тип автентифікації :

                                                                                                                                                    • Базова автентифікація : Потрібне ім’я локального облікового запису SQL Server у файлі Ім’я користувача поле.

                                                                                                                                                    • Автентифікація Windows : Потрібен обліковий запис Windows у форматі username@DOMAIN в Ім’я користувача поле.

                                                                                                                                                  3. Введіть адресу сервера бази даних у формі <hostname>:<port> або <IP-address>:<port>.

                                                                                                                                                    Приклад:
                                                                                                                                                    dbhost.example.org:1433 або 198.51.100.17:1433

                                                                                                                                                    Можна використовувати IP-адресу для базової автентифікації, якщо вузли не можуть використовувати DNS для визначення імені хоста.

                                                                                                                                                    Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433

                                                                                                                                                  4. Введіть Ім’я бази даних .

                                                                                                                                                  5. Введіть Ім’я користувача і Пароль користувача з усіма правами на базу даних сховища ключів.

                                                                                                                                                  12

                                                                                                                                                  Виберіть a Режим підключення до бази даних TLS :

                                                                                                                                                  Режим

                                                                                                                                                  Опис

                                                                                                                                                  Віддати перевагу TLS (параметр за замовчуванням)

                                                                                                                                                  Вузли HDS не вимагають TLS для підключення до сервера бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли намагатимуться встановити зашифроване підключення.

                                                                                                                                                  Вимагати TLS

                                                                                                                                                  Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  Вимагати TLS і перевіряти підписувача сертифіката


                                                                                                                                                   

                                                                                                                                                  Цей режим не застосовується до баз даних SQL Server.

                                                                                                                                                  • Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  • Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

                                                                                                                                                  Щоб завантажити кореневий сертифікат для цього параметра, скористайтеся пунктом керування кореневим сертифікатом бази даних під спадним меню.

                                                                                                                                                  Вимагати TLS та перевіряти підписувача сертифіката та ім 'я хоста

                                                                                                                                                  • Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

                                                                                                                                                  • Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

                                                                                                                                                  • Вузли також перевіряють, що ім’я хоста в сертифікаті сервера збігається з іменем хоста в Хост бази даних і порт поле. Імена повинні точно збігатися, або вузол розриває з 'єднання.

                                                                                                                                                  Щоб завантажити кореневий сертифікат для цього параметра, скористайтеся пунктом керування кореневим сертифікатом бази даних під спадним меню.

                                                                                                                                                  Під час передавання кореневого сертифіката (за необхідності) клацніть Продовжити , засіб налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє підписувача сертифіката та ім 'я хоста, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності в можливостях підключення вузли HDS можуть встановити підключення TLS, навіть якщо машині засобу налаштування HDS не вдасться успішно перевірити його.)

                                                                                                                                                  13

                                                                                                                                                  На сторінці системних журналів налаштуйте сервер Syslogd:

                                                                                                                                                  1. Введіть URL-адресу сервера системного журналу.

                                                                                                                                                    Якщо сервер не можна розділити з DNS на вузлах кластера HDS, використовуйте IP-адресу в URL-адресі.

                                                                                                                                                    Приклад:
                                                                                                                                                    udp://10.92.43.23:514 вказує на ведення журналу до хоста Syslogd 10.92.43.23 через UDP-порт 514.
                                                                                                                                                  2. Якщо ви налаштували свій сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер системного журналу на шифрування SSL? .

                                                                                                                                                    Якщо встановити цей прапорець, переконайтеся, що ви ввели URL-адресу TCP, наприклад tcp://10.92.43.23:514.

                                                                                                                                                  3. З Виберіть припинення запису системного журналу у розкривному меню виберіть відповідне налаштування для вашого файлу ISO: Виберіть або Новий рядок використовується для Graylog і Rsyslog TCP

                                                                                                                                                    • Нульовий байт -- \x00

                                                                                                                                                    • Новий рядок -- \n —Виберіть цей варіант для Graylog і Rsyslog TCP.

                                                                                                                                                  4. Клацніть Продовжити.

                                                                                                                                                  14

                                                                                                                                                  (Необов’язково) Можна змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Розширені налаштування . Як правило, цей параметр є єдиним, який ви можете змінити:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Клацніть Продовжити на Скинути пароль службових облікових записів екрана.

                                                                                                                                                  Термін дії паролів службових облікових записів становить дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів наближається або ви хочете скинути їх, щоб зробити попередні файли ISO недійсними.

                                                                                                                                                  16

                                                                                                                                                  Клацніть Завантажте файл ISO . Збережіть файл у місці, яке легко знайти.

                                                                                                                                                  17

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі.

                                                                                                                                                  Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  18

                                                                                                                                                  Щоб вимкнути інструмент налаштування, введіть CTRL+C.

                                                                                                                                                  Що далі

                                                                                                                                                  Створіть резервну копію файлу конфігурації ISO. Він потрібен, щоб створити більше вузлів для відновлення або внести зміни в конфігурацію. Якщо ви втратили всі копії файлу ISO, ви також втратили основний ключ. Відновити ключі з бази даних PostgreSQL або Microsoft SQL Server неможливо.


                                                                                                                                                   

                                                                                                                                                  Ми ніколи не маємо копії цього ключа. Ми не можемо допомогти, якщо ви її втратите.

                                                                                                                                                  Установіть OVA хоста HDS

                                                                                                                                                  Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
                                                                                                                                                  1.

                                                                                                                                                  Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi.

                                                                                                                                                  2.

                                                                                                                                                  Виберіть Файл > Розгорнути шаблон OVF .

                                                                                                                                                  3.

                                                                                                                                                  У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі .

                                                                                                                                                  4.

                                                                                                                                                  На Виберіть ім’я та папку сторінки, введіть a Ім’я віртуальної машини для вузла (наприклад, «HDS_ Node_ 1"), виберіть розташування, де може перебувати розгортання вузла віртуальної машини, а потім клацніть Далі .

                                                                                                                                                  5.

                                                                                                                                                  На Виберіть обчислювальний ресурс виберіть цільовий обчислювальний ресурс, а потім клацніть Далі .

                                                                                                                                                  Запускається перевірка. Після завершення відобразяться відомості про шаблон.

                                                                                                                                                  6.

                                                                                                                                                  Перевірте відомості шаблону й клацніть Далі .

                                                                                                                                                  7.

                                                                                                                                                  Якщо вас попросять вибрати конфігурацію ресурсу на Конфігурація сторінки, клацніть 4 ЦП а потім клацніть Далі .

                                                                                                                                                  8

                                                                                                                                                  На Виберіть сховище сторінки, клацніть Далі щоб прийняти формат диска за замовчуванням і політику сховища VM.

                                                                                                                                                  9

                                                                                                                                                  На Виберіть мережі виберіть мережевий параметр зі списку записів, щоб забезпечити потрібне підключення до VM.

                                                                                                                                                  10

                                                                                                                                                  На Налаштувати шаблон налаштуйте такі параметри мережі:

                                                                                                                                                  • Ім’я хоста —Введіть FQDN (ім’я хоста та домен) або ім’я хоста з одного слова для вузла.

                                                                                                                                                     
                                                                                                                                                    • Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.

                                                                                                                                                    • Щоб забезпечити успішну реєстрацію в хмарі, використовуйте лише малі символи в повному домені або імені хоста, які ви встановили для вузла. Наразі використання великих літер не підтримується.

                                                                                                                                                    • Загальна довжина FQDN не повинна перевищувати 64 символи.

                                                                                                                                                  • IP-адреса — Введіть IP-адресу для внутрішнього інтерфейсу вузла.

                                                                                                                                                     

                                                                                                                                                    Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

                                                                                                                                                  • Маска —Введіть адресу маски підмережі у вигляді десяткових крапок. Наприклад, 255.255.255.0 .
                                                                                                                                                  • Шлюз —Введіть IP-адресу шлюзу. Шлюз – це вузол мережі, який слугує точкою доступу до іншої мережі.
                                                                                                                                                  • Сервери DNS —Введіть розділений комами список серверів DNS, які обробляють перетворення імен доменів у числові IP-адреси. (Дозволено до 4 записів DNS.)
                                                                                                                                                  • Сервери NTP —Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Для введення кількох серверів NTP також можна використовувати список, розділений комами.
                                                                                                                                                  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними для клієнтів у вашій мережі з адміністративними цілями.

                                                                                                                                                  За бажанням можна пропустити конфігурацію мережевих параметрів і виконати інструкції Налаштуйте віртуальну машину гібридної безпеки даних щоб налаштувати параметри з консолі вузла.


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  11

                                                                                                                                                  Клацніть правою кнопкою миші вузол VM, а потім виберіть Потужність > Увімкнено .

                                                                                                                                                  Програмне забезпечення Hybrid Data Security встановлюється як гість на хості VM. Тепер ви готові ввійти на консоль і налаштувати вузол.

                                                                                                                                                  Поради з усунення несправностей

                                                                                                                                                  Перед відкриттям контейнерів вузлів може виникнути затримка в кілька хвилин. Повідомлення брандмауера мосту з’являється на консолі під час першого завантаження, під час якого ви не можете ввійти.

                                                                                                                                                  Налаштуйте віртуальну машину гібридної безпеки даних

                                                                                                                                                  Використовуйте цю процедуру, щоб уперше ввійти до консолі VM вузла гібридної безпеки даних і задати облікові дані для входу. Ви також можете використовувати консоль, щоб налаштувати параметри мережі для вузла, якщо ви не налаштували їх під час розгортання OVA.

                                                                                                                                                  1.

                                                                                                                                                  У клієнті VMware vSphere виберіть свою віртуальну машину вузла гібридної безпеки даних і виберіть Консоль вкладка.

                                                                                                                                                  ВМ завантажиться, і з’явиться запит щодо входу. Якщо запит щодо входу не відображається, натисніть Введіть .
                                                                                                                                                  2.

                                                                                                                                                  Використовуйте такі логін і пароль за замовчуванням для входу та зміни облікових даних:

                                                                                                                                                  1. Вхід: admin

                                                                                                                                                  2. Пароль: cisco

                                                                                                                                                  Оскільки ви вперше входите на свою віртуальну машину, вам потрібно змінити пароль адміністратора.

                                                                                                                                                  3.

                                                                                                                                                  Якщо ви вже налаштували параметри мережі в Установіть OVA хоста HDS , пропустіть решту цієї процедури. В іншому разі в головному меню виберіть Змінити конфігурацію параметр.

                                                                                                                                                  4.

                                                                                                                                                  Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

                                                                                                                                                  5.

                                                                                                                                                  (Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно, щоб вони відповідали вашій політиці мережі.

                                                                                                                                                  Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.

                                                                                                                                                  6.

                                                                                                                                                  Збережіть конфігурацію мережі та перезавантажте віртуальну машину, щоб зміни набули сили.

                                                                                                                                                  Вивантажте та підключіть ISO конфігурації HDS

                                                                                                                                                  Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою засобу налаштування HDS.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Оскільки файл ISO містить основний ключ, його потрібно надавати лише в разі необхідності для доступу віртуальних машин гібридної безпеки даних і всіх адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

                                                                                                                                                  1.

                                                                                                                                                  Передайте файл ISO з комп’ютера:

                                                                                                                                                  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

                                                                                                                                                  2. У списку обладнання на вкладці Конфігурація клацніть Зберігання .

                                                                                                                                                  3. У списку сховища даних клацніть правою кнопкою миші сховище даних для ваших віртуальних машин і клацніть Огляд сховища даних .

                                                                                                                                                  4. Клацніть значок Передати файли, а потім клацніть Передати файл .

                                                                                                                                                  5. Перейдіть до розташування, куди ви завантажили файл ISO на комп’ютер, і клацніть Відкрити .

                                                                                                                                                  6. Клацніть Так щоб прийняти попередження про операцію передавання/завантаження, і закрийте діалогове вікно сховища даних.

                                                                                                                                                  2.

                                                                                                                                                  Підключіть файл ISO:

                                                                                                                                                  1. На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.

                                                                                                                                                  2. Клацніть OK щоб прийняти попередження про обмеження параметрів редагування.

                                                                                                                                                  3. Клацніть CD/DVD Drive 1, виберіть параметр для підключення з ISO-файлу сховища даних і перейдіть до розташування, куди ви передали ISO-файл конфігурації.

                                                                                                                                                  4. Перевірте Підключено і Підключіться після ввімкнення .

                                                                                                                                                  5. Збережіть зміни та перезавантажте віртуальну машину.

                                                                                                                                                  Що далі

                                                                                                                                                  Якщо цього вимагає політика ІТ, ви можете додатково відключити файл ISO після того, як усі вузли отримають зміни конфігурації. Див (Необов’язково) Відключіть ISO після конфігурації HDS для отримання додаткової інформації.

                                                                                                                                                  Налаштуйте вузол HDS для інтеграції проксі

                                                                                                                                                  Якщо мережеве середовище вимагає проксі, скористайтеся цією процедурою, щоб указати тип проксі, який потрібно інтегрувати з гібридною безпекою даних. Якщо ви виберете прозорий перевіряючий проксі або явний проксі HTTPS, можна використовувати інтерфейс вузла для передавання та встановлення кореневого сертифіката. Ви також можете перевірити підключення проксі в інтерфейсі та усунути будь-які потенційні проблеми.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  1.

                                                                                                                                                  Введіть URL-адресу налаштування вузла HDS https://[HDS Node IP or FQDN]/setup у веббраузері введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .

                                                                                                                                                  2.

                                                                                                                                                  Перейти до Сховище довіри та проксі , а потім виберіть параметр:

                                                                                                                                                  • Немає проксі — Параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібно.
                                                                                                                                                  • Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.
                                                                                                                                                  • Прозорий перевіряючий проксі —Вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних змінювати конфігурацію HTTPS не потрібно, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
                                                                                                                                                  • Явний проксі — За допомогою явного проксі ви вказуєте клієнту (вузли HDS), який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести таку інформацію:
                                                                                                                                                    1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.

                                                                                                                                                    2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.

                                                                                                                                                    3. Протокол проксі —Вибрати http (переглядає й керує всіма запитами, отриманими від клієнта) або https (надає канал до сервера, а клієнт отримує та перевіряє сертифікат сервера). Виберіть параметр залежно від того, що підтримує ваш проксі-сервер.

                                                                                                                                                    4. Тип автентифікації — Виберіть один із таких типів автентифікації:

                                                                                                                                                      • Немає — подальша автентифікація не потрібна.

                                                                                                                                                        Доступно для проксі-серверів HTTP або HTTPS.

                                                                                                                                                      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.

                                                                                                                                                        Доступно для проксі-серверів HTTP або HTTPS.

                                                                                                                                                        Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль.

                                                                                                                                                      • Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.

                                                                                                                                                        Доступно лише для проксі-серверів HTTPS.

                                                                                                                                                        Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль.

                                                                                                                                                  Виконайте наступні кроки для проксі-сервера з перевіркою, проксі-сервера з явним доступом HTTP з базовою автентифікацією або явним проксі-сервером HTTPS.

                                                                                                                                                  3.

                                                                                                                                                  Клацніть Передати кореневий сертифікат або сертифікат кінцевого запису , а потім перейдіть до виберіть кореневий сертифікат для проксі.

                                                                                                                                                  Сертифікат передано, але його ще не встановлено, оскільки для встановлення сертифіката необхідно перезавантажити вузол. Клацніть стрілку в формі шеврону біля імені емітента сертифіката, щоб отримати додаткову інформацію, або клацніть Видалити якщо ви зробили помилку й хочете повторно передати файл.

                                                                                                                                                  4.

                                                                                                                                                  Клацніть Перевірте підключення проксі щоб перевірити підключення до мережі між вузлом і проксі.

                                                                                                                                                  Якщо перевірку підключення не вдалося виконати, ви побачите повідомлення про помилку, у якому буде вказано причину та способи виправлення проблеми.

                                                                                                                                                  Якщо відображається повідомлення про помилку розв’язання зовнішнього DNS, вузлу не вдалося зв’язатися з сервером DNS. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол функціонуватиме в режимі роздільної здатності заблокованого зовнішнього DNS. Якщо ви вважаєте, що це помилка, виконайте ці кроки, а потім перегляньте Вимкніть режим роздільної здатності заблокованого зовнішнього DNS .

                                                                                                                                                  5.

                                                                                                                                                  Після завершення перевірки підключення для явного проксі, установленого лише на https, увімкніть перемикач Маршрутизувати всі запити HTTPS на порт 443/444 від цього вузла через явний проксі-сервер . Це налаштування набуде чинності через 15 секунд.

                                                                                                                                                  6.

                                                                                                                                                  Клацніть Установіть усі сертифікати в сховище довіри (з’являється для явного проксі HTTPS або прозорого проксі-сервера для перевірки) або Перезавантажте (з’являється для явного проксі-сервера HTTP), прочитайте підказку, а потім клацніть Установити якщо ви готові.

                                                                                                                                                  Вузол перезавантажиться за кілька хвилин.

                                                                                                                                                  7.

                                                                                                                                                  Після перезавантаження вузла за потреби ввійдіть ще раз, а потім відкрийте файл Огляд сторінку, щоб перевірити перевірки підключення та переконатися, що всі вони мають зелений стан.

                                                                                                                                                  Перевірка підключення до проксі перевіряє лише субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі з хмарних доменів, перелічених в інструкціях зі встановлення, блокуються на проксі.

                                                                                                                                                  Зареєструйте перший вузол у кластері

                                                                                                                                                  Це завдання використовує загальний вузол, який ви створили в Налаштуйте віртуальну машину гібридної безпеки даних , реєструє вузол у хмарі Webex і перетворює його на вузол гібридної безпеки даних.

                                                                                                                                                  Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначено цей вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.

                                                                                                                                                  • Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у https://admin.webex.com.

                                                                                                                                                  2.

                                                                                                                                                  У меню ліворуч на екрані виберіть Служби .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування .

                                                                                                                                                  З’явиться сторінка Реєстрація вузла безпеки гібридних даних.
                                                                                                                                                  4.

                                                                                                                                                  Виберіть Так , щоб зазначити, що ви налаштували вузол і готові його зареєструвати, а потім клацніть Далі .

                                                                                                                                                  5.

                                                                                                                                                  У першому полі введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних.

                                                                                                                                                  Рекомендовано призначати кластеру залежно від географічного розташування вузлів кластера. Приклади. "Сан-Франциско", "Нью-Йорк" або "Даллас"

                                                                                                                                                  6.

                                                                                                                                                  У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі .

                                                                                                                                                  Ця IP-адреса або повне доменне ім’я має збігатися з IP-адресою або іменем хоста й доменом, які ви використовували Налаштуйте віртуальну машину гібридної безпеки даних .

                                                                                                                                                  З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у Webex.
                                                                                                                                                  7.

                                                                                                                                                  Клацніть Перейдіть до Node .

                                                                                                                                                  8

                                                                                                                                                  Клацніть Продовжити у попередженні.

                                                                                                                                                  Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Тут ви підтверджуєте, що хочете надати дозволи організації Webex на доступ до вашого вузла.
                                                                                                                                                  9

                                                                                                                                                  Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити .

                                                                                                                                                  Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
                                                                                                                                                  10

                                                                                                                                                  Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub.

                                                                                                                                                  На Гібридна безпека даних на сторінці, відображається новий кластер, що містить зареєстрований вами вузол. Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

                                                                                                                                                  Створіть і зареєструйте більше вузлів

                                                                                                                                                  Щоб додати додаткові вузли до кластера, потрібно просто створити додаткові віртуальні машини та підключити той самий файл конфігурації, а потім зареєструвати вузол. Рекомендовано мати принаймні 3 вузли.

                                                                                                                                                   

                                                                                                                                                  Зараз резервні VM, які ви створили Виконайте обов’язкові умови для гібридної безпеки даних резервні хости, які використовуються лише в разі аварійного відновлення; вони не зареєстровані в системі до цього часу. Докладніше див Аварійне відновлення за допомогою резервного центру обробки даних .

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.

                                                                                                                                                  • Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

                                                                                                                                                  1.

                                                                                                                                                  Створіть нову віртуальну машину з OVA, повторивши кроки в Установіть OVA хоста HDS .

                                                                                                                                                  2.

                                                                                                                                                  Налаштуйте початкову конфігурацію на новій віртуальній машині, повторивши кроки в Налаштуйте віртуальну машину гібридної безпеки даних .

                                                                                                                                                  3.

                                                                                                                                                  На новій віртуальній машині повторіть кроки в Вивантажте та підключіть ISO конфігурації HDS .

                                                                                                                                                  4.

                                                                                                                                                  Якщо ви налаштовуєте проксі для свого розгортання, повторіть кроки в розділі Налаштуйте вузол HDS для інтеграції проксі за потребою для нового вузла.

                                                                                                                                                  5.

                                                                                                                                                  Зареєструйте вузол.

                                                                                                                                                  1. Уhttps://admin.webex.com , виберіть Служби з меню в лівій частині екрана.

                                                                                                                                                  2. У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Ресурси .

                                                                                                                                                    З’явиться сторінка ресурсів безпеки гібридних даних.
                                                                                                                                                  3. Клацніть Додати ресурс .

                                                                                                                                                  4. У першому полі виберіть ім’я наявного кластера.

                                                                                                                                                  5. У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі .

                                                                                                                                                    З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у хмарі Webex.
                                                                                                                                                  6. Клацніть Перейдіть до Node .

                                                                                                                                                    Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Там ви підтверджуєте, що хочете надати дозволи вашій організації на доступ до вашого вузла.
                                                                                                                                                  7. Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити .

                                                                                                                                                    Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
                                                                                                                                                  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub.

                                                                                                                                                  Ваш вузол зареєстровано. Зауважте, що поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

                                                                                                                                                  Що далі

                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)
                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії

                                                                                                                                                  Потік завдань із пробної версії до виробничого

                                                                                                                                                  Після налаштування кластера гібридної безпеки даних можна запустити пілот, додати до нього користувачів і почати використовувати його для тестування та перевірки розгортання під час підготовки до переходу до робочої версії.

                                                                                                                                                  1.

                                                                                                                                                  Якщо можливо, синхронізуйте HdsTrialGroup об’єкт групи.

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати HdsTrialGroup груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію. Інструкції див Посібник із розгортання для Cisco Directory Connector.

                                                                                                                                                  2.

                                                                                                                                                  Активувати ознайомлювальну версію

                                                                                                                                                  Почніть пробну версію. Поки ви не виконаєте це завдання, ваші вузли створять попередження, що вказує на те, що служба ще не активована.

                                                                                                                                                  3.

                                                                                                                                                  Перевірте розгортання гібридної безпеки даних

                                                                                                                                                  Перевірте, чи передаються запити на ключ до розгортання гібридної безпеки даних.

                                                                                                                                                  4.

                                                                                                                                                  Моніторинг працездатності гібридної безпеки даних

                                                                                                                                                  Перевірте стан і налаштуйте сповіщення електронною поштою для попереджень.

                                                                                                                                                  5.

                                                                                                                                                  Додавання або видалення користувачів із пробної версії

                                                                                                                                                  6.

                                                                                                                                                  Завершіть ознайомлювальну фазу, виконавши одну з таких дій:

                                                                                                                                                  Активувати ознайомлювальну версію

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати HdsTrialGroup груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію для вашої організації. Інструкції див Посібник із розгортання для Cisco Directory Connector.

                                                                                                                                                  1.

                                                                                                                                                  Увійти вhttps://admin.webex.com , а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Стан служби клацніть Почати пробну версію .

                                                                                                                                                  Стан служби змінюється на ознайомлювальний режим.
                                                                                                                                                  4.

                                                                                                                                                  Клацніть Додати користувачів і введіть адресу електронної пошти одного або кількох користувачів, які будуть використовувати ваші вузли гібридної безпеки даних для служб шифрування та індексування.

                                                                                                                                                  (Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory для керування ознайомлювальною групою, HdsTrialGroup.)

                                                                                                                                                  Перевірте розгортання гібридної безпеки даних

                                                                                                                                                  Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Налаштуйте розгортання гібридної безпеки даних.

                                                                                                                                                  • Активуйте ознайомлювальну версію та додайте кілька користувачів пробної версії.

                                                                                                                                                  • Переконайтеся, що у вас є доступ до системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

                                                                                                                                                  1.

                                                                                                                                                  Ключі для певного простору встановлюються його творцем. Увійдіть у програму Webex як один із пілотних користувачів, а потім створіть простір і запросіть принаймні одного пілотного користувача та одного не пілотного користувача.


                                                                                                                                                   

                                                                                                                                                  Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюють пілотні користувачі, стане недоступним після заміни кешованих клієнтом копій ключів шифрування.

                                                                                                                                                  2.

                                                                                                                                                  Надсилайте повідомлення в новий простір.

                                                                                                                                                  3.

                                                                                                                                                  Перевірте вивід системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

                                                                                                                                                  1. Щоб перевірити, чи є користувач, який спочатку встановлює безпечний канал до KMS, увімкніть фільтр kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис (ідентифікатори скорочені для читабельності):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Щоб перевірити наявність користувача, який запитує наявний ключ із KMS, увімкніть фільтр kms.data.method=retrieve і kms.data.type=KEY.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Щоб перевірити, чи є користувач із запитом щодо створення нового ключа KMS, увімкніть фільтр kms.data.method=create і kms.data.type=KEY_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Щоб перевірити, чи немає користувача, який подав запит щодо створення нового ресурсного об’єкта KMS (KRO), коли створюється простір або інший захищений ресурс, відфільтруйте kms.data.method=create і kms.data.type=RESOURCE_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Моніторинг працездатності гібридної безпеки даних

                                                                                                                                                  Індикатор стану в Control Hub показує, чи все гаразд із розгортанням гібридної безпеки даних. Щоб отримати більше проактивних сповіщень, зареєструйтеся на отримання сповіщень електронною поштою. Ви отримаєте сповіщення про попередження, що впливають на службу, або оновлення програмного забезпечення.
                                                                                                                                                  1.

                                                                                                                                                  У Control Hub , виберіть Служби з меню в лівій частині екрана.

                                                                                                                                                  2.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування .

                                                                                                                                                  З’явиться сторінка параметрів безпеки гібридних даних.
                                                                                                                                                  3.

                                                                                                                                                  У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділені комами, і натисніть Введіть .

                                                                                                                                                  Додавання або видалення користувачів із пробної версії

                                                                                                                                                  Після активації пробної версії й додавання початкового набору користувачів пробної версії можна додавати або видаляти учасників пробної версії будь-коли, поки пробна версія активна.

                                                                                                                                                  Якщо видалити користувача з ознайомлювальної версії, клієнт цього користувача запитуватиме ключі та створення ключів із хмарного KMS замість вашої KMS. Якщо клієнту потрібен ключ, який зберігається у вашій KMS, хмарний KMS отримає його від імені користувача.

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory (замість цієї процедури) для керування ознайомлювальною групою, HdsTrialGroup; Ви можете переглядати учасників групи в Control Hub, але не можете додавати або видаляти їх.

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі «Ознайомлювальний режим» області стану служби клацніть Додати користувачів або клацніть переглянути та змінити щоб видалити користувачів із пробної версії.

                                                                                                                                                  4.

                                                                                                                                                  Введіть адресу електронної пошти одного або кількох користувачів, яких потрібно додати, або клацніть X за допомогою ідентифікатора користувача, щоб видалити користувача з ознайомлювальної версії. Потім натисніть Зберегти.

                                                                                                                                                  Перейдіть із пробної версії до робочої версії

                                                                                                                                                  Коли ви переконаєтеся, що ваше розгортання працює добре для користувачів пробної версії, можна перейти до робочої версії. Після переходу до робочої версії всі користувачі в організації використовуватимуть ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Неможливо повернутися до ознайомлювального режиму з робочої версії, якщо ви не деактивуєте службу в рамках відновлення після аварій. Для повторної активації служби потрібно налаштувати нову ознайомлювальну версію.
                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Стан служби клацніть Перейти до робочої версії .

                                                                                                                                                  4.

                                                                                                                                                  Підтвердьте, що хочете перемістити всіх користувачів у робочу версію.

                                                                                                                                                  Завершіть ознайомлювальну версію, не переходячи на робочу версію

                                                                                                                                                  Якщо під час використання пробної версії ви вирішите не продовжувати розгортання гібридної безпеки даних, можна деактивувати гібридну безпеку даних, що завершить ознайомлювальну версію й перемістить користувачів пробної версії назад до хмарних служб безпеки даних. Користувачі пробної версії втратять доступ до даних, які були зашифровані під час пробної версії.
                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Деактивувати клацніть Деактивувати .

                                                                                                                                                  4.

                                                                                                                                                  Підтвердьте, що хочете деактивувати службу, і завершите ознайомлювальну версію.

                                                                                                                                                  Керуйте своїм розгортанням HDS

                                                                                                                                                  Керуйте розгортанням HDS

                                                                                                                                                  Використовуйте описані тут завдання, щоб керувати розгортанням гібридної безпеки даних.

                                                                                                                                                  Установіть розклад оновлення кластерів

                                                                                                                                                  Оновлення програмного забезпечення для гібридної безпеки даних виконується автоматично на рівні кластера, що гарантує, що на всіх вузлах завжди запущено ту саму версію програмного забезпечення. Оновлення версії виконуються відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стає доступним, у вас є можливість оновити кластер вручну до запланованого часу оновлення. Можна задати конкретний розклад оновлення версії або використовувати розклад за замовчуванням о 3:00 щодня (США): Америка/Лос-Анджелес. За потреби можна також відкласти майбутнє оновлення версії.

                                                                                                                                                  Щоб установити розклад оновлення:

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть в Control Hub.

                                                                                                                                                  2.

                                                                                                                                                  На сторінці "Огляд" у розділі "Гібридні служби" виберіть Гібридна безпека даних .

                                                                                                                                                  3.

                                                                                                                                                  На сторінці Ресурси безпеки гібридних даних виберіть кластер.

                                                                                                                                                  4.

                                                                                                                                                  На панелі «Огляд» праворуч у розділі «Налаштування кластера» виберіть ім’я кластера.

                                                                                                                                                  5.

                                                                                                                                                  На сторінці налаштувань у розділі «Оновлення» виберіть час і часовий пояс для розкладу оновлення.

                                                                                                                                                  Примітка. Під часовим поясом відображається наступна доступна дата й час оновлення версії. За потреби можна відкласти оновлення версії на наступний день, натиснувши Відкласти .

                                                                                                                                                  Змініть конфігурацію вузла

                                                                                                                                                  Іноді вам може знадобитися змінити конфігурацію вузла Hybrid Data Security з такої причини, як:
                                                                                                                                                  • Зміна сертифікатів x.509 через закінчення терміну дії або з інших причин.


                                                                                                                                                     

                                                                                                                                                    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовувався для реєстрації кластера.

                                                                                                                                                  • Оновлення налаштувань бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ми не підтримуємо перенесення даних з PostgreSQL на Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, запустіть нове розгортання Hybrid Data Security.

                                                                                                                                                  • Створення нової конфігурації для підготовки нового дата-центру.

                                                                                                                                                  Крім того, в цілях безпеки Hybrid Data Security використовує паролі облікових записів, які мають дев 'ятимісячний термін служби. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з вузлів HDS у файлі конфігурації ISO. Коли термін дії паролів вашої організації наближається до закінчення, ви отримуєте сповіщення від команди Webex про скидання пароля для облікового запису вашого комп 'ютера. (Електронний лист містить текст: «Використовуйте API облікового запису машини для оновлення пароля.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

                                                                                                                                                  • М 'яке скидання- старий і новий паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

                                                                                                                                                  • Hard Reset- старі паролі негайно перестають працювати.

                                                                                                                                                  Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

                                                                                                                                                  Використовуйте цю процедуру, щоб створити новий файл ISO конфігурації та застосувати його до вашого кластера.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Центру керування з повними правами адміністратора для вашої організації.

                                                                                                                                                    Якщо інструмент налаштування HDS працює за допомогою проксі у вашому середовищі, укажіть налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час відображення контейнера Docker у 1.e . У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-проксі з аутентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Для створення нової конфігурації потрібна копія поточного файлу конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Під час внесення змін до конфігурації, включаючи облікові дані бази даних, оновлення сертифікатів або зміни політики авторизації, потрібно використовувати ISO.

                                                                                                                                                  1.

                                                                                                                                                  Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

                                                                                                                                                  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

                                                                                                                                                    У звичайних умовах:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Цей крок очищає попередні зображення інструментів налаштування HDS. Якщо попередніх зображень немає, він повертає помилку, яку можна проігнорувати.

                                                                                                                                                  2. Щоб увійти до реєстру Docker-образів, введіть наступне:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. У підказці пароля введіть цей хеш:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Завантажте останнє стабільне зображення для вашого середовища:

                                                                                                                                                    У звичайних умовах:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Переконайтеся, що ви витягли останній інструмент налаштування для цієї процедури. Версії інструменту, створені до 22 лютого 2018 року, не мають екранів для скидання пароля.

                                                                                                                                                  5. Після завершення витягування введіть відповідну команду для вашого середовища:

                                                                                                                                                    • У звичайних середовищах без проксі-сервера:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах з HTTP-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах із HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У середовищах FedRAMP без проксі-сервера:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з HTTP-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з HTTPS-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

                                                                                                                                                  6. Використовуйте браузер для підключення до локального вузла, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Інструмент налаштування не підтримує підключення до локального хосту http://localhost:8080. використання http://127.0.0.1:8080 для підключення до локального хосту.

                                                                                                                                                  7. Коли з 'явиться запит, введіть облікові дані для входу в Центр керування клієнтами, а потім натисніть "Прийняти", щоб продовжити.

                                                                                                                                                  8. Імпортуйте поточний файл конфігурації ISO.

                                                                                                                                                  9. Дотримуйтесь вказівок, щоб завершити інструмент і завантажити оновлений файл.

                                                                                                                                                    Щоб вимкнути інструмент налаштування, введіть CTRL+C.

                                                                                                                                                  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

                                                                                                                                                  2.

                                                                                                                                                  Якщо у вас працює лише один вузол HDS, створіть нову віртуальну машину з гібридною системою безпеки даних і зареєструйте її за допомогою нового файлу конфігурації ISO. Докладні інструкції див Створіть і зареєструйте більше вузлів .

                                                                                                                                                  1. Встановіть HDS хост OVA.

                                                                                                                                                  2. Налаштуйте HDS VM.

                                                                                                                                                  3. Змонтуйте оновлений файл конфігурації.

                                                                                                                                                  4. Зареєструйте новий вузол в Control Hub.

                                                                                                                                                  3.

                                                                                                                                                  Для існуючих вузлів HDS, які працюють зі старим файлом конфігурації, монтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

                                                                                                                                                  1. Вимкніть віртуальну машину.

                                                                                                                                                  2. На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.

                                                                                                                                                  3. Клацніть CD/DVD Drive 1, виберіть параметр для монтування з файлу ISO і перейдіть до місця, де ви завантажили новий файл конфігурації ISO.

                                                                                                                                                  4. Перевірте підключення при увімкненому живленні.

                                                                                                                                                  5. Збережіть зміни та ввімкніть віртуальну машину.

                                                                                                                                                  4.

                                                                                                                                                  Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, що працює за старою конфігурацією.

                                                                                                                                                  Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі вузла, процес перевіряє пошук DNS і можливість підключення до хмари Cisco Webex. Якщо сервер DNS вузла не може дозволити загальнодоступні імена DNS, вузол автоматично переходить у режим роздільної здатності заблокованого зовнішнього DNS.

                                                                                                                                                  Якщо ваші вузли здатні дозволяти публічні імена DNS через внутрішні сервери DNS, можна вимкнути цей режим, повторно запустивши перевірку підключення до проксі на кожному вузлі.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Переконайтеся, що ваші внутрішні сервери DNS можуть дозволяти загальнодоступні імена DNS і що ваші вузли можуть зв’язуватися з ними.
                                                                                                                                                  1.

                                                                                                                                                  У веббраузері відкрийте інтерфейс вузла Hybrid Data Security (IP-адреса/налаштування, наприклад,https://192.0.2.0/setup), введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .

                                                                                                                                                  2.

                                                                                                                                                  Перейти до Огляд (сторінка за замовчуванням).

                                                                                                                                                  Якщо ввімкнено, для параметра Blocked External DNS Resolution (Заблокована зовнішня роздільна здатність DNS) встановлено значення

                                                                                                                                                  3.

                                                                                                                                                  Перейдіть до Сховище довіри та проксі сторінка.

                                                                                                                                                  4.

                                                                                                                                                  Клацніть Перевірте підключення проксі .

                                                                                                                                                  Якщо з’явиться повідомлення про помилку розв’язання зовнішнього DNS, вузол не зміг зв’язатися з сервером DNS і залишиться в цьому режимі. В іншому разі після перезавантаження вузла й повернення до Огляд сторінки, роздільна здатність заблокованого зовнішнього DNS має бути встановлена на no.

                                                                                                                                                  Що далі

                                                                                                                                                  Повторіть перевірку підключення до проксі на кожному вузлі в кластері гібридної безпеки даних.

                                                                                                                                                  Видалити вузол

                                                                                                                                                  Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
                                                                                                                                                  1.

                                                                                                                                                  Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi та вимкнути віртуальну машину.

                                                                                                                                                  2.

                                                                                                                                                  Видалити вузол:

                                                                                                                                                  1. Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів безпеки гібридних даних.

                                                                                                                                                  3. Виберіть кластер, щоб відобразити панель «Огляд».

                                                                                                                                                  4. Клацніть Відкрити список вузлів .

                                                                                                                                                  5. На вкладці Вузли виберіть вузол, який потрібно видалити.

                                                                                                                                                  6. Клацніть Дії > Скасувати реєстрацію вузла .

                                                                                                                                                  3.

                                                                                                                                                  У клієнті vSphere видаліть віртуальну машину. (На панелі переходів ліворуч клацніть VM правою кнопкою миші й клацніть Видалити .)

                                                                                                                                                  Якщо ви не видалите віртуальну машину, не забудьте відключити файл ISO конфігурації. Без файлу ISO ви не зможете використовувати віртуальну машину для доступу до даних безпеки.

                                                                                                                                                  Аварійне відновлення за допомогою резервного центру обробки даних

                                                                                                                                                  Найважливіша служба, яку надає кластер гібридної безпеки даних, — це створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, якого призначено до гібридної безпеки даних, запити на створення нових ключів маршрутизуються до кластера. Кластер також відповідає за повернення створених ним ключів будь-яким користувачам, уповноваженим на їх отримання, наприклад учасникам простору розмови.

                                                                                                                                                  Оскільки кластер виконує критичну функцію надання цих ключів, важливо, щоб кластер продовжував працювати та підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕВІДПОВІДАННЯ ВТРАТИ контенту клієнта. Щоб запобігти такій втраті, необхідно дотримуватися наведених нижче дій.

                                                                                                                                                  Якщо внаслідок стихійного лиха розгортання HDS в основному центрі обробки даних стає недоступним, виконайте цю процедуру, щоб вручну перейти до резервного центру обробки даних.

                                                                                                                                                  1.

                                                                                                                                                  Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

                                                                                                                                                  2.

                                                                                                                                                  Після налаштування сервера Syslogd клацніть Розширені налаштування

                                                                                                                                                  3.

                                                                                                                                                  На Розширені налаштування сторінку, додайте конфігурацію нижче або видаліть passiveMode конфігурації, щоб зробити вузол активним. Після налаштування вузол може обробляти трафік.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4.

                                                                                                                                                  Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

                                                                                                                                                  5.

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  6.

                                                                                                                                                  На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування. .

                                                                                                                                                  7.

                                                                                                                                                  Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.


                                                                                                                                                   

                                                                                                                                                  Переконайтеся, що Підключено і Підключіться після ввімкнення перевірено, щоб оновлені зміни конфігурації набули чинності після запуску вузлів.

                                                                                                                                                  8

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

                                                                                                                                                  9

                                                                                                                                                  Повторіть процес для кожного вузла в резервному центрі обробки даних.


                                                                                                                                                   

                                                                                                                                                  Перевірте вивід системного журналу, щоб переконатися, що вузли резервного центру обробки даних не перебувають у пасивному режимі. "KMS налаштовано в пасивному режимі" не має відображатися в системних журналах.

                                                                                                                                                  Що далі

                                                                                                                                                  Якщо після відмови основний центр обробки даних знову стане активним, переведіть резервний центр обробки даних у пасивний режим знову, виконавши дії, описані в Налаштуйте резервний центр обробки даних для аварійного відновлення .

                                                                                                                                                  (Необов’язково) Відключіть ISO після конфігурації HDS

                                                                                                                                                  Стандартна конфігурація HDS працює з установленим ISO. Однак деякі клієнти вважають за краще не залишати файли ISO безперервно підключеними. Можна відключити файл ISO після того, як усі вузли HDS отримають нову конфігурацію.

                                                                                                                                                  Ви все ще використовуєте файли ISO для внесення змін конфігурації. Коли ви створюєте новий ISO або оновлюєте ISO за допомогою інструмента налаштування, ви повинні підключити оновлений ISO на всіх вузлах HDS. Після того як усі ваші вузли приймуть зміни конфігурації, ви можете знову відключити ISO за допомогою цієї процедури.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Оновіть усі вузли HDS до версії 2021.01.22.4720 або пізнішої.

                                                                                                                                                  1.

                                                                                                                                                  Вимкніть один із вузлів HDS.

                                                                                                                                                  2.

                                                                                                                                                  У vCenter Server Appliance виберіть вузол HDS.

                                                                                                                                                  3.

                                                                                                                                                  Виберіть Змінити налаштування > CD/DVD-привід і зніміть прапорець Файл ISO сховища даних .

                                                                                                                                                  4.

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що попередження немає принаймні 20 хвилин.

                                                                                                                                                  5.

                                                                                                                                                  Повторіть по черзі для кожного вузла HDS.

                                                                                                                                                  Усунення проблем гібридної безпеки даних

                                                                                                                                                  Перегляд сповіщень і усунення несправностей

                                                                                                                                                  Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що запитує тайм-аут. Якщо користувачі не можуть підключитися до кластера гібридної безпеки даних, у них з’являються такі ознаки:

                                                                                                                                                  • Неможливо створити нові простори (неможливо створити нові ключі)

                                                                                                                                                  • Не вдалося розшифрувати повідомлення та назви просторів для:

                                                                                                                                                    • До простору додано нових користувачів (не вдається отримати ключі)

                                                                                                                                                    • Наявні користувачі в просторі, що використовують нового клієнта (не вдається отримати ключі)

                                                                                                                                                  • Наявні користувачі в просторі продовжуватимуть успішно працювати, доки їхні клієнти мають кеш ключів шифрування.

                                                                                                                                                  Важливо належним чином відстежувати кластер гібридної безпеки даних і своєчасно виправляти будь-які сповіщення, щоб уникнути перебоїв у роботі служби.

                                                                                                                                                  Сповіщення

                                                                                                                                                  Якщо виникла проблема з налаштуванням гібридної безпеки даних, Control Hub відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато поширених сценаріїв.

                                                                                                                                                  Таблиця 1. Загальні проблеми та кроки до їх вирішення

                                                                                                                                                  Оповіщення

                                                                                                                                                  Дія

                                                                                                                                                  Помилка доступу до локальної бази даних.

                                                                                                                                                  Перевірте помилки бази даних або проблеми з локальною мережею.

                                                                                                                                                  Помилка підключення до локальної бази даних.

                                                                                                                                                  Переконайтеся, що сервер бази даних доступний, а в конфігурації вузла використано правильні облікові дані облікового запису служби.

                                                                                                                                                  Помилка доступу до хмарної служби.

                                                                                                                                                  Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього підключення .

                                                                                                                                                  Поновлення реєстрації хмарної служби.

                                                                                                                                                  Реєстрацію в хмарних службах перервано. Триває поновлення реєстрації.

                                                                                                                                                  Реєстрацію хмарної служби зупинено.

                                                                                                                                                  Реєстрацію в хмарних службах припинено. Служба завершується.

                                                                                                                                                  Службу ще не активовано.

                                                                                                                                                  Активуйте ознайомлювальну версію або завершите переміщення пробної версії до робочої версії.

                                                                                                                                                  Налаштований домен не відповідає сертифікату сервера.

                                                                                                                                                  Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

                                                                                                                                                  Найімовірніша причина полягає в тому, що CN сертифіката було нещодавно змінено, і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

                                                                                                                                                  Не вдалося автентифікуватися в хмарних службах.

                                                                                                                                                  Перевірте точність і можливе закінчення терміну дії облікових даних облікового запису служби.

                                                                                                                                                  Не вдалося відкрити файл локального сховища ключів.

                                                                                                                                                  Перевірте цілісність і точність пароля у файлі локального сховища ключів.

                                                                                                                                                  Сертифікат локального сервера неприпустимий.

                                                                                                                                                  Перевірте дату закінчення терміну дії сертифіката сервера та переконайтеся, що його видано довіреним центром сертифікації.

                                                                                                                                                  Не вдалося опублікувати показники.

                                                                                                                                                  Перевірте доступ локальної мережі до зовнішніх хмарних служб.

                                                                                                                                                  /media/configdrive/hds не існує.

                                                                                                                                                  Перевірте конфігурацію монтування ISO на віртуальному хості. Переконайтеся, що файл ISO існує, що його налаштовано на підключення під час перезавантаження та що він успішно підключений.

                                                                                                                                                  Усунення проблем гібридної безпеки даних

                                                                                                                                                  Використовуйте наведені далі загальні інструкції під час усунення проблем із гібридною безпекою даних.
                                                                                                                                                  1.

                                                                                                                                                  Перевірте Control Hub на наявність сповіщень і виправте будь-які елементи, які ви там знайдете.

                                                                                                                                                  2.

                                                                                                                                                  Перевірте вивід сервера системного журналу щодо активності розгортання гібридної безпеки даних.

                                                                                                                                                  3.

                                                                                                                                                  Контакт Підтримка Cisco .

                                                                                                                                                  Інші примітки

                                                                                                                                                  Відомі проблеми безпеки гібридних даних

                                                                                                                                                  • Якщо ви завершите роботу кластера гібридної безпеки даних (шляхом видалення його в Control Hub або закривши всі вузли), втратите файл ISO конфігурації або втратите доступ до бази даних сховища ключів, користувачі програми Webex більше не зможуть використовувати простори в розділі "Контакти". список, створений за допомогою ключів із KMS. Це стосується як пробного, так і робочого розгортання. Наразі ми не маємо обхідних шляхів або виправлення цієї проблеми. Ми закликаємо вас не закривати служби HDS після того, як вони оброблятимуть активні облікові записи користувачів.

                                                                                                                                                  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом певного періоду часу (імовірно, однієї години). Коли користувач стає учасником ознайомлювальної версії гібридної безпеки даних, клієнт користувача продовжує використовувати наявне підключення ECDH, доки не завершиться час очікування. Крім того, користувач може вийти та знову ввійти в програму Webex, щоб оновити розташування, до якого програма звертається для отримання ключів шифрування.

                                                                                                                                                    Така ж поведінка відбувається під час переміщення пробної версії до робочої версії для організації. Усі користувачі без пробної версії, які мають наявні підключення ECDH до попередніх служб безпеки даних, продовжуватимуть використовувати ці служби, доки не буде переузгоджено підключення ECDH (через тайм-аут або вихід із системи та повторний вхід).

                                                                                                                                                  Використовуйте OpenSSL для створення файлу PKCS12

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • OpenSSL — це один із інструментів, який можна використовувати для створення файлу PKCS12 у відповідному форматі для завантаження в інструменті налаштування HDS. Це можна зробити й іншими способами. Ми не підтримуємо й не рекламуємо один із них.

                                                                                                                                                  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, яка допоможе вам створити файл, який відповідає вимогам до сертифіката X.509 у Вимоги до сертифіката X.509 . Ознайомтеся з цими вимогами, перш ніж продовжити.

                                                                                                                                                  • Установіть OpenSSL у підтримуваному середовищі. Дивhttps://www.openssl.org для програмного забезпечення та документації.

                                                                                                                                                  • Створіть закритий ключ.

                                                                                                                                                  • Почніть цю процедуру, коли отримаєте сертифікат сервера від центру сертифікації (CA).

                                                                                                                                                  1.

                                                                                                                                                  Отримавши сертифікат сервера від CA, збережіть його як hdsnode.pem.

                                                                                                                                                  2.

                                                                                                                                                  Відобразіть сертифікат у вигляді тексту та перевірте відомості.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3.

                                                                                                                                                  Використовуйте текстовий редактор, щоб створити файл пакета сертифікатів під назвою hdsnode-bundle.pem. Файл пакета має містити сертифікат сервера, будь-які проміжні сертифікати CA та сертифікати кореневого CA у форматі нижче:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4.

                                                                                                                                                  Створіть файл .p12 зі зручним іменем kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5.

                                                                                                                                                  Перевірте відомості про сертифікат сервера.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Введіть пароль у підказці, щоб зашифрувати закритий ключ, щоб він відображався у виводі. Потім переконайтеся, що закритий ключ і перший сертифікат містять рядки friendlyName: kms-private-key.

                                                                                                                                                    Приклад:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Що далі

                                                                                                                                                  Повернутися до Виконайте обов’язкові умови для гібридної безпеки даних . Ви використовуватимете hdsnode.p12 файл і пароль, який ви для нього встановили, у Створіть ISO конфігурації для хостів HDS .


                                                                                                                                                   

                                                                                                                                                  Ви можете повторно використовувати ці файли для запиту нового сертифіката після завершення терміну дії оригінального сертифіката.

                                                                                                                                                  Трафік між вузлами HDS і хмарою

                                                                                                                                                  Трафік збору вихідних показників

                                                                                                                                                  Вузли гібридної безпеки даних надсилають певні показники до хмари Webex. До них належать системні показники для максимальної кількості накопичувачів, використаної пам’яті, навантаження на ЦП і кількості потоків; метрики для синхронних та асинхронних потоків; показники для оповіщень, що включають поріг з’єднань шифрування, затримку або довжину черги запитів; метрики в сховищі даних; і показники підключення шифрування. Вузли надсилають матеріал зашифрованого ключа через позасмуговий (окремий від запиту) канал.

                                                                                                                                                  Вхідний трафік

                                                                                                                                                  Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

                                                                                                                                                  • Запити шифрування від клієнтів, які маршрутизуються службою шифрування

                                                                                                                                                  • Оновлення програмного забезпечення вузла

                                                                                                                                                  Налаштуйте проксі Squid для гібридної безпеки даних

                                                                                                                                                  Websocket не вдається підключитися через проксі-сервер Squid

                                                                                                                                                  Проксі-сервери Squid, які перевіряють трафік HTTPS, можуть перешкоджати встановленню websocket ( wss:) підключення, які вимагає Hybrid Data Security. У цих розділах наведено інструкції щодо налаштування різних версій Squid для ігнорування wss: трафіку для належної роботи служб.

                                                                                                                                                  Кальмари 4 і 5

                                                                                                                                                  Додайте on_unsupported_protocol директива до squid.conf.

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Ми успішно перевірили безпеку гібридних даних, додавши такі правила squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Preface

                                                                                                                                                  New and changed information

                                                                                                                                                  Дата

                                                                                                                                                  Changes Made

                                                                                                                                                  October 20, 2023

                                                                                                                                                  August 07, 2023

                                                                                                                                                  May 23, 2023

                                                                                                                                                  December 06, 2022

                                                                                                                                                  November 23, 2022

                                                                                                                                                  13 жовтня 2021 р.

                                                                                                                                                  Docker Desktop needs to run a setup program before you can install HDS nodes. See Docker Desktop Requirements.

                                                                                                                                                  Червні 24, 2021

                                                                                                                                                  Noted that you can reuse the private key file and CSR to request another certificate. See Use OpenSSL to Generate a PKCS12 File for details.

                                                                                                                                                  30 квітня 2021 р.

                                                                                                                                                  Changed the VM requirement for local hard disk space to 30 GB. See Virtual Host Requirements for details.

                                                                                                                                                  24 лютого 2021 р.

                                                                                                                                                  HDS Setup Tool can now run behind a proxy. See Create a Configuration ISO for the HDS Hosts for details.

                                                                                                                                                  2 лютого 2021 р.

                                                                                                                                                  HDS can now run without a mounted ISO file. See (Optional) Unmount ISO After HDS Configuration for details.

                                                                                                                                                  January 11, 2021

                                                                                                                                                  Added info on HDS Setup tool and proxies to Create a Configuration ISO for the HDS Hosts.

                                                                                                                                                  Жовтень 13, 2020

                                                                                                                                                  Updated Download Installation Files.

                                                                                                                                                  8 жовтня 2020 р.

                                                                                                                                                  Updated Create a Configuration ISO for the HDS Hosts and Change the Node Configuration with commands for FedRAMP environments.

                                                                                                                                                  14 серпня 2020 р.

                                                                                                                                                  Updated Create a Configuration ISO for the HDS Hosts and Change the Node Configuration with changes to the sign-in process.

                                                                                                                                                  5 серпня 2020 р.

                                                                                                                                                  Updated Test Your Hybrid Data Security Deployment for changes in log messages.

                                                                                                                                                  Updated Virtual Host Requirements to remove maximum number of hosts.

                                                                                                                                                  16 червня 2020 р.

                                                                                                                                                  Updated Remove a Node for changes in the Control Hub UI.

                                                                                                                                                  4 червня 2020 р.

                                                                                                                                                  Updated Create a Configuration ISO for the HDS Hosts for changes in the Advanced Settings that you might set.

                                                                                                                                                  29 травня 2020 р.

                                                                                                                                                  Updated Create a Configuration ISO for the HDS Hosts to show you can also use TLS with SQL Server databases, UI changes, and other clarifications.

                                                                                                                                                  5 травня 2020 р.

                                                                                                                                                  Updated Virtual Host Requirements to show new requirement of ESXi 6.5.

                                                                                                                                                  April 21, 2020

                                                                                                                                                  Updated External connectivity requirements with new Americas CI hosts.

                                                                                                                                                  April 1, 2020

                                                                                                                                                  Updated External connectivity requirements with information on regional CI hosts.

                                                                                                                                                  Лютого 20, 2020Updated Create a Configuration ISO for the HDS Hosts with information on new optional Advanced Settings screen in the HDS Setup Tool.
                                                                                                                                                  February 4, 2020Updated Proxy Server Requirements.
                                                                                                                                                  16 грудня 2019 р.Clarified the requirement for Blocked External DNS Resolution Mode to work in Proxy Server Requirements.
                                                                                                                                                  19 листопада 2019 р.

                                                                                                                                                  Added information about Blocked External DNS Resolution Mode in the following sections:

                                                                                                                                                  Листопад 8, 2019

                                                                                                                                                  You can now configure network settings for a node while deploying the OVA rather than afterwards.

                                                                                                                                                  Updated the following sections accordingly:


                                                                                                                                                   

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  Вересень 6, 2019

                                                                                                                                                  Added SQL Server Standard to Database server requirements.

                                                                                                                                                  August 29, 2019Added Configure Squid Proxies for Hybrid Data Security appendix with guidance on configuring Squid proxies to ignore websocket traffic for proper operation.
                                                                                                                                                  20 серпня 2019 р.

                                                                                                                                                  Added and updated sections to cover proxy support for Hybrid Data Security node communications to the Webex cloud.

                                                                                                                                                  To access just the proxy support content for an existing deployment, see the Proxy Support for Hybrid Data Security and Webex Video Mesh help article.

                                                                                                                                                  June 13, 2019Updated Trial to Production Task Flow with a reminder to synchronize the HdsTrialGroup group object before starting a trial if your organization uses directory synchronization.
                                                                                                                                                  March 6, 2019
                                                                                                                                                  27 лютого 2020 р.
                                                                                                                                                  • Corrected the amount of local hard disk space per server that you should set aside when preparing the virtual hosts that become the Hybrid Data Security nodes, from 50-GB to 20-GB, to reflect the size of disk that the OVA creates.

                                                                                                                                                  26 лютого 2019 р.
                                                                                                                                                  • Hybrid Data Security nodes now support encrypted connections with PostgreSQL database servers, and encrypted logging connections to a TLS-capable syslog server. Updated Create a Configuration ISO for the HDS Hosts with instructions.

                                                                                                                                                  • Removed destination URLs from the "Internet Connectivity Requirements for Hybrid Data Security Node VMs" table. The table now refers to the list maintained in the "Additional URLs for Webex Teams Hybrid Services" table of Network Requirements for Webex Teams Services.

                                                                                                                                                  Січень 24, 2019

                                                                                                                                                  • Hybrid Data Security now supports Microsoft SQL Server as a database. SQL Server Always On (Always On Failover Clusters and Always on Availability Groups) is supported by the JDBC drivers that are used in Hybrid Data Security. Added content related to deploying with SQL Server.


                                                                                                                                                     

                                                                                                                                                    Підтримку Microsoft SQL Server призначено лише для нового розгортання служби безпеки даних гібридного типу. Наразі міграція даних із PostgreSQL у Microsoft SQL Server у наявному розгортанні не підтримується.

                                                                                                                                                  November 5, 2018
                                                                                                                                                  October 19, 2018

                                                                                                                                                  July 31, 2018

                                                                                                                                                  21 травня 2018 р.

                                                                                                                                                  Changed terminology to reflect the rebranding of Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security is now Hybrid Data Security.

                                                                                                                                                  • The Cisco Spark app is now the Webex App app.

                                                                                                                                                  • The Cisco Collaboraton Cloud is now the Webex cloud.

                                                                                                                                                  April 11, 2018
                                                                                                                                                  Лютого 22, 2018
                                                                                                                                                  February 15, 2018
                                                                                                                                                  • In the X.509 Certificate Requirements table, specified that the certificate cannot be a wildcard certificate, and that the KMS uses the CN domain, not any domain that's defined in the x.509v3 SAN fields.

                                                                                                                                                  January 18, 2018

                                                                                                                                                  November 2, 2017

                                                                                                                                                  • Clarified directory synchronization of the HdsTrialGroup.

                                                                                                                                                  • Fixed instructions for uploading the ISO configuration file for mounting to the VM nodes.

                                                                                                                                                  August 18, 2017

                                                                                                                                                  First published

                                                                                                                                                  Get Started with Hybrid Data Security

                                                                                                                                                  Hybrid Data Security Overview

                                                                                                                                                  From day one, data security has been the primary focus in designing Webex App. The cornerstone of this security is end-to-end content encryption, enabled by Webex App clients interacting with the Key Management Service (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і дешифрування повідомлень і файлів.

                                                                                                                                                  By default, all Webex App customers get end-to-end encryption with dynamic keys stored in the cloud KMS, in Cisco's security realm. Гібридна безпека даних переміщує KMS та інші функції, пов'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не тримає ключі до вашого зашифрованого вмісту.

                                                                                                                                                  Security Realm Architecture

                                                                                                                                                  The Webex cloud architecture separates different types of service into separate realms, or trust domains, as depicted below.

                                                                                                                                                  Realms of Separation (without Hybrid Data Security)

                                                                                                                                                  To further understand Hybrid Data Security, let's first look at this pure cloud case, where Cisco is providing all functions in its cloud realms. The identity service, the only place where users can be directly correlated with their personal information such as email address, is logically and physically separate from the security realm in data center B. Both are in turn separate from the realm where encrypted content is ultimately stored, in data center C.

                                                                                                                                                  In this diagram, the client is the Webex App running on a user's laptop, and has authenticated with the identity service. When the user composes a message to send to a space, the following steps take place:

                                                                                                                                                  1. The client establishes a secure connection with the key management service (KMS), then requests a key to encrypt the message. The secure connection uses ECDH, and the KMS encrypts the key using an AES-256 master key.

                                                                                                                                                  2. The message is encrypted before it leaves the client. The client sends it to the indexing service, which creates encrypted search indexes to aid in future searches for the content.

                                                                                                                                                  3. The encrypted message is sent to the compliance service for compliance checks.

                                                                                                                                                  4. The encrypted message is stored in the storage realm.

                                                                                                                                                  When you deploy Hybrid Data Security, you move the security realm functions (KMS, indexing, and compliance) to your on-premises data center. The other cloud services that make up Webex (including identity and content storage) remain in Cisco’s realms.

                                                                                                                                                  Collaborating with Other Organizations

                                                                                                                                                  Users in your organization may regularly use Webex App to collaborate with external participants in other organizations. When one of your users requests a key for a space that is owned by your organization (because it was created by one of your users) your KMS sends the key to the client over an ECDH secured channel. However, when another organization owns the key for the space, your KMS routes the request out to the Webex cloud through a separate ECDH channel to get the key from the appropriate KMS, and then returns the key to your user on the original channel.

                                                                                                                                                  The KMS service running on Org A validates the connections to KMSs in other organizations using x.509 PKI certificates. See Prepare Your Environment for details on generating an x.509 certificate to use with your Hybrid Data Security deployment.

                                                                                                                                                  Expectations for Deploying Hybrid Data Security

                                                                                                                                                  A Hybrid Data Security deployment requires significant customer commitment and an awareness of the risks that come with owning encryption keys.

                                                                                                                                                  To deploy Hybrid Data Security, you must provide:

                                                                                                                                                  Complete loss of either the configuration ISO that you build for Hybrid Data Security or the database that you provide will result in the loss of the keys. Key loss prevents users from decrypting space content and other encrypted data in Webex App. If this happens, you can build a new deployment, but only new content will be visible. To avoid loss of access to data, you must:

                                                                                                                                                  • Manage the backup and recovery of the database and the configuration ISO.

                                                                                                                                                  • Be prepared to perform quick disaster recovery if a catastrophe occurs, such as database disk failure or data center disaster.


                                                                                                                                                   

                                                                                                                                                  There is no mechanism to move keys back to the Cloud after an HDS deployment.

                                                                                                                                                  High-level Setup Process

                                                                                                                                                  This document covers the setup and management of a Hybrid Data Security deployment:

                                                                                                                                                  • Set up Hybrid Data Security—This includes preparing required infrastructure and installing Hybrid Data Security software, testing your deployment with a subset of users in trial mode, and, once your testing is complete, moving to production. This converts the entire organization to use your Hybrid Data Security cluster for security functions.

                                                                                                                                                    The setup, trial, and production phases are covered in detail in the next three chapters.

                                                                                                                                                  • Maintain your Hybrid Data Security deployment—The Webex cloud automatically provides ongoing upgrades. Your IT department can provide tier one support for this deployment, and engage Cisco support as needed. You can use on-screen notifications and set up email-based alerts in Control Hub.

                                                                                                                                                  • Understand common alerts, troubleshooting steps, and known issues—If you run into trouble deploying or using Hybrid Data Security, the last chapter of this guide and the Known Issues appendix may help you determine and fix the issue.

                                                                                                                                                  Hybrid Data Security Deployment Model

                                                                                                                                                  Within your enterprise data center, you deploy Hybrid Data Security as a single cluster of nodes on separate virtual hosts. The nodes communicate with the Webex cloud through secure websockets and secure HTTP.

                                                                                                                                                  During the installation process, we provide you with the OVA file to set up the virtual appliance on the VMs that you provide. You use the HDS Setup Tool to create a custom cluster configuration ISO file that you mount on each node. The Hybrid Data Security cluster uses your provided Syslogd server and PostgreSQL or Microsoft SQL Server database. (You configure the Syslogd and database connection details in the HDS Setup Tool.)

                                                                                                                                                  Hybrid Data Security Deployment Model

                                                                                                                                                  The minimum number of nodes you can have in a cluster is two. We recommend at least three, and you can have up to five. Having multiple nodes ensures that service is not interrupted during a software upgrade or other maintenance activity on a node. (The Webex cloud only upgrades one node at a time.)

                                                                                                                                                  All nodes in a cluster access the same key datastore, and log activity to the same syslog server. The nodes themselves are stateless, and handle key requests in round-robin fashion, as directed by the cloud.

                                                                                                                                                  Nodes become active when you register them in Control Hub. To take an individual node out of service, you can deregister it, and later reregister it if needed.

                                                                                                                                                  We support only a single cluster per organization.

                                                                                                                                                  Hybrid Data Security Trial Mode

                                                                                                                                                  After setting up a Hybrid Data Security deployment, you first try it with a set of pilot users. During the trial period, these users use your on-premises Hybrid Data Security domain for encryption keys and other security realm services. Your other users continue to use the cloud security realm.

                                                                                                                                                  If you decide not to continue with the deployment during the trial and deactivate the service, the pilot users and any users they have interacted with by creating new spaces during the trial period will lose access to the messages and content. They will see “This message cannot be decrypted” in the Webex App.

                                                                                                                                                  If you are satisfied that your deployment is working well for the trial users and you are ready to extend Hybrid Data Security to all of your users, you move the deployment to production. Pilot users continue to have access to the keys that were in use during the trial. However, you cannot move back and forth between production mode and the original trial. If you must deactivate the service, such as to perform disaster recovery, when you reactivate you must start a new trial and set up the set of pilot users for the new trial before moving back to production mode. Whether users retain access to data at this point depends on whether you have successfully maintained backups of the key data store and the ISO configuration file for the Hybrid Data Security nodes in your cluster.

                                                                                                                                                  Standby Data Center for Disaster Recovery

                                                                                                                                                  During deployment, you set up a secure standby data center. In the event of a data center disaster, you can manually fail your deployment over to the standby data center.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manual Failover to Standby Data Center

                                                                                                                                                  The databases of the active and standby data centers are in sync with each other which will minimize the time taken to perform the failover. The ISO file of the standby data center is updated with additional configurations which ensure that the nodes are registered to the organization, but will not handle traffic. Hence, the nodes of the standby data center always remain up-to-date with the latest version of HDS software.


                                                                                                                                                   

                                                                                                                                                  The active Hybrid Data Security nodes must always be in the same data center as the active database server.

                                                                                                                                                  Setup Standby Data Center for Disaster Recovery

                                                                                                                                                  Follow the steps below to configure the ISO file of the standby data center:

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • The standby data center should mirror the production environment of VMs and a backup PostgreSQL or Microsoft SQL Server database. For example, if production has 3 VMs running HDS nodes, the backup environment should have 3 VMs. (See Standby Data Center for Disaster Recovery for an overview of this failover model.)

                                                                                                                                                  • Make sure database sync is enabled between the database of active and passive cluster nodes.

                                                                                                                                                  1

                                                                                                                                                  Start the HDS Setup tool and follow the steps mentioned in Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  The ISO file must be a copy of the original ISO file of the primary data center onto which the following configuration updates are to be made.

                                                                                                                                                  2

                                                                                                                                                  After configuring the Syslogd server, click on Advanced Settings

                                                                                                                                                  3

                                                                                                                                                  On the Advanced Settings page, add the configuration below to place the node in passive mode. In this mode the node will be registered to the organization and connected to cloud, but will not handle any traffic.

                                                                                                                                                   passiveMode: 'true' 

                                                                                                                                                  4

                                                                                                                                                  Complete the configuration process and save the ISO file in a location that's easy to find.

                                                                                                                                                  5

                                                                                                                                                  Make a backup copy of the ISO file on your local system. Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.

                                                                                                                                                  6

                                                                                                                                                  In the VMware vSphere client's left navigation pane, right-click on the VM and click Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Click Edit Settings >CD/DVD Drive 1 and select Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Make sure Connected and Connect at power on are checked so that updated configuration changes can take effect after starting the nodes.

                                                                                                                                                  8

                                                                                                                                                  Power on the HDS node and make sure there are no alarms for at least 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Repeat the process for every node in the standby data center.


                                                                                                                                                   

                                                                                                                                                  Check the syslogs to verify that the nodes are in passive mode. You should be able to view the message “KMS configured in passive mode” in the syslogs.

                                                                                                                                                  Що далі

                                                                                                                                                  After configuring passiveMode in the ISO file and saving it, you can create another copy of the ISO file without the passiveMode configuration and save it in a secure location. This copy of the ISO file without passiveMode configured can help in a quick failover process during disaster recovery. See Disaster Recovery using Standby Data Center for the detailed failover procedure.

                                                                                                                                                  Підтримка проксі

                                                                                                                                                  Гібридна безпека даних підтримує явні, прозорі перевірки та неінспектування проксі. Ви можете прив'язати ці проксі до свого розгортання, щоб ви могли захищати та контролювати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для управління сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

                                                                                                                                                  Гібридні вузли захисту даних підтримують такі параметри проксі-сервера:

                                                                                                                                                  • No proxy—The default if you do not use the HDS node setup Trust Store & Proxy configuration to integrate a proxy. Оновлення сертифіката не потрібне.

                                                                                                                                                  • Transparent non-inspecting proxy—The nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. Оновлення сертифіката не потрібне.

                                                                                                                                                  • Transparent tunneling or inspecting proxy—The nodes are not configured to use a specific proxy server address. На вузлах не потрібні зміни конфігурації HTTP або HTTPS. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

                                                                                                                                                  • Explicit proxy—With explicit proxy, you tell the HDS nodes which proxy server and authentication scheme to use. Щоб налаштувати явний проксі, необхідно ввести наступну інформацію на кожному вузлі:

                                                                                                                                                    1. Proxy IP/FQDN—Address that can be used to reach the proxy machine.

                                                                                                                                                    2. Proxy Port—A port number that the proxy uses to listen for proxied traffic.

                                                                                                                                                    3. Proxy Protocol—Depending on what your proxy server supports, choose between the following protocols:

                                                                                                                                                      • HTTP — Перегляд і контроль усіх запитів, які надсилає клієнт.

                                                                                                                                                      • HTTPS — забезпечує канал серверу. Клієнт отримує та перевіряє сертифікат сервера.

                                                                                                                                                    4. Authentication Type—Choose from among the following authentication types:

                                                                                                                                                      • None—No further authentication is required.

                                                                                                                                                        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

                                                                                                                                                      • Basic—Used for an HTTP User Agent to provide a user name and password when making a request. Використовує кодування Base64.

                                                                                                                                                        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

                                                                                                                                                        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

                                                                                                                                                      • Digest—Used to confirm the account before sending sensitive information. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

                                                                                                                                                        Доступно, лише якщо в якості проксі-протоколу вибрано протокол HTTPS.

                                                                                                                                                        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

                                                                                                                                                  Приклад гібридних вузлів безпеки даних і проксі-сервера

                                                                                                                                                  На цій схемі наведено приклад підключення між гібридною безпекою даних, мережею та проксі-сервером. Для прозорої перевірки та явної перевірки параметрів проксі-сервера HTTPS на проксі-сервері та на вузлах гібридної безпеки даних повинен бути встановлений той самий кореневий сертифікат.

                                                                                                                                                  Заблокований зовнішній режим роздільної здатності DNS (явні конфігурації проксі)

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. У розгортаннях з явними конфігураціями проксі-сервера, які не дозволяють зовнішню роздільну здатність DNS для внутрішніх клієнтів, якщо вузол не може запитувати DNS-сервери, він автоматично переходить у режим блокування зовнішньої роздільної здатності DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести проксі-підключення.

                                                                                                                                                  Підготуйте своє оточення

                                                                                                                                                  Requirements for Hybrid Data Security

                                                                                                                                                  Docker Desktop Requirements

                                                                                                                                                  Before you install your HDS nodes, you need Docker Desktop to run a setup program. Docker recently updated their licensing model. Ваша організація може вимагати платну підписку на Docker Desktop. Для отримання детальної інформації див. допис у блозі Docker "Docker оновлює та розширює підписку на наш продукт".

                                                                                                                                                  X.509 Certificate Requirements

                                                                                                                                                  The certificate chain must meet the following requirements:

                                                                                                                                                  Таблиця 1. X.509 Certificate Requirements for Hybrid Data Security Deployment

                                                                                                                                                  Вимоги

                                                                                                                                                  Відомості

                                                                                                                                                  • Signed by a trusted Certificate Authority (CA)

                                                                                                                                                  By default, we trust the CAs in the Mozilla list (with the exception of WoSign and StartCom) at https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Bears a Common Name (CN) domain name that identifies your Hybrid Data Security deployment

                                                                                                                                                  • Is not a wildcard certificate

                                                                                                                                                  The CN does not need to be reachable or a live host. We recommend that you use a name which reflects your organization, for example, hds.company.com.

                                                                                                                                                  The CN must not contain a * (wildcard).

                                                                                                                                                  The CN is used to verify the Hybrid Data Security nodes to Webex App clients. All of the Hybrid Data Security nodes in your cluster use the same certificate. Your KMS identifies itself using the CN domain, not any domain that is defined in the x.509v3 SAN fields.

                                                                                                                                                  Once you have registered a node with this certificate, we do not support changing the CN domain name. Choose a domain that can apply to both the trial and production deployments.

                                                                                                                                                  • Non-SHA1 signature

                                                                                                                                                  The KMS software does not support SHA1 signatures for validating connections to other organizations' KMSs.

                                                                                                                                                  • Formatted as a password-protected PKCS #12 file

                                                                                                                                                  • Use the friendly name of kms-private-key to tag the certificate, private key, and any intermediate certificates to upload.

                                                                                                                                                  You can use a converter such as OpenSSL to change your certificate's format.

                                                                                                                                                  You will need to enter the password when you run the HDS Setup Tool.

                                                                                                                                                  The KMS software does not enforce key usage or extended key usage constraints. Some certificate authorities require that extended key usage constraints be applied to each certificate, such as server authentication. It is okay to use the server authentication or other settings.

                                                                                                                                                  Virtual Host Requirements

                                                                                                                                                  The virtual hosts that you will set up as Hybrid Data Security nodes in your cluster have the following requirements:

                                                                                                                                                  • At least two separate hosts (3 recommended) colocated in the same secure data center

                                                                                                                                                  • VMware ESXi 6.5 (or later) installed and running.


                                                                                                                                                     

                                                                                                                                                    You must upgrade if you have an earlier version of ESXi.

                                                                                                                                                  • Minimum 4 vCPUs, 8-GB main memory, 30-GB local hard disk space per server

                                                                                                                                                  Database server requirements


                                                                                                                                                   

                                                                                                                                                  Create a new database for key storage. Don’t use the default database. The HDS applications, when installed, create the database schema.

                                                                                                                                                  There are two options for database server. The requirements for each are as follows:

                                                                                                                                                  Таблиця 2. Database server requirements by type of database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15, or 16, installed and running.

                                                                                                                                                  • SQL Server 2016, 2017, or 2019 (Enterprise or Standard) installed.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 requires Service Pack 2 and Cumulative Update 2 or later.

                                                                                                                                                  Minimum 8 vCPUs, 16-GB main memory, sufficient hard disk space and monitoring to ensure that it is not exceeded (2-TB recommended if you want to run the database for a long time without needing to increase the storage)

                                                                                                                                                  Minimum 8 vCPUs, 16-GB main memory, sufficient hard disk space and monitoring to ensure that it is not exceeded (2-TB recommended if you want to run the database for a long time without needing to increase the storage)

                                                                                                                                                  The HDS software currently installs the following driver versions for communication with the database server:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL Server JDBC driver 4.6

                                                                                                                                                  This driver version supports SQL Server Always On ( Always On Failover Cluster Instances and Always On availability groups).

                                                                                                                                                  Additional requirements for Windows authentication against Microsoft SQL Server

                                                                                                                                                  If you want HDS nodes to use Windows authentication to gain access to your keystore database on Microsoft SQL Server, then you need the following configuration in your environment:

                                                                                                                                                  • The HDS nodes, Active Directory infrastructure, and MS SQL Server must all be synchronized with NTP.

                                                                                                                                                  • The Windows account you provide to HDS nodes must have read/write access to the database.

                                                                                                                                                  • The DNS servers you provide to HDS nodes must be able to resolve your Key Distribution Center (KDC).

                                                                                                                                                  • You may register the HDS database instance on your Microsoft SQL Server as a Service Principal Name (SPN) on your Active Directory. See Register a Service Principal Name for Kerberos Connections.

                                                                                                                                                    The HDS setup tool, HDS launcher, and local KMS all need to use Windows authentication to access the keystore database. They use the details from your ISO configuration to construct the SPN when requesting access with Kerberos authentication.

                                                                                                                                                  External connectivity requirements

                                                                                                                                                  Configure your firewall to allow the following connectivity for the HDS applications:

                                                                                                                                                  Застосування

                                                                                                                                                  Протокол

                                                                                                                                                  Порт

                                                                                                                                                  Direction from App

                                                                                                                                                  Місце призначення

                                                                                                                                                  Hybrid Data Security nodes

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Outbound HTTPS and WSS

                                                                                                                                                  • Webex servers:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • All Common Identity hosts

                                                                                                                                                  • Other URLs that are listed for Hybrid Data Security in the Additional URLs for Webex Hybrid Services table of Network Requirements for Webex Services

                                                                                                                                                  HDS Setup Tool

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Outbound HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • All Common Identity hosts

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  The Hybrid Data Security nodes work with network access translation (NAT) or behind a firewall, as long as the NAT or firewall allows the required outbound connections to the domain destinations in the preceding table. For connections going inbound to the Hybrid Data Security nodes, no ports should be visible from the internet. Within your data center, clients need access to the Hybrid Data Security nodes on TCP ports 443 and 22, for administrative purposes.

                                                                                                                                                  The URLs for the Common Identity (CI) hosts are region-specific. These are the current CI hosts:

                                                                                                                                                  Регіон

                                                                                                                                                  Common Identity Host URLs

                                                                                                                                                  Північна та Південна Америки

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Європейський Союз

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Канада

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Вимоги до проксі-сервера

                                                                                                                                                  • Ми офіційно підтримуємо наступні проксі-рішення, які можуть інтегруватися з вашими вузлами гібридної безпеки даних.

                                                                                                                                                    • Прозорий проксі—пристрій веб-безпеки Cisco (WSA).

                                                                                                                                                    • Явний проксі-кальмар.


                                                                                                                                                       

                                                                                                                                                      Squid proxies that inspect HTTPS traffic can interfere with the establishment of websocket (wss:) connections. To work around this issue, see Configure Squid Proxies for Hybrid Data Security.

                                                                                                                                                  • Ми підтримуємо такі комбінації типів автентифікації для явних проксі:

                                                                                                                                                    • Немає автентифікації за допомогою HTTP або HTTPS

                                                                                                                                                    • Базова автентифікація за допомогою HTTP або HTTPS

                                                                                                                                                    • Автентифікація дайджесту лише за допомогою ПРОТОКОЛУ HTTPS

                                                                                                                                                  • Для прозорої перевірки проксі-сервера або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі-сервера. Інструкції з розгортання в цьому посібнику розповідають, як завантажити копію в надійні сховища вузлів гібридної безпеки даних.

                                                                                                                                                  • Мережа, в якій розміщуються вузли HDS, повинна бути налаштована на примусове витіснення TCP-трафіку на порту 443 для маршрутизації через проксі.

                                                                                                                                                  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з'єднанню веб-сокетів. При виникненні даної проблеми проблему вирішить обхід (не огляд) трафіку на wbx2.com і ciscospark.com .

                                                                                                                                                  Complete the Prerequisites for Hybrid Data Security

                                                                                                                                                  Use this checklist to ensure that you are ready to install and configure your Hybrid Data Security cluster.
                                                                                                                                                  1

                                                                                                                                                  Make sure your Webex organization is enabled for Pro Pack for Cisco Webex Control Hub, and get the credentials of an account with full organization administrator rights. Contact your Cisco partner or account manager for help with this process.

                                                                                                                                                  2

                                                                                                                                                  Choose a domain name for your HDS deployment (for example, hds.company.com) and obtain a certificate chain containing an X.509 certificate, private key, and any intermediate certificates. The certificate chain must meet the requirements in X.509 Certificate Requirements.

                                                                                                                                                  3

                                                                                                                                                  Prepare identical virtual hosts that you will set up as Hybrid Data Security nodes in your cluster. You need at least two separate hosts (3 recommended) colocated in the same secure data center, which meet the requirements in Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Prepare the database server that will act as the key data store for the cluster, according to the Database server requirements. The database server must be colocated in the secure data center with the virtual hosts.

                                                                                                                                                  1. Create a database for key storage. (You must create this database—do not use the default database. The HDS applications, when installed, create the database schema.)

                                                                                                                                                  2. Gather the details that the nodes will use to communicate with the database server:

                                                                                                                                                    • the host name or IP address (host) and port

                                                                                                                                                    • the name of the database (dbname) for key storage

                                                                                                                                                    • the username and password of a user with all privileges on the key storage database

                                                                                                                                                  5

                                                                                                                                                  For quick disaster recovery, set up a backup environment in a different data center. The backup environment mirrors the production environment of VMs and a backup database server. For example, if production has 3 VMs running HDS nodes, the backup environment should have 3 VMs.

                                                                                                                                                  6

                                                                                                                                                  Set up a syslog host to collect logs from the nodes in the cluster. Gather its network address and syslog port (default is UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Create a secure backup policy for the Hybrid Data Security nodes, the database server, and the syslog host. At a minimum, to prevent unrecoverable data loss, you must back up the database and the configuration ISO file generated for the Hybrid Data Security nodes.


                                                                                                                                                   

                                                                                                                                                  Because the Hybrid Data Security nodes store the keys used in encryption and decryption of content, failure to maintain an operational deployment will result in the UNRECOVERABLE LOSS of that content.

                                                                                                                                                  Webex App clients cache their keys, so an outage may not be immediately noticeable but will become evident over time. While temporary outages are impossible to prevent, they are recoverable. However, complete loss (no backups available) of either the database or configuration ISO file will result in unrecoverable customer data. The operators of the Hybrid Data Security nodes are expected to maintain frequent backups of the database and the configuration ISO file, and be prepared to rebuild the Hybrid Data Security data center if a catastrophic failure occurs.

                                                                                                                                                  8

                                                                                                                                                  Ensure that your firewall configuration allows connectivity for your Hybrid Data Security nodes as outlined in External connectivity requirements.

                                                                                                                                                  9

                                                                                                                                                  Install Docker ( https://www.docker.com) on any local machine running a supported OS (Microsoft Windows 10 Professional or Enterprise 64-bit, or Mac OSX Yosemite 10.10.3 or above) with a web browser that can access it at http://127.0.0.1:8080.

                                                                                                                                                  You use the Docker instance to download and run the HDS Setup Tool, which builds the local configuration information for all the Hybrid Data Security nodes. Your organization might need a Docker Desktop license. See Docker Desktop Requirements for more information.

                                                                                                                                                  To install and run the HDS Setup Tool, the local machine must have the connectivity outlined in External connectivity requirements.

                                                                                                                                                  10

                                                                                                                                                  If you're integrating a proxy with Hybrid Data Security, make sure that it meets the Proxy Server Requirements.

                                                                                                                                                  11

                                                                                                                                                  If your organization uses directory synchronization, create a group in Active Directory called HdsTrialGroup, and add pilot users. The trial group can have up to 250 users. The HdsTrialGroup object must be synchronized to the cloud before you can start a trial for your organization. To synchronize a group object, select it in the Directory Connector's Configuration > Object Selection menu. (For detailed instructions see the Deployment Guide for Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Keys for a given space are set by the creator of the space. When selecting pilot users, bear in mind that if you decide to permanently deactivate the Hybrid Data Security deployment, all users lose access to content in the spaces that were created by the pilot users. The loss becomes apparent as soon as users' apps refresh their cached copies of the content.

                                                                                                                                                  Set up a Hybrid Data Security Cluster

                                                                                                                                                  Hybrid Data Security Deployment Task Flow

                                                                                                                                                  1

                                                                                                                                                  Download Installation Files

                                                                                                                                                  Download the OVA file to your local machine for later use.

                                                                                                                                                  2

                                                                                                                                                  Create a Configuration ISO for the HDS Hosts

                                                                                                                                                  Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes.

                                                                                                                                                  3

                                                                                                                                                  Install the HDS Host OVA

                                                                                                                                                  Create a virtual machine from the OVA file and perform initial configuration, such as network settings.


                                                                                                                                                   

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  4

                                                                                                                                                  Set up the Hybrid Data Security VM

                                                                                                                                                  Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment.

                                                                                                                                                  5

                                                                                                                                                  Upload and Mount the HDS Configuration ISO

                                                                                                                                                  Configure the VM from the ISO configuration file that you created with the HDS Setup Tool.

                                                                                                                                                  6

                                                                                                                                                  Налаштування вузла HDS для інтеграції проксі

                                                                                                                                                  If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed.

                                                                                                                                                  7

                                                                                                                                                  Register the First Node in the Cluster

                                                                                                                                                  Register the VM with the Cisco Webex cloud as a Hybrid Data Security node.

                                                                                                                                                  8

                                                                                                                                                  Create and Register More Nodes

                                                                                                                                                  Complete the cluster setup.

                                                                                                                                                  9

                                                                                                                                                  Run a Trial and Move to Production (next chapter)

                                                                                                                                                  Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

                                                                                                                                                  Download Installation Files

                                                                                                                                                  In this task, you download an OVA file to your machine (not to the servers you set up as Hybrid Data Security nodes). You use this file later in the installation process.
                                                                                                                                                  1

                                                                                                                                                  Sign in to https://admin.webex.com, and then click Services.

                                                                                                                                                  2

                                                                                                                                                  In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up.

                                                                                                                                                  If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.


                                                                                                                                                   

                                                                                                                                                  You can also download the OVA at any time from the Help section on the Settings page. On the Hybrid Data Security card, click Edit settings to open the page. Then, click Download Hybrid Data Security software in the Help section.


                                                                                                                                                   

                                                                                                                                                  Older versions of the software package (OVA) will not be compatible with the latest Hybrid Data Security upgrades. This can result in issues while upgrading the application. Make sure you download the latest version of the OVA file.

                                                                                                                                                  3

                                                                                                                                                  Select No to indicate that you haven’t set up the node yet, and then click Next.

                                                                                                                                                  The OVA file automatically begins to download. Save the file to a location on your machine.
                                                                                                                                                  4

                                                                                                                                                  Optionally, click Open Deployment Guide to check if there’s a later version of this guide available.

                                                                                                                                                  Create a Configuration ISO for the HDS Hosts

                                                                                                                                                  The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Для процесу настроювання потрібні облікові дані облікового запису Центру керування з повними правами адміністратора вашої організації.

                                                                                                                                                    If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:

                                                                                                                                                    • Database credentials

                                                                                                                                                    • Certificate updates

                                                                                                                                                    • Changes to authorization policy

                                                                                                                                                  • If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.

                                                                                                                                                  1

                                                                                                                                                  У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

                                                                                                                                                  У звичайних середовищах:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

                                                                                                                                                  2

                                                                                                                                                  Щоб увійти до реєстру Docker-зображень, введіть наступне:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  На запиті пароля введіть цей хеш:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Завантажте останнє стабільне зображення для вашого середовища:

                                                                                                                                                  У звичайних середовищах:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Після завершення витягування введіть відповідну команду для вашого середовища:

                                                                                                                                                  • У звичайних середовищах без проксі-сервера:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • У звичайних середовищах з http проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In regular environments with an HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У середовищах FedRAMP без проксі-сервера:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з http проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з HTTPS-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  The Setup tool does not support connecting to localhost through http://localhost:8080. Use http://127.0.0.1:8080 to connect to localhost.

                                                                                                                                                  Use a web browser to go to the localhost, http://127.0.0.1:8080, and enter customer admin username for Control Hub at the prompt.

                                                                                                                                                  The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt.

                                                                                                                                                  7

                                                                                                                                                  When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  On the Setup Tool overview page, click Get Started.

                                                                                                                                                  9

                                                                                                                                                  On the ISO Import page, you have these options:

                                                                                                                                                  • No—If you’re creating your first HDS node, you don't have an ISO file to upload.
                                                                                                                                                  • Yes—If you already created HDS nodes, then you select your ISO file in the browse and upload it.
                                                                                                                                                  10

                                                                                                                                                  Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.

                                                                                                                                                  • If you never uploaded a certificate before, upload the X.509 certificate, enter the password, and click Continue.
                                                                                                                                                  • If your certificate is OK, click Continue.
                                                                                                                                                  • If your certificate has expired or you want to replace it, select No for Continue using HDS certificate chain and private key from previous ISO?. Upload a new X.509 certificate, enter the password, and click Continue.
                                                                                                                                                  11

                                                                                                                                                  Enter the database address and account for HDS to access your key datastore:

                                                                                                                                                  1. Select your Database Type (PostgreSQL or Microsoft SQL Server).

                                                                                                                                                    If you choose Microsoft SQL Server, you get an Authentication Type field.

                                                                                                                                                  2. (Microsoft SQL Server only) Select your Authentication Type:

                                                                                                                                                    • Basic Authentication: You need a local SQL Server account name in the Username field.

                                                                                                                                                    • Windows Authentication: You need a Windows account in the format username@DOMAIN in the Username field.

                                                                                                                                                  3. Enter the database server address in the form <hostname>:<port> or <IP-address>:<port>.

                                                                                                                                                    Приклад:
                                                                                                                                                    dbhost.example.org:1433 or 198.51.100.17:1433

                                                                                                                                                    You can use an IP address for basic authentication, if the nodes can't use DNS to resolve the hostname.

                                                                                                                                                    If you are using Windows authentication, you must enter a Fully Qualified Domain Name in the format dbhost.example.org:1433

                                                                                                                                                  4. Enter the Database Name.

                                                                                                                                                  5. Enter the Username and Password of a user with all privileges on the key storage database.

                                                                                                                                                  12

                                                                                                                                                  Select a TLS Database Connection Mode:

                                                                                                                                                  Режим

                                                                                                                                                  Опис

                                                                                                                                                  Prefer TLS (default option)

                                                                                                                                                  Вузли HDS не потребують TLS для з 'єднання з сервером бази даних. If you enable TLS on the database server, the nodes attempt an encrypted connection.

                                                                                                                                                  Вимагати TLS

                                                                                                                                                  Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

                                                                                                                                                  Вимагати TLS і перевірити підписувача сертифіката


                                                                                                                                                   

                                                                                                                                                  This mode isn’t applicable for SQL Server databases.

                                                                                                                                                  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

                                                                                                                                                  • After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Якщо вони не збігаються, вузол припиняє з 'єднання.

                                                                                                                                                  Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

                                                                                                                                                  Вимагати TLS і перевірити особу, яка підписала сертифікат, і назву вузла

                                                                                                                                                  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

                                                                                                                                                  • After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Якщо вони не збігаються, вузол припиняє з 'єднання.

                                                                                                                                                  • The nodes also verify that the hostname in the server certificate matches the hostname in the Database host and port field. Імена повинні точно збігатися, або вузол скасує з 'єднання.

                                                                                                                                                  Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

                                                                                                                                                  When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. Інструмент також перевіряє особу, яка підписала сертифікат, і назву вузла, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.)

                                                                                                                                                  13

                                                                                                                                                  On the System Logs page, configure your Syslogd server:

                                                                                                                                                  1. Enter the syslog server URL.

                                                                                                                                                    If the server isn’t DNS-resolvable from the nodes for your HDS cluster, use an IP address in the URL.

                                                                                                                                                    Приклад:
                                                                                                                                                    udp://10.92.43.23:514 indicates logging to Syslogd host 10.92.43.23 on UDP port 514.
                                                                                                                                                  2. If you set up your server to use TLS encryption, check Is your syslog server configured for SSL encryption?.

                                                                                                                                                    If you check this check box, make sure you enter a TCP URL such as tcp://10.92.43.23:514.

                                                                                                                                                  3. From the Choose syslog record termination drop-down, choose the appropriate setting for your ISO file: Choose or Newline is used for Graylog and Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Select this choice for Graylog and Rsyslog TCP.

                                                                                                                                                  4. Клацніть Продовжити.

                                                                                                                                                  14

                                                                                                                                                  (Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change:

                                                                                                                                                  app_datasource_connection_pool_maxРозмір: 10
                                                                                                                                                  15

                                                                                                                                                  Click Continue on the Reset Service Accounts Password screen.

                                                                                                                                                  Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files.

                                                                                                                                                  16

                                                                                                                                                  Click Download ISO File. Save the file in a location that's easy to find.

                                                                                                                                                  17

                                                                                                                                                  Make a backup copy of the ISO file on your local system.

                                                                                                                                                  Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.

                                                                                                                                                  18

                                                                                                                                                  To shut down the Setup tool, type CTRL+C.

                                                                                                                                                  Що далі

                                                                                                                                                  Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.


                                                                                                                                                   

                                                                                                                                                  We never have a copy of this key and can't help if you lose it.

                                                                                                                                                  Install the HDS Host OVA

                                                                                                                                                  Use this procedure to create a virtual machine from the OVA file.
                                                                                                                                                  1

                                                                                                                                                  Use the VMware vSphere client on your computer to log into the ESXi virtual host.

                                                                                                                                                  2

                                                                                                                                                  Select File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next.

                                                                                                                                                  4

                                                                                                                                                  On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next.

                                                                                                                                                  5

                                                                                                                                                  On the Select a compute resource page, choose the destination compute resource, and then click Next.

                                                                                                                                                  A validation check runs. After it finishes, the template details appear.

                                                                                                                                                  6

                                                                                                                                                  Verify the template details and then click Next.

                                                                                                                                                  7

                                                                                                                                                  If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next.

                                                                                                                                                  8

                                                                                                                                                  On the Select storage page, click Next to accept the default disk format and VM storage policy.

                                                                                                                                                  9

                                                                                                                                                  On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM.

                                                                                                                                                  10

                                                                                                                                                  On the Customize template page, configure the following network settings:

                                                                                                                                                  • Hostname—Enter the FQDN (hostname and domain) or a single word hostname for the node.

                                                                                                                                                     
                                                                                                                                                    • You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.

                                                                                                                                                    • To ensure a successful registration to the cloud, use only lowercase characters in the FQDN or hostname that you set for the node. Капіталізація наразі не підтримується.

                                                                                                                                                    • The total length of the FQDN must not exceed 64 characters.

                                                                                                                                                  • IP Address— Enter the IP address for the internal interface of the node.

                                                                                                                                                     

                                                                                                                                                    Your node should have an internal IP address and DNS name. DHCP is not supported.

                                                                                                                                                  • Mask—Enter the subnet mask address in dot-decimal notation. For example, 255.255.255.0.
                                                                                                                                                  • Gateway—Enter the gateway IP address. A gateway is a network node that serves as an access point to another network.
                                                                                                                                                  • DNS Servers—Enter a comma-separated list of DNS servers, which handle translating domain names to numeric IP addresses. (Up to 4 DNS entries are allowed.)
                                                                                                                                                  • NTP Servers—Enter your organization's NTP server or another external NTP server that can be used in your organization. The default NTP servers may not work for all enterprises. You can also use a comma-separated list to enter multiple NTP servers.
                                                                                                                                                  • Deploy all the nodes on the same subnet or VLAN, so that all nodes in a cluster are reachable from clients in your network for administrative purposes.

                                                                                                                                                  If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.


                                                                                                                                                   

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  11

                                                                                                                                                  Right-click the node VM, and then choose Power > Power On.

                                                                                                                                                  The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node.

                                                                                                                                                  Поради щодо усунення несправностей

                                                                                                                                                  You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in.

                                                                                                                                                  Set up the Hybrid Data Security VM

                                                                                                                                                  Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.

                                                                                                                                                  1

                                                                                                                                                  In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab.

                                                                                                                                                  The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
                                                                                                                                                  2

                                                                                                                                                  Use the following default login and password to sign in and change the credentials:

                                                                                                                                                  1. Login: адміністратор

                                                                                                                                                  2. Пароль: cisco

                                                                                                                                                  Since you are signing in to your VM for the first time, you are required to change the administrator password.

                                                                                                                                                  3

                                                                                                                                                  If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option.

                                                                                                                                                  4

                                                                                                                                                  Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported.

                                                                                                                                                  5

                                                                                                                                                  (Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy.

                                                                                                                                                  You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.

                                                                                                                                                  6

                                                                                                                                                  Save the network configuration and reboot the VM so that the changes take effect.

                                                                                                                                                  Upload and Mount the HDS Configuration ISO

                                                                                                                                                  Use this procedure to configure the virtual machine from the ISO file that you created with the HDS Setup Tool.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.

                                                                                                                                                  1

                                                                                                                                                  Upload the ISO file from your computer:

                                                                                                                                                  1. In the VMware vSphere client's left navigation pane, click on the ESXi server.

                                                                                                                                                  2. On the Configuration tab's Hardware list, click Storage.

                                                                                                                                                  3. In the Datastores list, right-click on the datastore for your VMs and click Browse Datastore.

                                                                                                                                                  4. Click on the Upload Files icon, and then click Upload File.

                                                                                                                                                  5. Browse to the location where you downloaded the ISO file on your computer and click Open.

                                                                                                                                                  6. Click Yes to accept the upload/download operation warning, and close the datastore dialog.

                                                                                                                                                  2

                                                                                                                                                  Mount the ISO file:

                                                                                                                                                  1. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

                                                                                                                                                  2. Click OK to accept the restricted edit options warning.

                                                                                                                                                  3. Click CD/DVD Drive 1, select the option to mount from a datastore ISO file, and browse to the location where you uploaded the configuration ISO file.

                                                                                                                                                  4. Check Connected and Connect at power on.

                                                                                                                                                  5. Save your changes and reboot the virtual machine.

                                                                                                                                                  Що далі

                                                                                                                                                  If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.

                                                                                                                                                  Налаштування вузла HDS для інтеграції проксі

                                                                                                                                                  Якщо для мережного середовища потрібен проксі-сервер, скористайтеся цією процедурою, щоб указати тип проксі-сервера, який потрібно інтегрувати з hybrid Data Security. Якщо ви виберете прозорий проксі-сервер перевірки або явний проксі-сервер HTTPS, ви можете використовувати інтерфейс вузла для завантаження та встановлення кореневого сертифіката. Ви також можете перевірити проксі-з'єднання з інтерфейсу та усунути будь-які потенційні проблеми.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  1

                                                                                                                                                  Введіть URL-адресу для настроювання вузла HDS https://[IP-адреса вузла HDS або FQDN]/setup у веб-браузері, введіть облікові дані адміністратора, які ви налаштували для вузла, а потім натисніть кнопку Увійти.

                                                                                                                                                  2

                                                                                                                                                  Перейдіть до Надійного магазину та проксі-сервера, а потім виберіть параметр:

                                                                                                                                                  • No Proxy—The default option before you integrate a proxy. Оновлення сертифіката не потрібне.
                                                                                                                                                  • Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. Оновлення сертифіката не потрібне.
                                                                                                                                                  • Transparent Inspecting Proxy—Nodes are not configured to use a specific proxy server address. У розгортанні гібридної безпеки даних не потрібні зміни конфігурації HTTPS, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі-серверу. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
                                                                                                                                                  • Explicit Proxy—With explicit proxy, you tell the client (HDS nodes) which proxy server to use, and this option supports several authentication types. Після вибору цього параметра необхідно ввести такі відомості:
                                                                                                                                                    1. Proxy IP/FQDN—Address that can be used to reach the proxy machine.

                                                                                                                                                    2. Proxy Port—A port number that the proxy uses to listen for proxied traffic.

                                                                                                                                                    3. Proxy Protocol—Choose http (views and controls all requests that are received from the client) or https (provides a channel to the server and the client receives and validates the server's certificate). Виберіть варіант, виходячи з того, що підтримує ваш проксі-сервер.

                                                                                                                                                    4. Authentication Type—Choose from among the following authentication types:

                                                                                                                                                      • None—No further authentication is required.

                                                                                                                                                        Доступно для проксі HTTP або HTTPS.

                                                                                                                                                      • Basic—Used for an HTTP User Agent to provide a user name and password when making a request. Використовує кодування Base64.

                                                                                                                                                        Доступно для проксі HTTP або HTTPS.

                                                                                                                                                        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

                                                                                                                                                      • Digest—Used to confirm the account before sending sensitive information. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

                                                                                                                                                        Доступно лише для проксі HTTPS.

                                                                                                                                                        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

                                                                                                                                                  Виконайте наступні кроки для прозорої перевірки проксі-сервера, явного HTTP-проксі з базовою автентифікацією або явного проксі-сервера HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Клацніть « Завантажити кореневий сертифікат» або «Завершити сертифікатсутності», а потім перейдіть до вибору кореневого сертифіката для проксі-сервера.

                                                                                                                                                  Сертифікат завантажено, але ще не інстальовано, оскільки для встановлення сертифіката потрібно перезавантажити вузол. Клацніть стрілку шеврона біля імені емітента сертифіката, щоб отримати докладніші відомості, або натисніть кнопку Видалити , якщо ви припустилися помилки та хочете повторно завантажити файл.

                                                                                                                                                  4

                                                                                                                                                  Натисніть кнопку Перевірити підключення до проксі, щоб перевірити підключення до мережі між вузлом і проксі-сервером.

                                                                                                                                                  Якщо тест підключення не пройшов, ви побачите повідомлення про помилку, у якому вказано причину та способи усунення проблеми.

                                                                                                                                                  Якщо ви бачите повідомлення про те, що зовнішня роздільна здатність DNS не була успішною, вузол не зміг дістатися до DNS-сервера. Ця умова очікується в багатьох явних конфігураціях проксі. You can continue with the setup, and the node will function in Blocked External DNS Resolution mode. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode.

                                                                                                                                                  5

                                                                                                                                                  Після того, як тест з'єднання пройде, для явного проксі-сервера, встановленого лише на https, увімкніть перемикач до Маршрутизація всіх запитів порту 443/444 https з цього вузла через явний проксі. Для набрання чинності цим параметром потрібно 15 секунд.

                                                                                                                                                  6

                                                                                                                                                  Натисніть кнопку Інсталювати всі сертифікати в надійний магазин (відображається для проксі-сервера HTTPS відвертої перевірки або прозорого проксі-сервера для перевірки) або Перезавантажити (відображається для явного проксі-сервера HTTP), прочитайте запит і натисніть кнопку Інсталювати , якщо все готово.

                                                                                                                                                  Вузол перезавантажується протягом декількох хвилин.

                                                                                                                                                  7

                                                                                                                                                  Після перезавантаження вузла увійдіть знову, якщо потрібно, а потім відкрийте сторінку Огляду , щоб перевірити перевірки підключення, щоб переконатися, що всі вони в зеленому стані.

                                                                                                                                                  Перевірка проксі-з'єднання лише тестує субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі хмарні домени, перелічені в інструкціях з інсталяції, блокуються на проксі-сервері.

                                                                                                                                                  Register the First Node in the Cluster

                                                                                                                                                  This task takes the generic node that you created in the Set up the Hybrid Data Security VM, registers the node with the Webex cloud, and turns it into a Hybrid Data Security node.

                                                                                                                                                  When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.

                                                                                                                                                  • Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Увійдіть у https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  From the menu on the left side of the screen, select Services.

                                                                                                                                                  3

                                                                                                                                                  In the Hybrid Services section, find Hybrid Data Security and click Set up.

                                                                                                                                                  The Register Hybrid Data Security Node page appears.
                                                                                                                                                  4

                                                                                                                                                  Select Yes to indicate that you have set up the node and are ready to register it, and then click Next.

                                                                                                                                                  5

                                                                                                                                                  In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node.

                                                                                                                                                  We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas"

                                                                                                                                                  6

                                                                                                                                                  In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next.

                                                                                                                                                  This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM.

                                                                                                                                                  A message appears indicating you can register your node to the Webex.
                                                                                                                                                  7

                                                                                                                                                  Click Go to Node.

                                                                                                                                                  8

                                                                                                                                                  Click Continue in the warning message.

                                                                                                                                                  After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
                                                                                                                                                  9

                                                                                                                                                  Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue.

                                                                                                                                                  Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
                                                                                                                                                  10

                                                                                                                                                  Click the link or close the tab to go back to the Control Hub Hybrid Data Security page.

                                                                                                                                                  On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.

                                                                                                                                                  Create and Register More Nodes

                                                                                                                                                  To add additional nodes to your cluster, you simply create additional VMs and mount the same configuration ISO file, then register the node. We recommend that you have at least 3 nodes.

                                                                                                                                                   

                                                                                                                                                  At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.

                                                                                                                                                  • Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node.

                                                                                                                                                  5

                                                                                                                                                  Register the node.

                                                                                                                                                  1. In https://admin.webex.com, select Services from the menu on the left side of the screen.

                                                                                                                                                  2. In the Hybrid Services section, find the Hybrid Data Security card and click Resources.

                                                                                                                                                    The Hybrid Data Security Resources page appears.
                                                                                                                                                  3. Click Add Resource.

                                                                                                                                                  4. In the first field, select the name of your existing cluster.

                                                                                                                                                  5. In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next.

                                                                                                                                                    A message appears indicating you can register your node to the Webex cloud.
                                                                                                                                                  6. Click Go to Node.

                                                                                                                                                    After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your organization to access your node.
                                                                                                                                                  7. Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue.

                                                                                                                                                    Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
                                                                                                                                                  8. Click the link or close the tab to go back to the Control Hub Hybrid Data Security page.

                                                                                                                                                  Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

                                                                                                                                                  Що далі

                                                                                                                                                  Run a Trial and Move to Production (next chapter)
                                                                                                                                                  Run a Trial and Move to Production

                                                                                                                                                  Trial to Production Task Flow

                                                                                                                                                  After you set up a Hybrid Data Security cluster, you can start a pilot, add users to it, and begin using it for testing and verifying your deployment in preparation for moving to production.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Set up a Hybrid Data Security Cluster
                                                                                                                                                  1

                                                                                                                                                  If applicable, synchronize the HdsTrialGroup group object.

                                                                                                                                                  If your organization uses directory synchronization for users, you must select the HdsTrialGroup group object for synchronization to the cloud before you can start a trial. For instructions, see the Deployment Guide for Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activate Trial

                                                                                                                                                  Start a trial. Until you do this task, your nodes generate an alarm indicating that the service is not yet activated.

                                                                                                                                                  3

                                                                                                                                                  Test Your Hybrid Data Security Deployment

                                                                                                                                                  Check that key requests are passing to your Hybrid Data Security deployment.

                                                                                                                                                  4

                                                                                                                                                  Monitor Hybrid Data Security Health

                                                                                                                                                  Check status, and set up email notifications for alarms.

                                                                                                                                                  5

                                                                                                                                                  Add or Remove Users from Your Trial

                                                                                                                                                  6

                                                                                                                                                  Complete the trial phase with one of the following actions:

                                                                                                                                                  Activate Trial

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  If your organization uses directory synchronization for users, you must select the HdsTrialGroup group object for synchronization to the cloud before you can start a trial for your organization. For instructions, see the Deployment Guide for Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Sign in to https://admin.webex.com, and then select Services.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security, click Settings.

                                                                                                                                                  3

                                                                                                                                                  In the Service Status section, click Start Trial.

                                                                                                                                                  The service status changes to trial mode.
                                                                                                                                                  4

                                                                                                                                                  Click Add Users and enter the email address of one or more users to pilot using your Hybrid Data Security nodes for encryption and indexing services.

                                                                                                                                                  (If your organization uses directory synchronization, use Active Directory to manage the trial group, HdsTrialGroup.)

                                                                                                                                                  Test Your Hybrid Data Security Deployment

                                                                                                                                                  Use this procedure to test Hybrid Data Security encryption scenarios.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Set up your Hybrid Data Security deployment.

                                                                                                                                                  • Activate the trial, and add several trial users.

                                                                                                                                                  • Ensure that you have access to the syslog to verify that key requests are passing to your Hybrid Data Security deployment.

                                                                                                                                                  1

                                                                                                                                                  Keys for a given space are set by the creator of the space. Sign in to the Webex App as one of the pilot users, and then create a space and invite at least one pilot user and one non-pilot user.


                                                                                                                                                   

                                                                                                                                                  If you deactivate the Hybrid Data Security deployment, content in spaces that pilot users create is no longer accessible once the client-cached copies of the encryption keys are replaced.

                                                                                                                                                  2

                                                                                                                                                  Send messages to the new space.

                                                                                                                                                  3

                                                                                                                                                  Check the syslog output to verify that the key requests are passing to your Hybrid Data Security deployment.

                                                                                                                                                  1. To check for a user first establishing a secure channel to the KMS, filter on kms.data.method=create and kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    You should find an entry such as the following (identifiers shortened for readability):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] received, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. To check for a user requesting an existing key from the KMS, filter on kms.data.method=retrieve and kms.data.type=KEY:

                                                                                                                                                    You should find an entry such as:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] received, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. To check for a user requesting the creation of a new KMS key, filter on kms.data.method=create and kms.data.type=KEY_COLLECTION:

                                                                                                                                                    You should find an entry such as:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] received, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. To check for a user requesting the creation of a new KMS Resource Object (KRO) when a space or other protected resource is created, filter on kms.data.method=create and kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    You should find an entry such as:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] received, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitor Hybrid Data Security Health

                                                                                                                                                  A status indicator within Control Hub shows you whether all is well with the Hybrid Data Security deployment. For more proactive alerting, sign up for email notifications. You'll be notified when there are service-impacting alarms or software upgrades.
                                                                                                                                                  1

                                                                                                                                                  In Control Hub, select Services from the menu on the left side of the screen.

                                                                                                                                                  2

                                                                                                                                                  In the Hybrid Services section, find Hybrid Data Security and click Settings.

                                                                                                                                                  The Hybrid Data Security Settings page appears.
                                                                                                                                                  3

                                                                                                                                                  In the Email Notifications section, type one or more email addresses separated by commas, and press Enter.

                                                                                                                                                  Add or Remove Users from Your Trial

                                                                                                                                                  After you've activated a trial and added the initial set of trial users, you can add or remove trial members at any time while the trial is active.

                                                                                                                                                  If you remove a user from the trial, the user's client will request keys and key creation from the cloud KMS instead of your KMS. If the client needs a key that is stored on your KMS, the cloud KMS will fetch it on the user's behalf.

                                                                                                                                                  If your organization uses directory synchronization, use Active Directory (instead of this procedure) to manage the trial group, HdsTrialGroup; you can view the group members in Control Hub but cannot add or remove them.

                                                                                                                                                  1

                                                                                                                                                  Sign in to Control Hub, and then select Services.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security, click Settings.

                                                                                                                                                  3

                                                                                                                                                  In the Trial Mode section of the Service Status area, click Add Users, or click view and edit to remove users from the trial.

                                                                                                                                                  4

                                                                                                                                                  Enter the email address of one or more users to add, or click the X by a user ID to remove the user from the trial. Потім натисніть кнопку Зберегти.

                                                                                                                                                  Move from Trial to Production

                                                                                                                                                  When you are satisfied that your deployment is working well for the trial users, you can move to production. When you move to production, all users in the organization will use your on-premises Hybrid Data Security domain for encryption keys and other security realm services. You cannot move back to trial mode from production unless you deactivate the service as part of disaster recovery. Reactivating the service requires you to set up a new trial.
                                                                                                                                                  1

                                                                                                                                                  Sign in to Control Hub, and then select Services.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security, click Settings.

                                                                                                                                                  3

                                                                                                                                                  In the Service Status section, click Move to Production.

                                                                                                                                                  4

                                                                                                                                                  Confirm that you want to move all of your users to production.

                                                                                                                                                  End Your Trial Without Moving to Production

                                                                                                                                                  If, during your trial, you decide not to go ahead with your Hybrid Data Security deployment, you can deactivate Hybrid Data Security, which ends the trial and moves the trial users back to the cloud data security services. The trial users will lose access to the data that was encrypted during the trial.
                                                                                                                                                  1

                                                                                                                                                  Sign in to Control Hub, and then select Services.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security, click Settings.

                                                                                                                                                  3

                                                                                                                                                  In the Deactivate section, click Deactivate.

                                                                                                                                                  4

                                                                                                                                                  Confirm that you want to deactivate the service and end the trial.

                                                                                                                                                  Manage your HDS Deployment

                                                                                                                                                  Manage HDS Deployment

                                                                                                                                                  Use the tasks described here to manage your Hybrid Data Security deployment.

                                                                                                                                                  Set Cluster Upgrade Schedule

                                                                                                                                                  Software upgrades for Hybrid Data Security are done automatically at the cluster level, which ensures that all nodes are always running the same software version. Upgrades are done according to the upgrade schedule for the cluster. When a software upgrade becomes available, you have the option of manually upgrading the cluster before the scheduled upgrade time. You can set a specific upgrade schedule or use the default schedule of 3:00 AM Daily United States: America/Los Angeles. You can also choose to postpone an upcoming upgrade, if necessary.

                                                                                                                                                  To set the upgrade schedule:

                                                                                                                                                  1

                                                                                                                                                  Увійдіть до Центру керування.

                                                                                                                                                  2

                                                                                                                                                  On the Overview page, under Hybrid Services, select Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  On the Hybrid Data Security Resources page, select the cluster.

                                                                                                                                                  4

                                                                                                                                                  In the Overview panel on the right, under Cluster Settings, select the cluster name.

                                                                                                                                                  5

                                                                                                                                                  On the Settings page, under Upgrade, select the time and time zone for the upgrade schedule.

                                                                                                                                                  Примітки Under the time zone, the next available upgrade date and time is displayed. You can postpone the upgrade to the following day, if needed, by clicking Postpone.

                                                                                                                                                  Change the Node Configuration

                                                                                                                                                  Іноді вам може знадобитися змінити конфігурацію вузла гібридної безпеки даних з такої причини, як:
                                                                                                                                                  • Зміна сертифікатів x.509 через закінчення терміну дії або інші причини.


                                                                                                                                                     

                                                                                                                                                    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовується для реєстрації кластера.

                                                                                                                                                  • Оновлення параметрів бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ми не підтримуємо перенесення даних з PostgreSQL до Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, розпочніть нове розгортання гібридної системи захисту даних.

                                                                                                                                                  • Створення нової конфігурації для підготовки нового центру обробки даних.

                                                                                                                                                  Крім того, з метою безпеки Hybrid Data Security використовує паролі службових облікових записів, термін дії яких становить дев'ять місяців. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з ваших вузлів HDS у файлі конфігурації ISO. Коли паролі вашої організації наближаються до закінчення терміну дії, ви отримуєте повідомлення від команди Webex про скидання пароля для облікового запису вашого комп'ютера. (Електронний лист містить текст "Використовуйте API облікового запису машини, щоб оновити пароль.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

                                                                                                                                                  • Soft reset—The old and new passwords both work for up to 10 days. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

                                                                                                                                                  • Hard reset—The old passwords stop working immediately.

                                                                                                                                                  Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

                                                                                                                                                  Використовуйте цю процедуру, щоб створити новий файл конфігурації ISO і застосувати його до вашого кластера.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Для процесу настроювання потрібні облікові дані облікового запису Центру керування з повними правами адміністратора вашої організації.

                                                                                                                                                    If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in 1.e. У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Щоб створити нову конфігурацію, вам потрібна копія поточного файла конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. ISO потрібен під час внесення змін у конфігурацію, включаючи облікові дані бази даних, оновлення сертифікатів або зміни в політиці авторизації.

                                                                                                                                                  1

                                                                                                                                                  Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

                                                                                                                                                  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

                                                                                                                                                    У звичайних середовищах:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

                                                                                                                                                  2. Щоб увійти до реєстру Docker-зображень, введіть наступне:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. На запиті пароля введіть цей хеш:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Завантажте останнє стабільне зображення для вашого середовища:

                                                                                                                                                    У звичайних середовищах:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Обов 'язково потягніть найновіший інструмент налаштування для цієї процедури. Версії інструмента, створені до 22 лютого 2018 року, не мають екранів скидання пароля.

                                                                                                                                                  5. Після завершення витягування введіть відповідну команду для вашого середовища:

                                                                                                                                                    • У звичайних середовищах без проксі-сервера:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах з http проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах з HTTPS-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У середовищах FedRAMP без проксі-сервера:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з http проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з HTTPS-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Коли контейнер запущений, ви бачите "Експрес-прослуховування сервера на порту 8080".

                                                                                                                                                  6. Використовуйте браузер для підключення до localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    The Setup tool does not support connecting to localhost through http://localhost:8080. Use http://127.0.0.1:8080 to connect to localhost.

                                                                                                                                                  7. When prompted, enter your Control Hub customer sign-in credentials and then click Accept to continue.

                                                                                                                                                  8. Імпортувати поточний файл конфігурації ISO.

                                                                                                                                                  9. Дотримуйтеся вказівок, щоб завершити роботу інструменту та завантажити оновлений файл.

                                                                                                                                                    To shut down the Setup tool, type CTRL+C.

                                                                                                                                                  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

                                                                                                                                                  2

                                                                                                                                                  If you only have one HDS node running, create a new Hybrid Data Security node VM and register it using the new configuration ISO file. For more detailed instructions, see Create and Register More Nodes.

                                                                                                                                                  1. Встановіть HDS-хост OVA.

                                                                                                                                                  2. Налаштуйте віртуальну машину HDS.

                                                                                                                                                  3. Змонтувати оновлений файл конфігурації.

                                                                                                                                                  4. Зареєструйте новий вузол в Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Для існуючих вузлів HDS, у яких запущено старий файл конфігурації, змонтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

                                                                                                                                                  1. Вимкніть віртуальну машину.

                                                                                                                                                  2. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

                                                                                                                                                  3. Натисніть CD /DVD-дисковод 1, виберіть параметр для монтування з файлу ISO та перейдіть до розташування, куди ви завантажили файл ISO нової конфігурації.

                                                                                                                                                  4. Перевірте підключення при увімкненому живленні.

                                                                                                                                                  5. Заощаджуйте зміни та енергію на віртуальній машині.

                                                                                                                                                  4

                                                                                                                                                  Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, який виконує стару конфігурацію.

                                                                                                                                                  Вимкнення режиму роздільної здатності заблокованих зовнішніх DNS

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. Якщо DNS-серверу вузла не вдається розпізнати загальнодоступні імена DNS, вузол автоматично переходить у режим блокування зовнішньої роздільної здатності DNS.

                                                                                                                                                  Якщо ваші вузли можуть вирішувати загальнодоступні імена DNS через внутрішні DNS-сервери, ви можете вимкнути цей режим, повторивши тест проксі-з'єднання на кожному вузлі.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Переконайтеся, що ваші внутрішні DNS-сервери можуть розпізнавати загальнодоступні імена DNS і що ваші вузли можуть зв'язуватися з ними.
                                                                                                                                                  1

                                                                                                                                                  У браузері відкрийте інтерфейс вузла гібридної безпеки даних (IP-адреса/налаштування), наприклад, введіть облікові дані адміністратора, https://192.0.2.0/setup), які настроєно для вузла, а потім натисніть кнопку Увійти.

                                                                                                                                                  2

                                                                                                                                                  Перехід до розділу Огляд (сторінка за замовчуванням).

                                                                                                                                                  Якщо ввімкнено, для параметра "Заблокована зовнішня роздільна здатність DNS" встановлено значення "Так".

                                                                                                                                                  3

                                                                                                                                                  Перейдіть на сторінку Надійний магазин і проксі .

                                                                                                                                                  4

                                                                                                                                                  Натисніть Перевірити підключенняпроксі-сервера.

                                                                                                                                                  Якщо ви бачите повідомлення про те, що зовнішнє дозвіл DNS не було успішним, вузол не зміг дістатися до DNS-сервера і залишиться в цьому режимі. В іншому випадку, після того, як ви перезавантажите вузол і повернетеся на сторінку огляду , заблоковане зовнішнє дозвіл DNS має бути встановлено на "ні".

                                                                                                                                                  Що далі

                                                                                                                                                  Повторіть тест проксі-з'єднання на кожному вузлі в кластері гібридної безпеки даних.

                                                                                                                                                  Remove a Node

                                                                                                                                                  Use this procedure to remove a Hybrid Data Security node from the Webex cloud. After you remove the node from the cluster, delete the virtual machine to prevent further access to your security data.
                                                                                                                                                  1

                                                                                                                                                  Use the VMware vSphere client on your computer to log into the ESXi virtual host and power off the virtual machine.

                                                                                                                                                  2

                                                                                                                                                  Remove the node:

                                                                                                                                                  1. Sign in to Control Hub, and then select Services.

                                                                                                                                                  2. On the Hybrid Data Security card, click View All to display the Hybrid Data Security Resources page.

                                                                                                                                                  3. Select your cluster to display its Overview panel.

                                                                                                                                                  4. Click Open nodes list.

                                                                                                                                                  5. On the Nodes tab, select the node you want to remove.

                                                                                                                                                  6. Click Actions > Deregister node.

                                                                                                                                                  3

                                                                                                                                                  In the vSphere client, delete the VM. (In the left navigation pane, right-click on the VM and click Delete.)

                                                                                                                                                  If you don’t delete the VM, remember to unmount the configuration ISO file. Without the ISO file, you can't use the VM to access your security data.

                                                                                                                                                  Disaster Recovery using Standby Data Center

                                                                                                                                                  The most critical service that your Hybrid Data Security cluster provides is the creation and storage of keys used to encrypt messages and other content stored in the Webex cloud. For each user within the organization who is assigned to Hybrid Data Security, new key creation requests are routed to the cluster. The cluster is also responsible for returning the keys that it's created to any users authorized to retrieve them, for example, members of a conversation space.

                                                                                                                                                  Because the cluster performs the critical function of providing these keys, it's imperative that the cluster remains running and that proper backups are maintained. Loss of the Hybrid Data Security database or of the configuration ISO used for the schema will result in UNRECOVERABLE LOSS of customer content. The following practices are mandatory to prevent such a loss:

                                                                                                                                                  If a disaster causes the HDS deployment in the primary data center to become unavailable, follow this procedure to manually failover to the standby data center.

                                                                                                                                                  1

                                                                                                                                                  Start the HDS Setup tool and follow the steps mentioned in Create a Configuration ISO for the HDS Hosts.

                                                                                                                                                  2

                                                                                                                                                  After configuring the Syslogd server, click on Advanced Settings

                                                                                                                                                  3

                                                                                                                                                  On the Advanced Settings page, add the configuration below or remove the passiveMode configuration to make the node active. The node can handle traffic once this is configured.

                                                                                                                                                   passiveMode: 'false' 

                                                                                                                                                  4

                                                                                                                                                  Complete the configuration process and save the ISO file in a location that's easy to find.

                                                                                                                                                  5

                                                                                                                                                  Make a backup copy of the ISO file on your local system. Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.

                                                                                                                                                  6

                                                                                                                                                  In the VMware vSphere client's left navigation pane, right-click on the VM and click Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Click Edit Settings >CD/DVD Drive 1 and select Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Make sure Connected and Connect at power on are checked so that updated configuration changes can take effect after starting the nodes.

                                                                                                                                                  8

                                                                                                                                                  Power on the HDS node and make sure there are no alarms for at least 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Repeat the process for every node in the standby data center.


                                                                                                                                                   

                                                                                                                                                  Check the syslog output to verify that the nodes of the standby data center are not in passive mode. “KMS configured in passive mode” should not appear in the syslogs.

                                                                                                                                                  Що далі

                                                                                                                                                  After failover, if the primary data center becomes active again, place the standby data center in passive mode again by following the steps described in Setup Standby Data Center for Disaster Recovery.

                                                                                                                                                  (Optional) Unmount ISO After HDS Configuration

                                                                                                                                                  The standard HDS configuration runs with the ISO mounted. But, some customers prefer not leaving ISO files continuously mounted. You can unmount the ISO file after all HDS nodes pick up the new configuration.

                                                                                                                                                  You still use the ISO files to make configuration changes. When you create a new ISO or update an ISO through the Setup Tool, you must mount the updated ISO on all your HDS nodes. Once all your nodes have picked up the configuration changes, you can unmount the ISO again with this procedure.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Upgrade all your HDS nodes to version 2021.01.22.4720 or later.

                                                                                                                                                  1

                                                                                                                                                  Shut down one of your HDS nodes.

                                                                                                                                                  2

                                                                                                                                                  In the vCenter Server Appliance, select the HDS node.

                                                                                                                                                  3

                                                                                                                                                  Choose Edit Settings > CD/DVD drive and uncheck Datastore ISO File.

                                                                                                                                                  4

                                                                                                                                                  Power on the HDS node and ensure there are no alarms for atleast 20 minutes.

                                                                                                                                                  5

                                                                                                                                                  Repeat for each HDS node in turn.

                                                                                                                                                  Troubleshoot Hybrid Data Security

                                                                                                                                                  View Alerts and Troubleshoot

                                                                                                                                                  A Hybrid Data Security deployment is considered unavailable if all nodes in the cluster are unreachable, or the cluster is working so slowly that requests time out. If users cannot reach your Hybrid Data Security cluster, they experience the following symptoms:

                                                                                                                                                  • New spaces cannot be created (unable to create new keys)

                                                                                                                                                  • Messages and space titles fail to decrypt for:

                                                                                                                                                    • New users added to a space (unable to fetch keys)

                                                                                                                                                    • Existing users in a space using a new client (unable to fetch keys)

                                                                                                                                                  • Existing users in a space will continue to run successfully as long as their clients have a cache of the encryption keys

                                                                                                                                                  It's important that you properly monitor your Hybrid Data Security cluster and address any alerts promptly to avoid disruption of service.

                                                                                                                                                  Сповіщення

                                                                                                                                                  If there is a problem with the Hybrid Data Security setup, Control Hub displays alerts to the organization administrator, and sends emails to the configured email address. The alerts cover many common scenarios.

                                                                                                                                                  Таблиця 1. Common Issues and the Steps to Resolve Them

                                                                                                                                                  Сповіщення

                                                                                                                                                  Дія

                                                                                                                                                  Помилка доступу до локальної бази даних.

                                                                                                                                                  Check for database errors or local network issues.

                                                                                                                                                  Local database connection failure.

                                                                                                                                                  Check that the database server is available, and the right service account credentials were used in node configuration.

                                                                                                                                                  Cloud service access failure.

                                                                                                                                                  Check that the nodes can access the Webex servers as specified in External connectivity requirements.

                                                                                                                                                  Renewing cloud service registration.

                                                                                                                                                  Registration to cloud services was dropped. Renewal of registration is in progress.

                                                                                                                                                  Cloud service registration dropped.

                                                                                                                                                  Registration to cloud services terminated. Service is shutting down.

                                                                                                                                                  Service not yet activated.

                                                                                                                                                  Activate a trial, or finish moving the trial to production.

                                                                                                                                                  Configured domain does not match server certificate.

                                                                                                                                                  Ensure that your server certificate matches the configured service activation domain.

                                                                                                                                                  The most likely cause is that the certificate CN was recently changed and is now different from the CN that was used during initial setup.

                                                                                                                                                  Failed to authenticate to cloud services.

                                                                                                                                                  Check for accuracy and possible expiration of service account credentials.

                                                                                                                                                  Failed to open local keystore file.

                                                                                                                                                  Check for integrity and password accuracy on local keystore file.

                                                                                                                                                  Local server certificate is invalid.

                                                                                                                                                  Check the server certificate's expiration date and confirm that it was issued by a trusted Certificate Authority.

                                                                                                                                                  Unable to post metrics.

                                                                                                                                                  Check local network access to external cloud services.

                                                                                                                                                  /media/configdrive/hds directory does not exist.

                                                                                                                                                  Check the ISO mount configuration on virtual host. Verify that the ISO file exists, that it is configured to mount on reboot, and that it mounts successfully.

                                                                                                                                                  Troubleshoot Hybrid Data Security

                                                                                                                                                  Use the following general guidelines when troubleshooting problems with Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Review Control Hub for any alerts and fix any items you find there.

                                                                                                                                                  2

                                                                                                                                                  Review the syslog server output for activity from the Hybrid Data Security deployment.

                                                                                                                                                  3

                                                                                                                                                  Contact Cisco support.

                                                                                                                                                  Other Notes

                                                                                                                                                  Known Issues for Hybrid Data Security

                                                                                                                                                  • If you shut down your Hybrid Data Security cluster (by deleting it in Control Hub or by shutting down all nodes), lose your configuration ISO file, or lose access to the keystore database, your Webex App users can no longer use spaces under their People list that were created with keys from your KMS. This applies to both trial and production deployments. We do not currently have a workaround or fix for this issue and urge you not to shut down your HDS services once they are handling active user accounts.

                                                                                                                                                  • A client which has an existing ECDH connection to a KMS maintains that connection for a period of time (likely one hour). When a user becomes a member of a Hybrid Data Security trial, the user's client continues to use the existing ECDH connection until it times out. Alternatively, the user can sign out and back in to the Webex App app to update the location that the app contacts for encryption keys.

                                                                                                                                                    The same behavior occurs when you move a trial to production for the organization. All non-trial users with existing ECDH connections to the previous data security services will continue to use those services until the ECDH connection is renegotiated (through timeout or by signing out and back in).

                                                                                                                                                  Use OpenSSL to Generate a PKCS12 File

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • OpenSSL is one tool that can be used to make the PKCS12 file in the proper format for loading in the HDS Setup Tool. There are other ways to do this, and we do not support or promote one way over another.

                                                                                                                                                  • If you do choose to use OpenSSL, we are providing this procedure as a guideline to help you create a file that meets the X.509 certificate requirements in X.509 Certificate Requirements. Understand those requirements before you continue.

                                                                                                                                                  • Install OpenSSL in a supported environment. See https://www.openssl.org for the software and documentation.

                                                                                                                                                  • Create a private key.

                                                                                                                                                  • Start this procedure when you receive the server certificate from your Certificate Authority (CA).

                                                                                                                                                  1

                                                                                                                                                  When you receive the server certificate from your CA, save it as hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Display the certificate as text, and verify the details.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Use a text editor to create a certificate bundle file called hdsnode-bundle.pem. The bundle file must include the server certificate, any intermediate CA certificates, and the root CA certificates, in the format below:

                                                                                                                                                  -----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----

                                                                                                                                                  4

                                                                                                                                                  Create the .p12 file with the friendly name kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Check the server certificate details.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Enter a password at the prompt to encrypt the private key so that it is listed in the output. Then, verify that the private key and the first certificate include the lines friendlyName: kms-private-key.

                                                                                                                                                    Приклад:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

                                                                                                                                                  Що далі

                                                                                                                                                  Return to Complete the Prerequisites for Hybrid Data Security. You will use the hdsnode.p12 file, and the password you've set for it, in Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  You can reuse these files to request a new certificate when the original certificate expires.

                                                                                                                                                  Traffic between the HDS Nodes and the Cloud

                                                                                                                                                  Outbound Metrics Collection Traffic

                                                                                                                                                  The Hybrid Data Security nodes send certain metrics to the Webex cloud. These include system metrics for heap max, heap used, CPU load, and thread count; metrics on synchronous and asynchronous threads; metrics on alerts involving a threshold of encryption connections, latency, or a request queue length; metrics on the datastore; and encryption connection metrics. The nodes send encrypted key material over an out-of-band (separate from the request) channel.

                                                                                                                                                  Inbound Traffic

                                                                                                                                                  The Hybrid Data Security nodes receive the following types of inbound traffic from the Webex cloud:

                                                                                                                                                  • Encryption requests from clients, which are routed by the encryption service

                                                                                                                                                  • Upgrades to the node software

                                                                                                                                                  Configure Squid Proxies for Hybrid Data Security

                                                                                                                                                  Websocket не може підключитися через проксі-сервер Squid

                                                                                                                                                  Squid proxies that inspect HTTPS traffic can interfere with the establishment of websocket (wss:) connections that Hybrid Data Security requires. These sections give guidance on how to configure various versions of Squid to ignore wss: traffic for proper operation of the services.

                                                                                                                                                  Кальмари 4 і 5

                                                                                                                                                  Add the on_unsupported_protocol directive to squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Кальмари 3.5.27

                                                                                                                                                  Ми успішно протестували гібридну безпеку даних за допомогою наступних правил, доданих до squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
                                                                                                                                                  Preface

                                                                                                                                                  Нова та змінена інформація

                                                                                                                                                  Дата

                                                                                                                                                  Внесені зміни

                                                                                                                                                  20 жовтня 2023 року

                                                                                                                                                  7 серпня 2023 року

                                                                                                                                                  23 травня 2023 року

                                                                                                                                                  6 грудня 2022 року

                                                                                                                                                  23 листопада 2022 року

                                                                                                                                                  13 жовтня 2021 р

                                                                                                                                                  Щоб установити вузли HDS, Docker Desktop необхідно запустити програму встановлення. Див Вимоги до Docker Desktop .

                                                                                                                                                  24 червня 2021 р

                                                                                                                                                  Зауважено, що ви можете повторно використовувати файл із закритим ключем і CSR для запиту іншого сертифіката. Див Використовуйте OpenSSL для створення файлу PKCS12 для отримання додаткової інформації.

                                                                                                                                                  30 квітня 2021 р.

                                                                                                                                                  Вимогу до VM щодо простору на локальному жорсткому диску змінено на 30 ГБ. Див Вимоги до віртуального хоста для отримання додаткової інформації.

                                                                                                                                                  24 лютого 2021 року

                                                                                                                                                  HDS Setup Tool тепер може працювати через проксі. Див Створіть ISO конфігурації для хостів HDS для отримання додаткової інформації.

                                                                                                                                                  2 лютого 2021 року

                                                                                                                                                  Тепер HDS може працювати без підключеного файлу ISO. Див (Необов’язково) Відключіть ISO після конфігурації HDS для отримання додаткової інформації.

                                                                                                                                                  11 січня 2021 року

                                                                                                                                                  Додано інформацію про інструмент налаштування HDS і проксі в Створіть ISO конфігурації для хостів HDS .

                                                                                                                                                  13 жовтня 2020 р

                                                                                                                                                  Оновлено Завантажте файли встановлення .

                                                                                                                                                  8 жовтня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла з командами для середовищ FedRAMP.

                                                                                                                                                  14 серпня 2020 р.

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла зі змінами в процесі входу.

                                                                                                                                                  5 серпня 2020 р

                                                                                                                                                  Оновлено Перевірте розгортання гібридної безпеки даних для змін у повідомленнях журналу.

                                                                                                                                                  Оновлено Вимоги до віртуального хоста щоб видалити максимальну кількість хостів.

                                                                                                                                                  16 червня 2020 р

                                                                                                                                                  Оновлено Видалити вузол для змін в інтерфейсі користувача Control Hub.

                                                                                                                                                  4 червня 2020 р

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS для змін у розширених налаштуваннях, які ви можете встановити.

                                                                                                                                                  29 травня 2020 р

                                                                                                                                                  Оновлено Створіть ISO конфігурації для хостів HDS щоб показати, що також можна використовувати TLS з базами даних SQL Server, змінами інтерфейсу користувача та іншими роз’ясненнями.

                                                                                                                                                  5 травня 2020 р

                                                                                                                                                  Оновлено Вимоги до віртуального хоста щоб відобразити нові вимоги ESXi 6.5.

                                                                                                                                                  21 квітня 2020 р

                                                                                                                                                  Оновлено Вимоги до зовнішнього підключення з новими хостами CI Північної і Південної Америки.

                                                                                                                                                  1 квітня 2020 р

                                                                                                                                                  Оновлено Вимоги до зовнішнього підключення з інформацією про регіональні хости CI.

                                                                                                                                                  20 лютого 2020 рОновлено Створіть ISO конфігурації для хостів HDS з інформацією на новому екрані додаткових додаткових параметрів у інструменті налаштування HDS.
                                                                                                                                                  4 лютого 2020 рОновлено Вимоги до проксі-сервера .
                                                                                                                                                  16 грудня 2019 р.Роз’яснено вимоги до роботи в режимі роздільної здатності заблокованого зовнішнього DNS Вимоги до проксі-сервера .
                                                                                                                                                  19 листопада 2019 року

                                                                                                                                                  Додано інформацію про режим дозволу заблокованого зовнішнього DNS в таких розділах:

                                                                                                                                                  8 листопада 2019 року

                                                                                                                                                  Тепер можна налаштувати параметри мережі для вузла під час розгортання OVA, а не пізніше.

                                                                                                                                                  Відповідно оновлено такі розділи:


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  6 вересня 2019 року

                                                                                                                                                  Стандартний SQL Server додано до Вимоги до сервера бази даних .

                                                                                                                                                  29 серпня 2019 рокуДодано Налаштуйте проксі Squid для гібридної безпеки даних додаток із інструкціями щодо налаштування проксі Squid для ігнорування трафіку вебсокетів для належної роботи.
                                                                                                                                                  20 серпня 2019 року

                                                                                                                                                  Додані й оновлені розділи, які охоплюють підтримку проксі-сервера для зв’язку вузла гібридної безпеки даних із хмарою Webex.

                                                                                                                                                  Щоб отримати доступ лише до контенту підтримки проксі для наявного розгортання, див Підтримка проксі для гібридної безпеки даних і Webex Video Mesh довідкова стаття.

                                                                                                                                                  13 червня 2019 рокуОновлено Потік завдань із пробної версії до виробничого з нагадуванням про синхронізацію HdsTrialGroup об’єкт групи перед початком ознайомлювальної версії, якщо ваша організація використовує синхронізацію каталогів.
                                                                                                                                                  6 березня 2019 року
                                                                                                                                                  28 лютого 2019 року
                                                                                                                                                  • Виправлено кількість простору локального жорсткого диска на сервер, який ви повинні були виділити під час підготовки віртуальних хостів, які стануть вузлами гібридної безпеки даних, з 50 ГБ до 20 ГБ, щоб відобразити розмір диска, який створює OVA.

                                                                                                                                                  26 лютого 2019 р.
                                                                                                                                                  • Вузли гібридної безпеки даних тепер підтримують зашифровані підключення до серверів баз даних PostgreSQL, а також зашифровані підключення для ведення журналів до сервера системного журналу з підтримкою TLS. Оновлено Створіть ISO конфігурації для хостів HDS з інструкціями.

                                                                                                                                                  • Цільові URL-адреси видалено з таблиці "Вимоги до підключення до інтернету для віртуальних машин вузлів гібридної безпеки даних". Тепер таблиця посилається на список, який ведеться в таблиці "Додаткові URL-адреси для гібридних служб Webex Teams" Вимоги до мережі для служб Webex Teams .

                                                                                                                                                  24 січня 2019 року

                                                                                                                                                  • Hybrid Data Security тепер підтримує Microsoft SQL Server як базу даних. Параметр SQL Server Always On (Always On Failover Clusters and Always On Availability Groups) підтримується драйверами JDBC, які використовуються в гібридній безпеці даних. Додано контент, пов’язаний із розгортанням за допомогою SQL Server.


                                                                                                                                                     

                                                                                                                                                    Підтримку Microsoft SQL Server призначено лише для нового розгортання служби безпеки даних гібридного типу. Наразі міграція даних із PostgreSQL у Microsoft SQL Server у наявному розгортанні не підтримується.

                                                                                                                                                  5 листопада 2018 року
                                                                                                                                                  19 жовтня 2018 року

                                                                                                                                                  31 липня 2018 року

                                                                                                                                                  21 травня 2018 р.

                                                                                                                                                  Термінологію змінено, щоб відобразити ребрендинг Cisco Spark:

                                                                                                                                                  • Гібридна безпека даних Cisco Spark тепер є гібридною безпекою даних.

                                                                                                                                                  • Програма Cisco Spark тепер стала програмою Webex.

                                                                                                                                                  • Хмара Cisco Collaboraton тепер хмара Webex.

                                                                                                                                                  11 квітня 2018 року
                                                                                                                                                  22 лютого 2018 року
                                                                                                                                                  15 лютого 2018 року
                                                                                                                                                  • У Вимоги до сертифіката X.509 вказано, що сертифікат не може бути сертифікатом із символами підстановки та що KMS використовує домен CN, а не будь-який домен, визначений у полях x.509v3 SAN.

                                                                                                                                                  18 січня 2018 року

                                                                                                                                                  2 листопада 2017 року

                                                                                                                                                  • Уточнена синхронізація каталогів HdsTrialGroup.

                                                                                                                                                  • Виправлені інструкції щодо передавання файлу конфігурації ISO для підключення до вузлів віртуальної машини.

                                                                                                                                                  18 серпня 2017 року

                                                                                                                                                  Вперше опубліковано

                                                                                                                                                  Get Started with Hybrid Data Security

                                                                                                                                                  Огляд безпеки гібридних даних

                                                                                                                                                  З першого дня безпека даних була головним у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, що вмикається клієнтами програми Webex, які взаємодіють зі службою керування ключами (KMS). KMS відповідає за створення та керування криптографічними ключами, які клієнти використовують для динамічного шифрування та дешифрування повідомлень і файлів.

                                                                                                                                                  За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS, у сфері безпеки Cisco. Гібридна безпека даних переміщує KMS та інші функції, пов’язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не буде мати ключів до вашого зашифрованого контенту.

                                                                                                                                                  Архітектура області безпеки

                                                                                                                                                  Хмарна архітектура Webex розділяє різні типи служб на окремі області або довірені домени, як показано нижче.

                                                                                                                                                  Області розділення (без гібридної безпеки даних)

                                                                                                                                                  Щоб краще зрозуміти гібридну безпеку даних, давайте спочатку розглянемо цей випадок у чистому вигляді, коли Cisco надає всі функції у своїх хмарних сферах. Служба ідентифікації, єдине місце, де користувачів можна безпосередньо зв’язати з їхньою особистою інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зберігається зашифрований контент. , у центрі обробки даних C.

                                                                                                                                                  На цій діаграмі клієнтом є програма Webex, що запущена на ноутбуці користувача та пройшла автентифікацію за допомогою служби ідентифікації. Коли користувач створює повідомлення для надсилання до простору, виконуються такі кроки:

                                                                                                                                                  1. Клієнт встановлює захищене підключення до служби керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Захищене підключення використовує ECDH, а KMS шифрує ключ за допомогою головного ключа AES-256.

                                                                                                                                                  2. Повідомлення шифрується, перш ніж залишити клієнт. Клієнт надсилає його до служби індексування, яка створює зашифровані індекси пошуку, щоб допомогти в майбутніх пошуках контенту.

                                                                                                                                                  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

                                                                                                                                                  4. Зашифроване повідомлення зберігається в області сховища.

                                                                                                                                                  Під час розгортання гібридної безпеки даних функції області безпеки (KMS, індексація та відповідність вимогам) переносяться до локального центру обробки даних. Інші хмарні служби, що складають Webex (зокрема, ідентифікаційні дані та сховище контенту) залишаються в сферах Cisco.

                                                                                                                                                  Співпраця з іншими організаціями

                                                                                                                                                  Користувачі у вашій організації можуть регулярно використовувати програму Webex для співпраці із зовнішніми учасниками в інших організаціях. Коли один із користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), KMS надсилає ключ клієнту через захищений канал ECDH. Однак, коли ключ для простору володіє інша організація, KMS маршрутизує запит до хмари Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в оригінальному каналі.

                                                                                                                                                  Служба KMS, що працює в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Див Підготуйте своє середовище Докладніше про створення сертифіката x.509 для використання з розгортанням гібридної безпеки даних.

                                                                                                                                                  Очікування щодо розгортання гібридної безпеки даних

                                                                                                                                                  Розгортання гібридної безпеки даних вимагає значних зобов’язань клієнта та усвідомлення ризиків, пов’язаних із володінням ключами шифрування.

                                                                                                                                                  Щоб розгорнути гібридну безпеку даних, необхідно надати:

                                                                                                                                                  Повна втрата ISO конфігурації, створеної для гібридної безпеки даних, або наданої вами бази даних призведе до втрати ключів. Втрата ключа не дозволяє користувачам розшифрувати вміст простору та інші зашифровані дані в програмі Webex. Якщо це станеться, можна створити нове розгортання, але видимим буде лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

                                                                                                                                                  • Керуйте резервним копіюванням і відновленням бази даних і ISO конфігурації.

                                                                                                                                                  • Будьте готові виконати швидке відновлення після аварії, якщо станеться катастрофа, як-от збій диска бази даних або аварійний стан центру обробки даних.


                                                                                                                                                   

                                                                                                                                                  Немає механізму переміщення ключів назад до хмари після розгортання HDS.

                                                                                                                                                  Процес налаштування високого рівня

                                                                                                                                                  У цьому документі описано налаштування та керування розгортанням гібридної безпеки даних:

                                                                                                                                                  • Налаштуйте безпеку гібридних даних —Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення Hybrid Data Security, тестування розгортання з підгрупою користувачів у ознайомлювальному режимі та, після завершення тестування, перехід до робочої версії. Це перетворить всю організацію на використання кластера гібридної безпеки даних для функцій безпеки.

                                                                                                                                                    Про фази налаштування, ознайомлювальної версії та виробництва докладно описано в наступних трьох розділах.

                                                                                                                                                  • Підтримуйте розгортання гібридної безпеки даних — Хмара Webex автоматично надає поточні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати екранні сповіщення та налаштувати сповіщення на основі електронної пошти в Control Hub.

                                                                                                                                                  • Ознайомтеся з поширеними сповіщеннями, кроками з усунення несправностей та відомими проблемами — Якщо у вас виникнуть проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й усунути проблему.

                                                                                                                                                  Модель розгортання гібридної безпеки даних

                                                                                                                                                  У межах корпоративного центру обробки даних ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли взаємодіють із хмарою Webex через захищені вебсокети та захищений HTTP.

                                                                                                                                                  Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами віртуальних машинах. За допомогою інструмента налаштування HDS можна створити користувацький ISO-файл конфігурації кластера, який монтується на кожному вузлі. Кластер гібридної безпеки даних використовує наданий вами сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і деталі підключення до бази даних у інструменті налаштування HDS.)

                                                                                                                                                  Модель розгортання гібридної безпеки даних

                                                                                                                                                  Мінімальна кількість вузлів, які можна мати в кластері, становить два. Рекомендовано принаймні три, а можна до п’яти. Наявність кількох вузлів гарантує, що обслуговування не буде перервано під час оновлення програмного забезпечення або інших дій з обслуговування на вузлі. (У хмарі Webex одночасно оновлюється лише один вузол.)

                                                                                                                                                  Усі вузли в кластері отримують доступ до одного сховища ключових даних і реєструють дії на одному сервері системних журналів. Самі вузли не мають стану та обробляють запити ключів у циклічному порядку, відповідно до вказівок хмари.

                                                                                                                                                  Вузли стають активними, коли ви реєструєте їх у Control Hub. Щоб вимкнути окремий вузол, можна скасувати його реєстрацію, а пізніше за потреби зареєструвати повторно.

                                                                                                                                                  Ми підтримуємо лише один кластер на організацію.

                                                                                                                                                  Ознайомлювальний режим безпеки гібридних даних

                                                                                                                                                  Після налаштування розгортання гібридної безпеки даних ви спочатку спробуєте його з набором пілотних користувачів. Протягом пробного періоду ці користувачі використовують ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Інші ваші користувачі продовжують використовувати область хмарної безпеки.

                                                                                                                                                  Якщо ви вирішите не продовжувати розгортання під час пробної версії та деактивуєте службу, пілотні користувачі та всі користувачі, з якими вони взаємодіяли шляхом створення нових просторів протягом пробного періоду, втратять доступ до повідомлень і контенту. У програмі Webex вони побачать повідомлення "Це повідомлення неможливо розшифрувати".

                                                                                                                                                  Якщо ви впевнені, що ваше розгортання працює добре для користувачів пробної версії, і ви готові поширити гібридну безпеку даних на всіх своїх користувачів, ви переміщуєте розгортання до робочої версії. Пілотні користувачі продовжують мати доступ до ключів, які використовувалися під час ознайомлювальної версії. Однак ви не можете переходити між робочим режимом і вихідним ознайомлювальним режимом. Якщо ви повинні деактивувати службу, наприклад, для виконання аварійного відновлення, під час повторної активації необхідно почати нову ознайомлювальну версію та налаштувати набір пілотних користувачів для нової ознайомлювальної версії, перш ніж повернутися до робочого режиму. Те, чи збережуть користувачі доступ до даних на цьому етапі, залежить від того, чи успішно ви створили резервні копії сховища ключових даних і файлу конфігурації ISO для вузлів гібридної безпеки даних у вашому кластері.

                                                                                                                                                  Резервний центр обробки даних для аварійного відновлення

                                                                                                                                                  Під час розгортання ви налаштовуєте захищений резервний центр обробки даних. У разі аварійної ситуації в центрі обробки даних можна вручну зупинити розгортання в резервному центрі обробки даних.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручне перемикання на резервний центр обробки даних

                                                                                                                                                  Бази даних активного та резервного центрів обробки даних синхронізовані одна з одною, що мінімізує час, необхідний для перемикання на помилку. Файл ISO резервного центру обробки даних оновлено додатковими конфігураціями, які гарантують, що вузли зареєстровані в організації, але не оброблятимуть трафік. Тому вузли резервного центру обробки даних завжди залишаються в актуальному стані з останньою версією програмного забезпечення HDS.


                                                                                                                                                   

                                                                                                                                                  Активні вузли гібридної безпеки даних повинні завжди перебувати в тому самому центрі обробки даних, що й активний сервер бази даних.

                                                                                                                                                  Налаштуйте резервний центр обробки даних для аварійного відновлення

                                                                                                                                                  Виконайте наведені нижче дії, щоб налаштувати файл ISO резервного центру обробки даних:

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Резервний центр обробки даних має відображати виробниче середовище віртуальних машин і резервну копію бази даних PostgreSQL або Microsoft SQL Server. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини. (Див Резервний центр обробки даних для аварійного відновлення для огляду цієї моделі резервного перемикання.)

                                                                                                                                                  • Переконайтеся, що ввімкнено синхронізацію бази даних між базою даних активних і пасивних вузлів кластера.

                                                                                                                                                  1.

                                                                                                                                                  Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .


                                                                                                                                                   

                                                                                                                                                  Файл ISO має бути копією вихідного файлу ISO основного центру обробки даних, у якому необхідно виконати наведені далі оновлення конфігурації.

                                                                                                                                                  2.

                                                                                                                                                  Після налаштування сервера Syslogd клацніть Розширені налаштування

                                                                                                                                                  3.

                                                                                                                                                  На Розширені налаштування сторінку, додайте конфігурацію нижче, щоб перевести вузол у пасивний режим. У цьому режимі вузол буде зареєстровано в організації та підключено до хмари, але не оброблятиме трафік.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4.

                                                                                                                                                  Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

                                                                                                                                                  5.

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  6.

                                                                                                                                                  На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування. .

                                                                                                                                                  7.

                                                                                                                                                  Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.


                                                                                                                                                   

                                                                                                                                                  Переконайтеся, що Підключено і Підключіться після ввімкнення перевірено, щоб оновлені зміни конфігурації набули чинності після запуску вузлів.

                                                                                                                                                  8

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

                                                                                                                                                  9

                                                                                                                                                  Повторіть процес для кожного вузла в резервному центрі обробки даних.


                                                                                                                                                   

                                                                                                                                                  Перевірте системні журнали, щоб переконатися, що вузли перебувають у пасивному режимі. Ви повинні мати змогу переглядати повідомлення «KMS налаштовано в пасивному режимі» в системних журналах.

                                                                                                                                                  Що далі

                                                                                                                                                  Після налаштування passiveMode у файлі ISO та після його збереження можна створити іншу копію файлу ISO без файлу passiveMode конфігурацію та збережіть її в захищеному місці. Ця копія файлу ISO без passiveMode configured може допомогти в швидкому перемиканні на помилку під час аварійного відновлення. Див Аварійне відновлення за допомогою резервного центру обробки даних для детальної процедури переходу до відмови.

                                                                                                                                                  Підтримка проксі

                                                                                                                                                  Гібридна безпека даних підтримує явні, прозорі проксі-сервери з перевіркою та без перевірки. Можна прив’язати ці проксі-сервери до свого розгортання, щоб забезпечити безпеку та відстежувати трафік від підприємства до хмари. Можна використовувати інтерфейс адміністратора платформи на вузлах для керування сертифікатами та перевірки загального стану підключення після налаштування проксі на вузлах.

                                                                                                                                                  Вузли гібридної безпеки даних підтримують такі параметри проксі:

                                                                                                                                                  • Немає проксі — Значення за замовчуванням, якщо ви не використовуєте налаштування вузла HDS, сховища довіри та конфігурацію проксі для інтеграції проксі. Оновлення сертифіката не потрібно.

                                                                                                                                                  • Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.

                                                                                                                                                  • Прозорий проксі з тунелюванням або перевіркою —Вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах змінювати конфігурацію HTTP або HTTPS не потрібно. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

                                                                                                                                                  • Явний проксі — За допомогою явного проксі ви вказуєте вузлам HDS, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі-сервер, необхідно ввести таку інформацію на кожному вузлі:

                                                                                                                                                    1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.

                                                                                                                                                    2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.

                                                                                                                                                    3. Протокол проксі — Залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

                                                                                                                                                      • HTTP — перегляд і контроль усіх запитів, які надсилає клієнт.

                                                                                                                                                      • HTTPS — надає канал до сервера. Клієнт отримує та перевіряє сертифікат сервера.

                                                                                                                                                    4. Тип автентифікації — Виберіть один із таких типів автентифікації:

                                                                                                                                                      • Немає —Подальша автентифікація не потрібна.

                                                                                                                                                        Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.

                                                                                                                                                      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.

                                                                                                                                                        Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.

                                                                                                                                                        Вимагає ввести ім’я користувача та пароль на кожному вузлі.

                                                                                                                                                      • Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.

                                                                                                                                                        Доступно, лише якщо вибрано HTTPS як протокол проксі.

                                                                                                                                                        Вимагає ввести ім’я користувача та пароль на кожному вузлі.

                                                                                                                                                  Приклад гібридних вузлів безпеки даних і проксі

                                                                                                                                                  На цій діаграмі показано приклад підключення між гібридною безпекою даних, мережею та проксі. Для параметрів проксі-сервера з прозорою перевіркою та явною перевіркою HTTPS необхідно встановити той самий кореневий сертифікат на проксі-сервері та вузлах гібридної безпеки даних.

                                                                                                                                                  Режим дозволу заблокованого зовнішнього DNS (явні конфігурації проксі)

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі вузла, процес перевіряє пошук DNS і можливість підключення до хмари Cisco Webex. У розгортаннях із явними конфігураціями проксі, які не дозволяють роздільну здатність зовнішнього DNS для внутрішніх клієнтів, якщо вузол не може запитувати сервери DNS, він автоматично переходить у режим роздільної здатності заблокованого зовнішнього DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести підключення проксі.

                                                                                                                                                  Підготуйте своє оточення

                                                                                                                                                  Вимоги до гібридної безпеки даних

                                                                                                                                                  Вимоги до ліцензії Cisco Webex

                                                                                                                                                  Щоб розгорнути гібридну безпеку даних:

                                                                                                                                                  Вимоги до Docker Desktop

                                                                                                                                                  Перш ніж установити вузли HDS, необхідно запустити програму встановлення Docker Desktop. Docker нещодавно оновив свою модель ліцензування. Вашій організації може знадобитися платна підписка на Docker Desktop. Докладніше див. в публікації блозі Docker, " Docker оновлює та подовжує наші підписки продуктів ".

                                                                                                                                                  Вимоги до сертифіката X.509

                                                                                                                                                  Ланцюжок сертифікатів має відповідати таким вимогам:

                                                                                                                                                  Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

                                                                                                                                                  Вимоги

                                                                                                                                                  Відомості

                                                                                                                                                  • Підписано довіреним центром сертифікації (CA)

                                                                                                                                                  За замовчуванням ми довіряємо ЦС у списку Mozilla (за винятком WoSign і StartCom) за адресоюhttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Має доменне ім’я Common Name (CN), яке ідентифікує ваше розгортання гібридної безпеки даних

                                                                                                                                                  • Не є сертифікатом із символом підстановки

                                                                                                                                                  CN не обов’язково має бути доступним або активним організатором. Рекомендовано використовувати назву, яка відображає вашу організацію, наприклад, hds.company.com.

                                                                                                                                                  CN не повинна містити символ * (підстановка).

                                                                                                                                                  CN використовується для перевірки вузлів гібридної безпеки даних для клієнтів програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, який визначено в полях SAN x.509v3.

                                                                                                                                                  Після реєстрації вузла за допомогою цього сертифіката зміна імені домену CN не підтримується. Виберіть домен, який може застосовуватися як для ознайомлювального, так і для робочого розгортання.

                                                                                                                                                  • Підпис не SHA1

                                                                                                                                                  Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключень до KMS інших організацій.

                                                                                                                                                  • Відформатовано як файл PKCS № 12, захищений паролем

                                                                                                                                                  • Використовуйте дружнє ім’я користувача kms-private-key щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.

                                                                                                                                                  Щоб змінити формат сертифіката, можна використовувати конвертер, наприклад OpenSSL.

                                                                                                                                                  Під час запуску засобу налаштування HDS потрібно буде ввести пароль.

                                                                                                                                                  Програмне забезпечення KMS не встановлює обмеження щодо використання ключів або розширеного використання ключів. Деякі центри сертифікації вимагають, щоб до кожного сертифіката були застосовані розширені обмеження використання ключів, наприклад автентифікація сервера. Можна використовувати автентифікацію сервера або інші налаштування.

                                                                                                                                                  Вимоги до віртуального хоста

                                                                                                                                                  Віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері, мають такі вимоги:

                                                                                                                                                  • Принаймні два окремих хости (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

                                                                                                                                                  • VMware ESXi 6.5 (або пізнішої версії) встановлено та працює.


                                                                                                                                                     

                                                                                                                                                    Необхідно оновити версію, якщо у вас є попередня версія ESXi.

                                                                                                                                                  • Мінімум 4 vCPU, 8 ГБ основної пам’яті, 30 ГБ місця на локальному жорсткому диску на сервер

                                                                                                                                                  Вимоги до сервера бази даних


                                                                                                                                                   

                                                                                                                                                  Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

                                                                                                                                                  Є два варіанти для сервера бази даних. Вимоги до кожного є такими:

                                                                                                                                                  Таблиця 2. Вимоги до сервера бази даних за типом бази даних

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 або 16, установлено та запущено.

                                                                                                                                                  • Установлено SQL Server 2016, 2017 або 2019 (Enterprise або Standard).


                                                                                                                                                     

                                                                                                                                                    Для SQL Server 2016 потрібні пакет оновлень 2 і накопичувальне оновлення 2 або пізнішої версії.

                                                                                                                                                  Мінімум 8 vCPU, 16 ГБ основної пам’яті, достатньо простору на жорсткому диску та моніторинг, щоб гарантувати, що воно не перевищено (рекомендується 2 ТБ, якщо ви хочете працювати з базою даних протягом тривалого часу без необхідності збільшувати обсяг сховища).

                                                                                                                                                  Мінімум 8 vCPU, 16 ГБ основної пам’яті, достатньо простору на жорсткому диску та моніторинг, щоб гарантувати, що воно не перевищено (рекомендується 2 ТБ, якщо ви хочете працювати з базою даних протягом тривалого часу без необхідності збільшувати обсяг сховища).

                                                                                                                                                  Зараз програмне забезпечення HDS встановлює такі версії драйверів для зв’язку із сервером бази даних:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Драйвер JDBC Postgres 42.2.5

                                                                                                                                                  Драйвер JDBC SQL Server 4.6

                                                                                                                                                  Ця версія драйвера підтримує SQL Server Always On ( Завжди ввімкнені екземпляри кластера перемикання і Завжди ввімкнені групи доступності ).

                                                                                                                                                  Додаткові вимоги до автентифікації Windows у Microsoft SQL Server

                                                                                                                                                  Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для отримання доступу до бази даних сховища ключів на Microsoft SQL Server, вам потрібна така конфігурація у вашому середовищі:

                                                                                                                                                  • Вузли HDS, інфраструктура Active Directory і MS SQL Server мають бути синхронізовані з NTP.

                                                                                                                                                  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ для читання та запису до бази даних.

                                                                                                                                                  • Сервери DNS, які ви надаєте вузлам HDS, повинні мати можливість дозволити ваш центр розподілу ключів (KDC).

                                                                                                                                                  • Ви можете зареєструвати екземпляр бази даних HDS на Microsoft SQL Server як ім’я користувача-служби (SPN) у вашому Active Directory. Див Зареєструйте ім’я користувача-служби для підключень Kerberos .

                                                                                                                                                    Інструмент налаштування HDS, засіб запуску HDS і локальний KMS повинні використовувати автентифікацію Windows для доступу до бази даних сховища ключів. Вони використовують дані вашої конфігурації ISO для створення SPN, коли запитують доступ за допомогою автентифікації Kerberos.

                                                                                                                                                  Вимоги до зовнішнього підключення

                                                                                                                                                  Налаштуйте брандмауер, щоб дозволити такі можливості підключення для програм HDS:

                                                                                                                                                  Застосування

                                                                                                                                                  Протокол

                                                                                                                                                  Порт

                                                                                                                                                  Напрямок із програми

                                                                                                                                                  Призначення

                                                                                                                                                  Вузли гібридної безпеки даних

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Вихідні HTTPS і WSS

                                                                                                                                                  • Сервери Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Усі хости Common Identity

                                                                                                                                                  • Інші URL-адреси, перелічені для гібридної безпеки даних у Додаткові URL-адреси для гібридних служб Webex таблицю з Вимоги до мережі для служб Webex

                                                                                                                                                  Інструмент налаштування HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Вихідний HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Усі хости Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Вузли гібридної безпеки даних працюють із трансляцією доступу до мережі (NAT) або за брандмауером, якщо NAT або брандмауер дозволяє використовувати необхідні вихідні підключення до адресатів домену, наведених у попередній таблиці. Для вхідних підключень до вузлів гібридної безпеки даних порти з інтернету не повинні бути видимими. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

                                                                                                                                                  URL-адреси хостів Common Identity (CI) залежать від регіону. Це поточні хости CI:

                                                                                                                                                  Регіон

                                                                                                                                                  URL-адреси хоста спільних ідентифікаційних даних

                                                                                                                                                  Північна та Південна Америки

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Європейський Союз

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Канада

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Вимоги до проксі-сервера

                                                                                                                                                  • Ми офіційно підтримуємо такі проксі-рішення, які можна інтегрувати з вашими вузлами гібридної безпеки даних.

                                                                                                                                                  • Підтримуються такі комбінації типів автентифікації для явних проксі-серверів:

                                                                                                                                                    • Немає автентифікації за допомогою HTTP або HTTPS

                                                                                                                                                    • Базова автентифікація за допомогою HTTP або HTTPS

                                                                                                                                                    • Дайджест автентифікації лише за допомогою HTTPS

                                                                                                                                                  • Для прозорого проксі-сервера з перевіркою або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі. В інструкціях із розгортання в цьому посібнику описано, як передати копію до сховищ довіри вузлів гібридної безпеки даних.

                                                                                                                                                  • Мережа, де розміщено вузли HDS, повинна бути налаштована на примусове маршрутизацію вихідного трафіку TCP через порт 443 через проксі.

                                                                                                                                                  • Проксі, які перевіряють вебтрафік, можуть перешкоджати підключенням вебсокета. Якщо ця проблема виникне, обійти (не перевіряти) трафік до wbx2.com і ciscospark.com вирішить проблему.

                                                                                                                                                  Виконайте обов’язкові умови для гібридної безпеки даних

                                                                                                                                                  Використовуйте цей контрольний список, щоб переконатися, що ви готові до встановлення та налаштування кластера гібридної безпеки даних.
                                                                                                                                                  1.

                                                                                                                                                  Переконайтеся, що у вашій організації Webex увімкнено Pro Pack for Cisco Webex Control Hub, і отримайте облікові дані облікового запису з повними правами адміністратора організації. Зверніться до партнера Cisco або менеджера облікового запису, щоб отримати допомогу з цим процесом.

                                                                                                                                                  2.

                                                                                                                                                  Виберіть ім’я домену для розгортання HDS (наприклад, hds.company.com) і отримати ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ і будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам у Вимоги до сертифіката X.509 .

                                                                                                                                                  3.

                                                                                                                                                  Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері. Вам потрібно принаймні два окремих хоста (рекомендовано 3), розміщені в одному захищеному центрі обробки даних, які відповідають вимогам у Вимоги до віртуального хоста .

                                                                                                                                                  4.

                                                                                                                                                  Підготуйте сервер бази даних, який буде виконувати функцію сховища ключових даних для кластера, відповідно до Вимоги до сервера бази даних . Сервер бази даних має бути одночасно розташований у захищеному центрі обробки даних із віртуальними хостами.

                                                                                                                                                  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.)

                                                                                                                                                  2. Зберіть відомості, які вузли використовуватимуть для зв’язку із сервером бази даних:

                                                                                                                                                    • ім’я хоста або IP-адресу (хост) і порт

                                                                                                                                                    • ім’я бази даних (dbname) для зберігання ключів

                                                                                                                                                    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

                                                                                                                                                  5.

                                                                                                                                                  Для швидкого аварійного відновлення налаштуйте середовище резервного копіювання в іншому центрі обробки даних. Середовище резервного копіювання відображає виробниче середовище віртуальних машин і сервера бази даних резервного копіювання. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини.

                                                                                                                                                  6.

                                                                                                                                                  Налаштуйте хост системного журналу для збору журналів із вузлів у кластері. Зібрати його мережеву адресу та порт системного журналу (за замовчуванням – UDP 514).

                                                                                                                                                  7.

                                                                                                                                                  Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста системного журналу. Як мінімум, щоб запобігти втраті даних без можливості відновлення, необхідно створити резервну копію бази даних і файлу ISO конфігурації, створеного для вузлів гібридної безпеки даних.


                                                                                                                                                   

                                                                                                                                                  Оскільки вузли гібридної безпеки даних зберігають ключі, що використовуються для шифрування та розшифровки контенту, неможливість підтримати оперативне розгортання призведе до НЕВІДКЛЮЧЕНА ВТРАТА цього контенту.

                                                                                                                                                  Клієнти програми Webex кешують свої ключі, тому перебої в роботі можуть бути помітні не відразу, а з часом. Хоча тимчасові перебої в роботі неможливо запобігти, їх можна відновити. Однак повна втрата (недоступні резервні копії) бази даних або файлу ISO конфігурації призведе до того, що дані клієнта будуть недоступні для відновлення. Очікується, що оператори вузлів гібридної безпеки даних будуть підтримувати часте резервне копіювання бази даних і файлу ISO конфігурації та бути готовими до відновлення центру обробки даних гібридної безпеки даних у разі катастрофічної помилки.

                                                                                                                                                  8

                                                                                                                                                  Переконайтеся, що конфігурація брандмауера дозволяє підключатися до вузлів гібридної безпеки даних, як описано в Вимоги до зовнішнього підключення .

                                                                                                                                                  9

                                                                                                                                                  Установити Docker (https://www.docker.com ) на будь-якому локальному комп’ютері з підтримуваною ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядна версія або Mac OSX Yosemite 10.10.3 або новішої версії) з веббраузером, який може отримати до неї доступ за адресою http://127.0.0.1:8080.

                                                                                                                                                  Ви використовуєте екземпляр Docker для завантаження та запуску засобу налаштування HDS, який створює інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Вашій організації може знадобитися ліцензія Docker Desktop. Див Вимоги до Docker Desktop для отримання додаткової інформації.

                                                                                                                                                  Щоб установити та запустити HDS Setup Tool, локальний комп’ютер повинен мати можливість підключення, описану в Вимоги до зовнішнього підключення .

                                                                                                                                                  10

                                                                                                                                                  Якщо ви інтегруєте проксі-сервер із гібридною безпекою даних, переконайтеся, що він відповідає Вимоги до проксі-сервера .

                                                                                                                                                  11

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів, створіть групу в Active Directory з викликом HdsTrialGroup, і додати пілотних користувачів. Ознайомлювальна група може налічувати до 250 користувачів. Нараду HdsTrialGroup об’єкт необхідно синхронізувати з хмарою, перш ніж ви зможете почати пробну версію для вашої організації. Щоб синхронізувати об’єкт групи, виберіть його в з’єднувачі каталогу Конфігурація > Вибір об’єкта меню. (Докладні інструкції див Посібник із розгортання для Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Ключі для певного простору встановлюються його творцем. Вибираючи пілотних користувачів, пам’ятайте, що якщо ви вирішите остаточно деактивувати розгортання гібридної безпеки даних, усі користувачі втратять доступ до контенту в просторах, які були створені пілотними користувачами. Втрата стає очевидною, щойно програми користувачів оновлять кешовані копії контенту.

                                                                                                                                                  Set up a Hybrid Data Security Cluster

                                                                                                                                                  Потік завдань розгортання безпеки гібридних даних

                                                                                                                                                  1.

                                                                                                                                                  Завантажте файли встановлення

                                                                                                                                                  Завантажте файл OVA на локальний комп’ютер для подальшого використання.

                                                                                                                                                  2.

                                                                                                                                                  Створіть ISO конфігурації для хостів HDS

                                                                                                                                                  Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

                                                                                                                                                  3.

                                                                                                                                                  Установіть OVA хоста HDS

                                                                                                                                                  Створіть віртуальну машину з файлу OVA та виконайте початкове налаштування, наприклад налаштування мережі.


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  4.

                                                                                                                                                  Налаштуйте віртуальну машину гібридної безпеки даних

                                                                                                                                                  Увійдіть на консоль VM і задайте облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо ви не налаштували їх під час розгортання OVA.

                                                                                                                                                  5.

                                                                                                                                                  Вивантажте та підключіть ISO конфігурації HDS

                                                                                                                                                  Налаштуйте віртуальну машину з файлу конфігурації ISO, який ви створили за допомогою засобу налаштування HDS.

                                                                                                                                                  6.

                                                                                                                                                  Налаштуйте вузол HDS для інтеграції проксі

                                                                                                                                                  Якщо мережеве середовище вимагає конфігурації проксі-сервера, укажіть тип проксі, який ви використовуватимете для вузла, і за потреби додайте сертифікат проксі до сховища довіри.

                                                                                                                                                  7.

                                                                                                                                                  Зареєструйте перший вузол у кластері

                                                                                                                                                  Зареєструйте віртуальну машину в хмарі Cisco Webex як вузол гібридної безпеки даних.

                                                                                                                                                  8

                                                                                                                                                  Створіть і зареєструйте більше вузлів

                                                                                                                                                  Завершіть налаштування кластера.

                                                                                                                                                  9

                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

                                                                                                                                                  Поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

                                                                                                                                                  Завантажте файли встановлення

                                                                                                                                                  У цьому завданні ви завантажуєте файл OVA на ваш комп’ютер (а не на сервери, які ви налаштували як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.
                                                                                                                                                  1.

                                                                                                                                                  Увійти вhttps://admin.webex.com , а потім клацніть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Налаштування .

                                                                                                                                                  Якщо картку вимкнено або ви не бачите її, зверніться до команди облікового запису або партнерської організації. Надайте їм номер свого облікового запису та попросіть увімкнути гібридну безпеку даних у вашій організації. Щоб знайти номер облікового запису, клацніть шестірню у верхньому правому куті поруч із назвою організації.


                                                                                                                                                   

                                                                                                                                                  Ви також можете в будь-який час завантажити OVA з Довідка розділ про Налаштування сторінка. На картці гібридної безпеки даних клацніть Змінити налаштування , щоб відкрити сторінку. Потім клацніть Завантажте програмне забезпечення гібридної безпеки даних в Довідка розділ.


                                                                                                                                                   

                                                                                                                                                  Старші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до проблем під час оновлення програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

                                                                                                                                                  3.

                                                                                                                                                  Виберіть Ні , щоб указати, що вузол ще не налаштовано, а потім клацніть Далі .

                                                                                                                                                  Завантаження файлу OVA почнеться автоматично. Збережіть файл у розташуванні на вашому комп’ютері.
                                                                                                                                                  4.

                                                                                                                                                  Клацніть за бажанням Відкрийте посібник із розгортання щоб перевірити, чи доступна пізніша версія цього посібника.

                                                                                                                                                  Створіть ISO конфігурації для хостів HDS

                                                                                                                                                  У процесі налаштування гібридної безпеки даних створюється файл ISO. Потім ви використовуєте ISO для налаштування хоста гібридної безпеки даних.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як контейнер Docker на локальному комп’ютері. Щоб отримати до нього доступ, запустіть Docker на цьому комп’ютері. Для процесу налаштування потрібні облікові дані облікового запису Control Hub з повними правами адміністратора для вашої організації.

                                                                                                                                                    Якщо інструмент налаштування HDS працює за допомогою проксі у вашому середовищі, надайте параметри проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час виклику контейнера Docker на кроці. 5 . У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Проксі-сервер HTTPS без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Проксі-сервер HTTPS з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Створений вами файл конфігурації містить основний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Остання копія цього файлу потрібна щоразу, коли ви вносите зміни конфігурації, наприклад:

                                                                                                                                                    • Облікові дані бази даних

                                                                                                                                                    • Оновлення сертифіката

                                                                                                                                                    • Зміни політики авторизації

                                                                                                                                                  • Якщо ви плануєте шифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

                                                                                                                                                  1.

                                                                                                                                                  У командному рядку комп’ютера введіть команду, відповідну для вашого середовища:

                                                                                                                                                  У звичайних середовищах:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Цей крок очищає попередні зображення інструмента налаштування HDS. Якщо попередніх зображень немає, він повертає помилку, яку можна ігнорувати.

                                                                                                                                                  2.

                                                                                                                                                  Щоб увійти до реєстру образів Docker, введіть таке:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3.

                                                                                                                                                  У запиті на введення пароля введіть цей хеш:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4.

                                                                                                                                                  Завантажте останній стабільний образ для вашого середовища:

                                                                                                                                                  У звичайних середовищах:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5.

                                                                                                                                                  Після завершення вилучення введіть команду, відповідну для вашого середовища:

                                                                                                                                                  • У звичайних середовищах без проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • У звичайних середовищах із проксі-сервером HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У звичайних середовищах із проксі-сервером HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У середовищах FedRAMP без проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з проксі-сервером HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з проксі-сервером HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Коли контейнер запущено, відображається повідомлення "Express-сервер прослуховує порт 8080".

                                                                                                                                                  6.

                                                                                                                                                   

                                                                                                                                                  Інструмент налаштування не підтримує підключення до локального хоста через http://локальний хост:8080 . Використовуйтеhttp://127.0.0.1:8080 для підключення до локального хоста.

                                                                                                                                                  Використовуйте веббраузер, щоб перейти до локального хоста, http://127.0.0.1:8080, і введіть ім’я користувача адміністратора клієнта для Control Hub у відповідь на запит.

                                                                                                                                                  Інструмент використовує цей перший запис імені користувача, щоб установити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку про вхід.

                                                                                                                                                  7.

                                                                                                                                                  Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора клієнта Control Hub, а потім клацніть Увійти щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

                                                                                                                                                  8

                                                                                                                                                  На сторінці огляду інструмента налаштування клацніть Почати роботу .

                                                                                                                                                  9

                                                                                                                                                  На Імпорт ISO на сторінці, у вас є такі параметри:

                                                                                                                                                  • Ні —Якщо ви створюєте свій перший вузол HDS, у вас немає файлу ISO для передавання.
                                                                                                                                                  • Так —Якщо ви вже створили вузли HDS, виберіть файл ISO під час перегляду й передайте його.
                                                                                                                                                  10

                                                                                                                                                  Переконайтеся, що ваш сертифікат X.509 відповідає вимогам у Вимоги до сертифіката X.509 .

                                                                                                                                                  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити .
                                                                                                                                                  • Якщо сертифікат відповідає вимогам, клацніть Продовжити .
                                                                                                                                                  • Якщо термін дії сертифіката завершився або ви хочете його замінити, виберіть Ні для Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO? . Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити .
                                                                                                                                                  11

                                                                                                                                                  Введіть адресу бази даних і обліковий запис HDS, щоб отримати доступ до сховища ключових даних:

                                                                                                                                                  1. Виберіть свій Тип бази даних ( PostgreSQL або Microsoft SQL Server ).

                                                                                                                                                    Якщо ви виберете Microsoft SQL Server , ви отримаєте поле Тип автентифікації.

                                                                                                                                                  2. ( Microsoft SQL Server тільки) Виберіть свій Тип автентифікації :

                                                                                                                                                    • Базова автентифікація : Потрібне ім’я локального облікового запису SQL Server у файлі Ім’я користувача поле.

                                                                                                                                                    • Автентифікація Windows : Потрібен обліковий запис Windows у форматі username@DOMAIN в Ім’я користувача поле.

                                                                                                                                                  3. Введіть адресу сервера бази даних у формі <hostname>:<port> або <IP-address>:<port>.

                                                                                                                                                    Приклад:
                                                                                                                                                    dbhost.example.org:1433 або 198.51.100.17:1433

                                                                                                                                                    Можна використовувати IP-адресу для базової автентифікації, якщо вузли не можуть використовувати DNS для визначення імені хоста.

                                                                                                                                                    Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433

                                                                                                                                                  4. Введіть Ім’я бази даних .

                                                                                                                                                  5. Введіть Ім’я користувача і Пароль користувача з усіма правами на базу даних сховища ключів.

                                                                                                                                                  12

                                                                                                                                                  Виберіть a Режим підключення до бази даних TLS :

                                                                                                                                                  Режим

                                                                                                                                                  Опис

                                                                                                                                                  Віддати перевагу TLS (параметр за замовчуванням)

                                                                                                                                                  Вузли HDS не вимагають TLS для підключення до сервера бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли намагатимуться встановити зашифроване підключення.

                                                                                                                                                  Вимагати TLS

                                                                                                                                                  Вузли HDS підключаються, лише якщо сервер бази даних може узгоджувати TLS.

                                                                                                                                                  Вимагати TLS і перевіряти підписувача сертифіката


                                                                                                                                                   

                                                                                                                                                  Цей режим не застосовується до баз даних SQL Server.

                                                                                                                                                  • Вузли HDS підключаються, лише якщо сервер бази даних може узгоджувати TLS.

                                                                                                                                                  • Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з’єднання.

                                                                                                                                                  Використовуйте Кореневий сертифікат бази даних під розкривним меню, щоб передати кореневий сертифікат для цього параметра.

                                                                                                                                                  Вимагати TLS і перевіряти підписувача сертифіката та ім’я хоста

                                                                                                                                                  • Вузли HDS підключаються, лише якщо сервер бази даних може узгоджувати TLS.

                                                                                                                                                  • Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з’єднання.

                                                                                                                                                  • Вузли також перевіряють, що ім’я хоста в сертифікаті сервера збігається з іменем хоста в Хост бази даних і порт поле. Імена повинні точно збігатися, інакше вузол розірве підключення.

                                                                                                                                                  Використовуйте Кореневий сертифікат бази даних під розкривним меню, щоб передати кореневий сертифікат для цього параметра.

                                                                                                                                                  Під час передавання кореневого сертифіката (за необхідності) клацніть Продовжити , засіб налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє підписувача сертифіката та ім’я хоста, якщо є. Якщо тест не виконано, інструмент відображає повідомлення про помилку з описом проблеми. Ви можете вибрати, чи ігнорувати помилку та продовжити налаштування. (Через відмінності в можливостях підключення вузли HDS можуть встановити підключення TLS, навіть якщо машині засобу налаштування HDS не вдасться успішно перевірити його.)

                                                                                                                                                  13

                                                                                                                                                  На сторінці системних журналів налаштуйте сервер Syslogd:

                                                                                                                                                  1. Введіть URL-адресу сервера системного журналу.

                                                                                                                                                    Якщо сервер не можна розділити з DNS на вузлах кластера HDS, використовуйте IP-адресу в URL-адресі.

                                                                                                                                                    Приклад:
                                                                                                                                                    udp://10.92.43.23:514 вказує на ведення журналу до хоста Syslogd 10.92.43.23 через UDP-порт 514.
                                                                                                                                                  2. Якщо ви налаштували свій сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер системного журналу на шифрування SSL? .

                                                                                                                                                    Якщо встановити цей прапорець, переконайтеся, що ви ввели URL-адресу TCP, наприклад tcp://10.92.43.23:514.

                                                                                                                                                  3. З Виберіть припинення запису системного журналу у розкривному меню виберіть відповідне налаштування для вашого файлу ISO: Виберіть або Новий рядок використовується для Graylog і Rsyslog TCP

                                                                                                                                                    • Нульовий байт -- \x00

                                                                                                                                                    • Новий рядок -- \n —Виберіть цей варіант для Graylog і Rsyslog TCP.

                                                                                                                                                  4. Клацніть Продовжити.

                                                                                                                                                  14

                                                                                                                                                  (Необов’язково) Можна змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Розширені налаштування . Як правило, цей параметр є єдиним, який ви можете змінити:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Клацніть Продовжити на Скинути пароль службових облікових записів екрана.

                                                                                                                                                  Термін дії паролів службових облікових записів становить дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів наближається або ви хочете скинути їх, щоб зробити попередні файли ISO недійсними.

                                                                                                                                                  16

                                                                                                                                                  Клацніть Завантажте файл ISO . Збережіть файл у місці, яке легко знайти.

                                                                                                                                                  17

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі.

                                                                                                                                                  Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  18

                                                                                                                                                  Щоб вимкнути інструмент налаштування, введіть CTRL+C.

                                                                                                                                                  Що далі

                                                                                                                                                  Створіть резервну копію файлу конфігурації ISO. Він потрібен, щоб створити більше вузлів для відновлення або внести зміни в конфігурацію. Якщо ви втратили всі копії файлу ISO, ви також втратили основний ключ. Відновити ключі з бази даних PostgreSQL або Microsoft SQL Server неможливо.


                                                                                                                                                   

                                                                                                                                                  Ми ніколи не маємо копії цього ключа. Ми не можемо допомогти, якщо ви її втратите.

                                                                                                                                                  Установіть OVA хоста HDS

                                                                                                                                                  Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
                                                                                                                                                  1.

                                                                                                                                                  Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi.

                                                                                                                                                  2.

                                                                                                                                                  Виберіть Файл > Розгорнути шаблон OVF .

                                                                                                                                                  3.

                                                                                                                                                  У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі .

                                                                                                                                                  4.

                                                                                                                                                  На Виберіть ім’я та папку сторінки, введіть a Ім’я віртуальної машини для вузла (наприклад, «HDS_ Node_ 1"), виберіть розташування, де може перебувати розгортання вузла віртуальної машини, а потім клацніть Далі .

                                                                                                                                                  5.

                                                                                                                                                  На Виберіть обчислювальний ресурс виберіть цільовий обчислювальний ресурс, а потім клацніть Далі .

                                                                                                                                                  Запускається перевірка. Після завершення відобразяться відомості про шаблон.

                                                                                                                                                  6.

                                                                                                                                                  Перевірте відомості шаблону й клацніть Далі .

                                                                                                                                                  7.

                                                                                                                                                  Якщо вас попросять вибрати конфігурацію ресурсу на Конфігурація сторінки, клацніть 4 ЦП а потім клацніть Далі .

                                                                                                                                                  8

                                                                                                                                                  На Виберіть сховище сторінки, клацніть Далі щоб прийняти формат диска за замовчуванням і політику сховища VM.

                                                                                                                                                  9

                                                                                                                                                  На Виберіть мережі виберіть мережевий параметр зі списку записів, щоб забезпечити потрібне підключення до VM.

                                                                                                                                                  10

                                                                                                                                                  На Налаштувати шаблон налаштуйте такі параметри мережі:

                                                                                                                                                  • Ім’я хоста —Введіть FQDN (ім’я хоста та домен) або ім’я хоста з одного слова для вузла.

                                                                                                                                                     
                                                                                                                                                    • Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.

                                                                                                                                                    • Щоб забезпечити успішну реєстрацію в хмарі, використовуйте лише малі символи в повному домені або імені хоста, які ви встановили для вузла. Наразі використання великих літер не підтримується.

                                                                                                                                                    • Загальна довжина FQDN не повинна перевищувати 64 символи.

                                                                                                                                                  • IP-адреса — Введіть IP-адресу для внутрішнього інтерфейсу вузла.

                                                                                                                                                     

                                                                                                                                                    Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

                                                                                                                                                  • Маска —Введіть адресу маски підмережі у вигляді десяткових крапок. Наприклад, 255.255.255.0 .
                                                                                                                                                  • Шлюз —Введіть IP-адресу шлюзу. Шлюз – це вузол мережі, який слугує точкою доступу до іншої мережі.
                                                                                                                                                  • Сервери DNS —Введіть розділений комами список серверів DNS, які обробляють перетворення імен доменів у числові IP-адреси. (Дозволено до 4 записів DNS.)
                                                                                                                                                  • Сервери NTP —Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Для введення кількох серверів NTP також можна використовувати список, розділений комами.
                                                                                                                                                  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними для клієнтів у вашій мережі з адміністративними цілями.

                                                                                                                                                  За бажанням можна пропустити конфігурацію мережевих параметрів і виконати інструкції Налаштуйте віртуальну машину гібридної безпеки даних щоб налаштувати параметри з консолі вузла.


                                                                                                                                                   

                                                                                                                                                  Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  11

                                                                                                                                                  Клацніть правою кнопкою миші вузол VM, а потім виберіть Потужність > Увімкнено .

                                                                                                                                                  Програмне забезпечення Hybrid Data Security встановлюється як гість на хості VM. Тепер ви готові ввійти на консоль і налаштувати вузол.

                                                                                                                                                  Поради з усунення несправностей

                                                                                                                                                  Перед відкриттям контейнерів вузлів може виникнути затримка в кілька хвилин. Повідомлення брандмауера мосту з’являється на консолі під час першого завантаження, під час якого ви не можете ввійти.

                                                                                                                                                  Налаштуйте віртуальну машину гібридної безпеки даних

                                                                                                                                                  Використовуйте цю процедуру, щоб уперше ввійти до консолі VM вузла гібридної безпеки даних і задати облікові дані для входу. Ви також можете використовувати консоль, щоб налаштувати параметри мережі для вузла, якщо ви не налаштували їх під час розгортання OVA.

                                                                                                                                                  1.

                                                                                                                                                  У клієнті VMware vSphere виберіть свою віртуальну машину вузла гібридної безпеки даних і виберіть Консоль вкладка.

                                                                                                                                                  ВМ завантажиться, і з’явиться запит щодо входу. Якщо запит щодо входу не відображається, натисніть Введіть .
                                                                                                                                                  2.

                                                                                                                                                  Використовуйте такі логін і пароль за замовчуванням для входу та зміни облікових даних:

                                                                                                                                                  1. Вхід: admin

                                                                                                                                                  2. Пароль: cisco

                                                                                                                                                  Оскільки ви вперше входите на свою віртуальну машину, вам потрібно змінити пароль адміністратора.

                                                                                                                                                  3.

                                                                                                                                                  Якщо ви вже налаштували параметри мережі в Установіть OVA хоста HDS , пропустіть решту цієї процедури. В іншому разі в головному меню виберіть Змінити конфігурацію параметр.

                                                                                                                                                  4.

                                                                                                                                                  Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

                                                                                                                                                  5.

                                                                                                                                                  (Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно, щоб вони відповідали вашій політиці мережі.

                                                                                                                                                  Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.

                                                                                                                                                  6.

                                                                                                                                                  Збережіть конфігурацію мережі та перезавантажте віртуальну машину, щоб зміни набули сили.

                                                                                                                                                  Вивантажте та підключіть ISO конфігурації HDS

                                                                                                                                                  Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою засобу налаштування HDS.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Оскільки файл ISO містить основний ключ, його потрібно надавати лише в разі необхідності для доступу віртуальних машин гібридної безпеки даних і всіх адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

                                                                                                                                                  1.

                                                                                                                                                  Передайте файл ISO з комп’ютера:

                                                                                                                                                  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

                                                                                                                                                  2. У списку обладнання на вкладці Конфігурація клацніть Зберігання .

                                                                                                                                                  3. У списку сховища даних клацніть правою кнопкою миші сховище даних для ваших віртуальних машин і клацніть Огляд сховища даних .

                                                                                                                                                  4. Клацніть значок Передати файли, а потім клацніть Передати файл .

                                                                                                                                                  5. Перейдіть до розташування, куди ви завантажили файл ISO на комп’ютер, і клацніть Відкрити .

                                                                                                                                                  6. Клацніть Так щоб прийняти попередження про операцію передавання/завантаження, і закрийте діалогове вікно сховища даних.

                                                                                                                                                  2.

                                                                                                                                                  Підключіть файл ISO:

                                                                                                                                                  1. На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування .

                                                                                                                                                  2. Клацніть OK щоб прийняти попередження про обмеження параметрів редагування.

                                                                                                                                                  3. Клацніть CD/DVD Drive 1, виберіть параметр для підключення з ISO-файлу сховища даних і перейдіть до розташування, куди ви передали ISO-файл конфігурації.

                                                                                                                                                  4. Перевірте Підключено і Підключіться після ввімкнення .

                                                                                                                                                  5. Збережіть зміни та перезавантажте віртуальну машину.

                                                                                                                                                  Що далі

                                                                                                                                                  Якщо цього вимагає політика ІТ, ви можете додатково відключити файл ISO після того, як усі вузли отримають зміни конфігурації. Див (Необов’язково) Відключіть ISO після конфігурації HDS для отримання додаткової інформації.

                                                                                                                                                  Налаштуйте вузол HDS для інтеграції проксі

                                                                                                                                                  Якщо мережеве середовище вимагає проксі, скористайтеся цією процедурою, щоб указати тип проксі, який потрібно інтегрувати з гібридною безпекою даних. Якщо ви виберете прозорий перевіряючий проксі або явний проксі HTTPS, можна використовувати інтерфейс вузла для передавання та встановлення кореневого сертифіката. Ви також можете перевірити підключення проксі в інтерфейсі та усунути будь-які потенційні проблеми.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  1.

                                                                                                                                                  Введіть URL-адресу налаштування вузла HDS https://[HDS Node IP or FQDN]/setup у веббраузері введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .

                                                                                                                                                  2.

                                                                                                                                                  Перейти до Сховище довіри та проксі , а потім виберіть параметр:

                                                                                                                                                  • Немає проксі — Параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібно.
                                                                                                                                                  • Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.
                                                                                                                                                  • Прозорий перевіряючий проксі —Вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних змінювати конфігурацію HTTPS не потрібно, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
                                                                                                                                                  • Явний проксі — За допомогою явного проксі ви вказуєте клієнту (вузли HDS), який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести таку інформацію:
                                                                                                                                                    1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.

                                                                                                                                                    2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.

                                                                                                                                                    3. Протокол проксі —Вибрати http (переглядає й керує всіма запитами, отриманими від клієнта) або https (надає канал до сервера, а клієнт отримує та перевіряє сертифікат сервера). Виберіть параметр залежно від того, що підтримує ваш проксі-сервер.

                                                                                                                                                    4. Тип автентифікації — Виберіть один із таких типів автентифікації:

                                                                                                                                                      • Немає —Подальша автентифікація не потрібна.

                                                                                                                                                        Доступно для проксі-серверів HTTP або HTTPS.

                                                                                                                                                      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.

                                                                                                                                                        Доступно для проксі-серверів HTTP або HTTPS.

                                                                                                                                                        Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль.

                                                                                                                                                      • Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.

                                                                                                                                                        Доступно лише для проксі-серверів HTTPS.

                                                                                                                                                        Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль.

                                                                                                                                                  Виконайте наступні кроки для проксі-сервера з перевіркою, проксі-сервера з явним доступом HTTP з базовою автентифікацією або явним проксі-сервером HTTPS.

                                                                                                                                                  3.

                                                                                                                                                  Клацніть Передати кореневий сертифікат або сертифікат кінцевого запису , а потім перейдіть до виберіть кореневий сертифікат для проксі.

                                                                                                                                                  Сертифікат передано, але його ще не встановлено, оскільки для встановлення сертифіката необхідно перезавантажити вузол. Клацніть стрілку в формі шеврону біля імені емітента сертифіката, щоб отримати додаткову інформацію, або клацніть Видалити якщо ви зробили помилку й хочете повторно передати файл.

                                                                                                                                                  4.

                                                                                                                                                  Клацніть Перевірте підключення проксі щоб перевірити підключення до мережі між вузлом і проксі.

                                                                                                                                                  Якщо перевірку підключення не вдалося виконати, ви побачите повідомлення про помилку, у якому буде вказано причину та способи виправлення проблеми.

                                                                                                                                                  Якщо відображається повідомлення про помилку розв’язання зовнішнього DNS, вузлу не вдалося зв’язатися з сервером DNS. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол функціонуватиме в режимі роздільної здатності заблокованого зовнішнього DNS. Якщо ви вважаєте, що це помилка, виконайте ці кроки, а потім перегляньте Вимкніть режим роздільної здатності заблокованого зовнішнього DNS .

                                                                                                                                                  5.

                                                                                                                                                  Після завершення перевірки підключення для явного проксі, установленого лише на https, увімкніть перемикач Маршрутизувати всі запити HTTPS на порт 443/444 від цього вузла через явний проксі-сервер . Це налаштування набуде чинності через 15 секунд.

                                                                                                                                                  6.

                                                                                                                                                  Клацніть Установіть усі сертифікати в сховище довіри (з’являється для явного проксі HTTPS або прозорого проксі-сервера для перевірки) або Перезавантажте (з’являється для явного проксі-сервера HTTP), прочитайте підказку, а потім клацніть Установити якщо ви готові.

                                                                                                                                                  Вузол перезавантажиться за кілька хвилин.

                                                                                                                                                  7.

                                                                                                                                                  Після перезавантаження вузла за потреби ввійдіть ще раз, а потім відкрийте файл Огляд сторінку, щоб перевірити перевірки підключення та переконатися, що всі вони мають зелений стан.

                                                                                                                                                  Перевірка підключення до проксі перевіряє лише субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі з хмарних доменів, перелічених в інструкціях зі встановлення, блокуються на проксі.

                                                                                                                                                  Зареєструйте перший вузол у кластері

                                                                                                                                                  Це завдання використовує загальний вузол, який ви створили в Налаштуйте віртуальну машину гібридної безпеки даних , реєструє вузол у хмарі Webex і перетворює його на вузол гібридної безпеки даних.

                                                                                                                                                  Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначено цей вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.

                                                                                                                                                  • Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у https://admin.webex.com.

                                                                                                                                                  2.

                                                                                                                                                  У меню ліворуч на екрані виберіть Служби .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування .

                                                                                                                                                  З’явиться сторінка Реєстрація вузла безпеки гібридних даних.
                                                                                                                                                  4.

                                                                                                                                                  Виберіть Так , щоб зазначити, що ви налаштували вузол і готові його зареєструвати, а потім клацніть Далі .

                                                                                                                                                  5.

                                                                                                                                                  У першому полі введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних.

                                                                                                                                                  Рекомендовано призначати кластеру залежно від географічного розташування вузлів кластера. Приклади. "Сан-Франциско", "Нью-Йорк" або "Даллас"

                                                                                                                                                  6.

                                                                                                                                                  У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі .

                                                                                                                                                  Ця IP-адреса або повне доменне ім’я має збігатися з IP-адресою або іменем хоста й доменом, які ви використовували Налаштуйте віртуальну машину гібридної безпеки даних .

                                                                                                                                                  З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у Webex.
                                                                                                                                                  7.

                                                                                                                                                  Клацніть Перейдіть до Node .

                                                                                                                                                  8

                                                                                                                                                  Клацніть Продовжити у попередженні.

                                                                                                                                                  Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Тут ви підтверджуєте, що хочете надати дозволи організації Webex на доступ до вашого вузла.
                                                                                                                                                  9

                                                                                                                                                  Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити .

                                                                                                                                                  Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
                                                                                                                                                  10

                                                                                                                                                  Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub.

                                                                                                                                                  На Гібридна безпека даних на сторінці, відображається новий кластер, що містить зареєстрований вами вузол. Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

                                                                                                                                                  Створіть і зареєструйте більше вузлів

                                                                                                                                                  Щоб додати додаткові вузли до кластера, потрібно просто створити додаткові віртуальні машини та підключити той самий файл конфігурації, а потім зареєструвати вузол. Рекомендовано мати принаймні 3 вузли.

                                                                                                                                                   

                                                                                                                                                  Зараз резервні VM, які ви створили Виконайте обов’язкові умови для гібридної безпеки даних резервні хости, які використовуються лише в разі аварійного відновлення; вони не зареєстровані в системі до цього часу. Докладніше див Аварійне відновлення за допомогою резервного центру обробки даних .

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.

                                                                                                                                                  • Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

                                                                                                                                                  1.

                                                                                                                                                  Створіть нову віртуальну машину з OVA, повторивши кроки в Установіть OVA хоста HDS .

                                                                                                                                                  2.

                                                                                                                                                  Налаштуйте початкову конфігурацію на новій віртуальній машині, повторивши кроки в Налаштуйте віртуальну машину гібридної безпеки даних .

                                                                                                                                                  3.

                                                                                                                                                  На новій віртуальній машині повторіть кроки в Вивантажте та підключіть ISO конфігурації HDS .

                                                                                                                                                  4.

                                                                                                                                                  Якщо ви налаштовуєте проксі для свого розгортання, повторіть кроки в розділі Налаштуйте вузол HDS для інтеграції проксі за потребою для нового вузла.

                                                                                                                                                  5.

                                                                                                                                                  Зареєструйте вузол.

                                                                                                                                                  1. Уhttps://admin.webex.com , виберіть Служби з меню в лівій частині екрана.

                                                                                                                                                  2. У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Ресурси .

                                                                                                                                                    З’явиться сторінка ресурсів безпеки гібридних даних.
                                                                                                                                                  3. Клацніть Додати ресурс .

                                                                                                                                                  4. У першому полі виберіть ім’я наявного кластера.

                                                                                                                                                  5. У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі .

                                                                                                                                                    З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у хмарі Webex.
                                                                                                                                                  6. Клацніть Перейдіть до Node .

                                                                                                                                                    Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Там ви підтверджуєте, що хочете надати дозволи вашій організації на доступ до вашого вузла.
                                                                                                                                                  7. Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити .

                                                                                                                                                    Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
                                                                                                                                                  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub.

                                                                                                                                                  Ваш вузол зареєстровано. Зауважте, що поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

                                                                                                                                                  Що далі

                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)
                                                                                                                                                  Run a Trial and Move to Production

                                                                                                                                                  Потік завдань із пробної версії до виробничого

                                                                                                                                                  Після налаштування кластера гібридної безпеки даних можна запустити пілот, додати до нього користувачів і почати використовувати його для тестування та перевірки розгортання під час підготовки до переходу до робочої версії.

                                                                                                                                                  1.

                                                                                                                                                  Якщо можливо, синхронізуйте HdsTrialGroup об’єкт групи.

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати HdsTrialGroup груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію. Інструкції див Посібник із розгортання для Cisco Directory Connector.

                                                                                                                                                  2.

                                                                                                                                                  Активувати ознайомлювальну версію

                                                                                                                                                  Почніть пробну версію. Поки ви не виконаєте це завдання, ваші вузли створять попередження, що вказує на те, що служба ще не активована.

                                                                                                                                                  3.

                                                                                                                                                  Перевірте розгортання гібридної безпеки даних

                                                                                                                                                  Перевірте, чи передаються запити на ключ до розгортання гібридної безпеки даних.

                                                                                                                                                  4.

                                                                                                                                                  Моніторинг працездатності гібридної безпеки даних

                                                                                                                                                  Перевірте стан і налаштуйте сповіщення електронною поштою для попереджень.

                                                                                                                                                  5.

                                                                                                                                                  Додавання або видалення користувачів із пробної версії

                                                                                                                                                  6.

                                                                                                                                                  Завершіть ознайомлювальну фазу, виконавши одну з таких дій:

                                                                                                                                                  Активувати ознайомлювальну версію

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати HdsTrialGroup груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію для вашої організації. Інструкції див Посібник із розгортання для Cisco Directory Connector.

                                                                                                                                                  1.

                                                                                                                                                  Увійти вhttps://admin.webex.com , а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Стан служби клацніть Почати пробну версію .

                                                                                                                                                  Стан служби змінюється на ознайомлювальний режим.
                                                                                                                                                  4.

                                                                                                                                                  Клацніть Додати користувачів і введіть адресу електронної пошти одного або кількох користувачів, які будуть використовувати ваші вузли гібридної безпеки даних для служб шифрування та індексування.

                                                                                                                                                  (Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory для керування ознайомлювальною групою, HdsTrialGroup.)

                                                                                                                                                  Перевірте розгортання гібридної безпеки даних

                                                                                                                                                  Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Налаштуйте розгортання гібридної безпеки даних.

                                                                                                                                                  • Активуйте ознайомлювальну версію та додайте кілька користувачів пробної версії.

                                                                                                                                                  • Переконайтеся, що у вас є доступ до системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

                                                                                                                                                  1.

                                                                                                                                                  Ключі для певного простору встановлюються його творцем. Увійдіть у програму Webex як один із пілотних користувачів, а потім створіть простір і запросіть принаймні одного пілотного користувача та одного не пілотного користувача.


                                                                                                                                                   

                                                                                                                                                  Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюють пілотні користувачі, стане недоступним після заміни кешованих клієнтом копій ключів шифрування.

                                                                                                                                                  2.

                                                                                                                                                  Надсилайте повідомлення в новий простір.

                                                                                                                                                  3.

                                                                                                                                                  Перевірте вивід системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

                                                                                                                                                  1. Щоб перевірити, чи є користувач, який спочатку встановлює безпечний канал до KMS, увімкніть фільтр kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис (ідентифікатори скорочені для читабельності):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Щоб перевірити наявність користувача, який запитує наявний ключ із KMS, увімкніть фільтр kms.data.method=retrieve і kms.data.type=KEY.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Щоб перевірити, чи є користувач із запитом щодо створення нового ключа KMS, увімкніть фільтр kms.data.method=create і kms.data.type=KEY_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Щоб перевірити, чи немає користувача, який подав запит щодо створення нового ресурсного об’єкта KMS (KRO), коли створюється простір або інший захищений ресурс, відфільтруйте kms.data.method=create і kms.data.type=RESOURCE_COLLECTION.

                                                                                                                                                    Ви повинні знайти такий запис:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Моніторинг працездатності гібридної безпеки даних

                                                                                                                                                  Індикатор стану в Control Hub показує, чи все гаразд із розгортанням гібридної безпеки даних. Щоб отримати більше проактивних сповіщень, зареєструйтеся на отримання сповіщень електронною поштою. Ви отримаєте сповіщення про попередження, що впливають на службу, або оновлення програмного забезпечення.
                                                                                                                                                  1.

                                                                                                                                                  У Control Hub , виберіть Служби з меню в лівій частині екрана.

                                                                                                                                                  2.

                                                                                                                                                  У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування .

                                                                                                                                                  З’явиться сторінка параметрів безпеки гібридних даних.
                                                                                                                                                  3.

                                                                                                                                                  У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділені комами, і натисніть Введіть .

                                                                                                                                                  Додавання або видалення користувачів із пробної версії

                                                                                                                                                  Після активації пробної версії й додавання початкового набору користувачів пробної версії можна додавати або видаляти учасників пробної версії будь-коли, поки пробна версія активна.

                                                                                                                                                  Якщо видалити користувача з ознайомлювальної версії, клієнт цього користувача запитуватиме ключі та створення ключів із хмарного KMS замість вашої KMS. Якщо клієнту потрібен ключ, який зберігається у вашій KMS, хмарний KMS отримає його від імені користувача.

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory (замість цієї процедури) для керування ознайомлювальною групою, HdsTrialGroup; Ви можете переглядати учасників групи в Control Hub, але не можете додавати або видаляти їх.

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі «Ознайомлювальний режим» області стану служби клацніть Додати користувачів або клацніть переглянути та змінити щоб видалити користувачів із пробної версії.

                                                                                                                                                  4.

                                                                                                                                                  Введіть адресу електронної пошти одного або кількох користувачів, яких потрібно додати, або клацніть X за допомогою ідентифікатора користувача, щоб видалити користувача з ознайомлювальної версії. Потім клацніть Зберегти .

                                                                                                                                                  Перейдіть із пробної версії до робочої версії

                                                                                                                                                  Коли ви переконаєтеся, що ваше розгортання працює добре для користувачів пробної версії, можна перейти до робочої версії. Після переходу до робочої версії всі користувачі в організації використовуватимуть ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Неможливо повернутися до ознайомлювального режиму з робочої версії, якщо ви не деактивуєте службу в рамках відновлення після аварій. Для повторної активації служби потрібно налаштувати нову ознайомлювальну версію.
                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Стан служби клацніть Перейти до робочої версії .

                                                                                                                                                  4.

                                                                                                                                                  Підтвердьте, що хочете перемістити всіх користувачів у робочу версію.

                                                                                                                                                  Завершіть ознайомлювальну версію, не переходячи на робочу версію

                                                                                                                                                  Якщо під час використання пробної версії ви вирішите не продовжувати розгортання гібридної безпеки даних, можна деактивувати гібридну безпеку даних, що завершить ознайомлювальну версію й перемістить користувачів пробної версії назад до хмарних служб безпеки даних. Користувачі пробної версії втратять доступ до даних, які були зашифровані під час пробної версії.
                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2.

                                                                                                                                                  У розділі Безпека гібридних даних клацніть Налаштування .

                                                                                                                                                  3.

                                                                                                                                                  У розділі Деактивувати клацніть Деактивувати .

                                                                                                                                                  4.

                                                                                                                                                  Підтвердьте, що хочете деактивувати службу, і завершите ознайомлювальну версію.

                                                                                                                                                  Manage your HDS Deployment

                                                                                                                                                  Керуйте розгортанням HDS

                                                                                                                                                  Використовуйте описані тут завдання, щоб керувати розгортанням гібридної безпеки даних.

                                                                                                                                                  Установіть розклад оновлення кластерів

                                                                                                                                                  Оновлення програмного забезпечення для гібридної безпеки даних виконується автоматично на рівні кластера, що гарантує, що на всіх вузлах завжди запущено ту саму версію програмного забезпечення. Оновлення версії виконуються відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стає доступним, у вас є можливість оновити кластер вручну до запланованого часу оновлення. Можна задати конкретний розклад оновлення версії або використовувати розклад за замовчуванням о 3:00 щодня (США): Америка/Лос-Анджелес. За потреби можна також відкласти майбутнє оновлення версії.

                                                                                                                                                  Щоб установити розклад оновлення:

                                                                                                                                                  1.

                                                                                                                                                  Увійдіть у Control Hub.

                                                                                                                                                  2.

                                                                                                                                                  На сторінці "Огляд" у розділі "Гібридні служби" виберіть Гібридна безпека даних .

                                                                                                                                                  3.

                                                                                                                                                  На сторінці Ресурси безпеки гібридних даних виберіть кластер.

                                                                                                                                                  4.

                                                                                                                                                  На панелі «Огляд» праворуч у розділі «Налаштування кластера» виберіть ім’я кластера.

                                                                                                                                                  5.

                                                                                                                                                  На сторінці налаштувань у розділі «Оновлення» виберіть час і часовий пояс для розкладу оновлення.

                                                                                                                                                  Примітка. Під часовим поясом відображається наступна доступна дата й час оновлення версії. За потреби можна відкласти оновлення версії на наступний день, натиснувши Відкласти .

                                                                                                                                                  Змініть конфігурацію вузла

                                                                                                                                                  Іноді може знадобитися змінити конфігурацію вузла гібридної безпеки даних із таких причин:
                                                                                                                                                  • Зміна сертифікатів x.509 через закінчення терміну дії або інші причини.


                                                                                                                                                     

                                                                                                                                                    Зміна імені домену CN для сертифіката не підтримується. Домен має збігатися з вихідним доменом, який використовується для реєстрації кластера.

                                                                                                                                                  • Оновлення параметрів бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ми не підтримуємо міграцію даних із PostgreSQL до Microsoft SQL Server або навпаки. Щоб перемкнути середовище бази даних, почніть нове розгортання гібридної безпеки даних.

                                                                                                                                                  • Створення нової конфігурації для підготовки нового центру обробки даних.

                                                                                                                                                  Крім того, з міркувань безпеки Hybrid Data Security використовує паролі службових облікових записів, термін дії яких становить дев’ять місяців. Після того як інструмент налаштування HDS згенерує ці паролі, їх потрібно розгорнути на кожному з вузлів HDS у файлі конфігурації ISO. Коли термін дії паролів вашої організації наближається до завершення, ви отримаєте сповіщення від команди Webex щодо зміни пароля для облікового запису комп’ютера. (Електронний лист містить текст «Використовуйте API облікового запису комп’ютера для оновлення пароля».) Якщо термін дії ваших паролів ще не завершився, інструмент надає два варіанти:

                                                                                                                                                  • Програмне скидання — І старий, і новий паролі працюють до 10 днів. Використовуйте цей період для поступової заміни файлу ISO на вузлах.

                                                                                                                                                  • Апаратне скидання — Старі паролі негайно перестають працювати.

                                                                                                                                                  Якщо термін дії ваших паролів завершиться без скидання, це вплине на службу HDS, вимагаючи негайного апаратного скидання та заміни файлу ISO на всіх вузлах.

                                                                                                                                                  Використовуйте цю процедуру, щоб створити новий файл конфігурації ISO та застосувати його до свого кластера.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як контейнер Docker на локальному комп’ютері. Щоб отримати до нього доступ, запустіть Docker на цьому комп’ютері. Для процесу налаштування потрібні облікові дані облікового запису Control Hub з повними правами адміністратора для вашої організації.

                                                                                                                                                    Якщо інструмент налаштування HDS працює за допомогою проксі у вашому середовищі, укажіть налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час відображення контейнера Docker у 1.e . У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Проксі-сервер HTTPS без автентифікації

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Проксі-сервер HTTPS з автентифікацією

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Щоб створити нову конфігурацію, потрібна копія файлу ISO поточної конфігурації. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. ISO потрібен, коли ви вносите зміни конфігурації, зокрема облікові дані бази даних, оновлення сертифікатів або зміни політики авторизації.

                                                                                                                                                  1.

                                                                                                                                                  За допомогою Docker на локальному комп’ютері запустіть інструмент налаштування HDS.

                                                                                                                                                  1. У командному рядку комп’ютера введіть команду, відповідну для вашого середовища:

                                                                                                                                                    У звичайних середовищах:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Цей крок очищає попередні зображення інструмента налаштування HDS. Якщо попередніх зображень немає, він повертає помилку, яку можна ігнорувати.

                                                                                                                                                  2. Щоб увійти до реєстру образів Docker, введіть таке:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. У запиті на введення пароля введіть цей хеш:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Завантажте останній стабільний образ для вашого середовища:

                                                                                                                                                    У звичайних середовищах:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Переконайтеся, що ви використовуєте останню версію інструмента налаштування для цієї процедури. У версіях інструмента, створених до 22 лютого 2018 р., екранів скидання пароля немає.

                                                                                                                                                  5. Після завершення вилучення введіть команду, відповідну для вашого середовища:

                                                                                                                                                    • У звичайних середовищах без проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах із проксі-сервером HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах із HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У середовищах FedRAMP без проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з проксі-сервером HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з проксі-сервером HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Коли контейнер запущено, відображається повідомлення "Express-сервер прослуховує порт 8080".

                                                                                                                                                  6. Використовуйте браузер для підключення до локального хоста, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Інструмент налаштування не підтримує підключення до локального хоста через http://локальний хост:8080 . Використовуйтеhttp://127.0.0.1:8080 для підключення до локального хоста.

                                                                                                                                                  7. Коли з’явиться відповідний запит, введіть свої облікові дані для входу в Control Hub і клацніть Прийняти щоб продовжити.

                                                                                                                                                  8. Імпортуйте поточний файл ISO конфігурації.

                                                                                                                                                  9. Дотримуйтесь інструкцій, щоб завершити роботу з інструментом і завантажити оновлений файл.

                                                                                                                                                    Щоб вимкнути інструмент налаштування, введіть CTRL+C.

                                                                                                                                                  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

                                                                                                                                                  2.

                                                                                                                                                  Якщо запущено лише один вузол HDS , створіть нову віртуальну машину вузла гібридної безпеки даних і зареєструйте її за допомогою нового файлу ISO конфігурації. Докладні інструкції див Створіть і зареєструйте більше вузлів .

                                                                                                                                                  1. Установіть OVA хоста HDS.

                                                                                                                                                  2. Налаштуйте HDS VM.

                                                                                                                                                  3. Підключіть оновлений файл конфігурації.

                                                                                                                                                  4. Зареєструйте новий вузол у Control Hub.

                                                                                                                                                  3.

                                                                                                                                                  Для наявних вузлів HDS, на яких запущено старіший файл конфігурації, підключіть файл ISO. Виконайте наведену далі процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного:

                                                                                                                                                  1. Вимкніть віртуальну машину.

                                                                                                                                                  2. На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування .

                                                                                                                                                  3. Клацніть CD/DVD Drive 1, виберіть параметр для підключення з файлу ISO та перейдіть до розташування, куди було завантажено новий файл конфігурації ISO.

                                                                                                                                                  4. Перевірте Підключіться після ввімкнення .

                                                                                                                                                  5. Збережіть зміни та ввімкніть віртуальну машину.

                                                                                                                                                  4.

                                                                                                                                                  Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, що залишився, на якому запущено стару конфігурацію.

                                                                                                                                                  Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі вузла, процес перевіряє пошук DNS і можливість підключення до хмари Cisco Webex. Якщо сервер DNS вузла не може дозволити загальнодоступні імена DNS, вузол автоматично переходить у режим роздільної здатності заблокованого зовнішнього DNS.

                                                                                                                                                  Якщо ваші вузли здатні дозволяти публічні імена DNS через внутрішні сервери DNS, можна вимкнути цей режим, повторно запустивши перевірку підключення до проксі на кожному вузлі.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Переконайтеся, що ваші внутрішні сервери DNS можуть дозволяти загальнодоступні імена DNS і що ваші вузли можуть зв’язуватися з ними.
                                                                                                                                                  1.

                                                                                                                                                  У веббраузері відкрийте інтерфейс вузла Hybrid Data Security (IP-адреса/налаштування, наприклад,https://192.0.2.0/setup), введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .

                                                                                                                                                  2.

                                                                                                                                                  Перейти до Огляд (сторінка за замовчуванням).

                                                                                                                                                  Якщо ввімкнено, Роздільна здатність заблокованого зовнішнього DNS встановлено на Так .

                                                                                                                                                  3.

                                                                                                                                                  Перейдіть до Сховище довіри та проксі сторінка.

                                                                                                                                                  4.

                                                                                                                                                  Клацніть Перевірте підключення проксі .

                                                                                                                                                  Якщо з’явиться повідомлення про помилку розв’язання зовнішнього DNS, вузол не зміг зв’язатися з сервером DNS і залишиться в цьому режимі. В іншому разі після перезавантаження вузла й повернення до Огляд сторінки, роздільна здатність заблокованого зовнішнього DNS має бути встановлена на no.

                                                                                                                                                  Що далі

                                                                                                                                                  Повторіть перевірку підключення до проксі на кожному вузлі в кластері гібридної безпеки даних.

                                                                                                                                                  Видалити вузол

                                                                                                                                                  Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
                                                                                                                                                  1.

                                                                                                                                                  Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi та вимкнути віртуальну машину.

                                                                                                                                                  2.

                                                                                                                                                  Видалити вузол:

                                                                                                                                                  1. Увійдіть у Control Hub, а потім виберіть Служби .

                                                                                                                                                  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів безпеки гібридних даних.

                                                                                                                                                  3. Виберіть кластер, щоб відобразити панель «Огляд».

                                                                                                                                                  4. Клацніть Відкрити список вузлів .

                                                                                                                                                  5. На вкладці Вузли виберіть вузол, який потрібно видалити.

                                                                                                                                                  6. Клацніть Дії > Скасувати реєстрацію вузла .

                                                                                                                                                  3.

                                                                                                                                                  У клієнті vSphere видаліть віртуальну машину. (На панелі переходів ліворуч клацніть VM правою кнопкою миші й клацніть Видалити .)

                                                                                                                                                  Якщо ви не видалите віртуальну машину, не забудьте відключити файл ISO конфігурації. Без файлу ISO ви не зможете використовувати віртуальну машину для доступу до даних безпеки.

                                                                                                                                                  Аварійне відновлення за допомогою резервного центру обробки даних

                                                                                                                                                  Найважливіша служба, яку надає кластер гібридної безпеки даних, — це створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, якого призначено до гібридної безпеки даних, запити на створення нових ключів маршрутизуються до кластера. Кластер також відповідає за повернення створених ним ключів будь-яким користувачам, уповноваженим на їх отримання, наприклад учасникам простору розмови.

                                                                                                                                                  Оскільки кластер виконує критичну функцію надання цих ключів, важливо, щоб кластер продовжував працювати та підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕВІДПОВІДАННЯ ВТРАТИ контенту клієнта. Щоб запобігти такій втраті, необхідно дотримуватися наведених нижче дій.

                                                                                                                                                  Якщо внаслідок стихійного лиха розгортання HDS в основному центрі обробки даних стає недоступним, виконайте цю процедуру, щоб вручну перейти до резервного центру обробки даних.

                                                                                                                                                  1.

                                                                                                                                                  Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

                                                                                                                                                  2.

                                                                                                                                                  Після налаштування сервера Syslogd клацніть Розширені налаштування

                                                                                                                                                  3.

                                                                                                                                                  На Розширені налаштування сторінку, додайте конфігурацію нижче або видаліть passiveMode конфігурації, щоб зробити вузол активним. Після налаштування вузол може обробляти трафік.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4.

                                                                                                                                                  Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

                                                                                                                                                  5.

                                                                                                                                                  Створіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

                                                                                                                                                  6.

                                                                                                                                                  На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування. .

                                                                                                                                                  7.

                                                                                                                                                  Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.


                                                                                                                                                   

                                                                                                                                                  Переконайтеся, що Підключено і Підключіться після ввімкнення перевірено, щоб оновлені зміни конфігурації набули чинності після запуску вузлів.

                                                                                                                                                  8

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

                                                                                                                                                  9

                                                                                                                                                  Повторіть процес для кожного вузла в резервному центрі обробки даних.


                                                                                                                                                   

                                                                                                                                                  Перевірте вивід системного журналу, щоб переконатися, що вузли резервного центру обробки даних не перебувають у пасивному режимі. "KMS налаштовано в пасивному режимі" не має відображатися в системних журналах.

                                                                                                                                                  Що далі

                                                                                                                                                  Якщо після відмови основний центр обробки даних знову стане активним, переведіть резервний центр обробки даних у пасивний режим знову, виконавши дії, описані в Налаштуйте резервний центр обробки даних для аварійного відновлення .

                                                                                                                                                  (Необов’язково) Відключіть ISO після конфігурації HDS

                                                                                                                                                  Стандартна конфігурація HDS працює з установленим ISO. Однак деякі клієнти вважають за краще не залишати файли ISO безперервно підключеними. Можна відключити файл ISO після того, як усі вузли HDS отримають нову конфігурацію.

                                                                                                                                                  Ви все ще використовуєте файли ISO для внесення змін конфігурації. Коли ви створюєте новий ISO або оновлюєте ISO за допомогою інструмента налаштування, ви повинні підключити оновлений ISO на всіх вузлах HDS. Після того як усі ваші вузли приймуть зміни конфігурації, ви можете знову відключити ISO за допомогою цієї процедури.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Оновіть усі вузли HDS до версії 2021.01.22.4720 або пізнішої.

                                                                                                                                                  1.

                                                                                                                                                  Вимкніть один із вузлів HDS.

                                                                                                                                                  2.

                                                                                                                                                  У vCenter Server Appliance виберіть вузол HDS.

                                                                                                                                                  3.

                                                                                                                                                  Виберіть Змінити налаштування > CD/DVD-привід і зніміть прапорець Файл ISO сховища даних .

                                                                                                                                                  4.

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що попередження немає принаймні 20 хвилин.

                                                                                                                                                  5.

                                                                                                                                                  Повторіть по черзі для кожного вузла HDS.

                                                                                                                                                  Troubleshoot Hybrid Data Security

                                                                                                                                                  Перегляд сповіщень і усунення несправностей

                                                                                                                                                  Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що запитує тайм-аут. Якщо користувачі не можуть підключитися до кластера гібридної безпеки даних, у них з’являються такі ознаки:

                                                                                                                                                  • Неможливо створити нові простори (неможливо створити нові ключі)

                                                                                                                                                  • Не вдалося розшифрувати повідомлення та назви просторів для:

                                                                                                                                                    • До простору додано нових користувачів (не вдається отримати ключі)

                                                                                                                                                    • Наявні користувачі в просторі, що використовують нового клієнта (не вдається отримати ключі)

                                                                                                                                                  • Наявні користувачі в просторі продовжуватимуть успішно працювати, доки їхні клієнти мають кеш ключів шифрування.

                                                                                                                                                  Важливо належним чином відстежувати кластер гібридної безпеки даних і своєчасно виправляти будь-які сповіщення, щоб уникнути перебоїв у роботі служби.

                                                                                                                                                  Сповіщення

                                                                                                                                                  Якщо виникла проблема з налаштуванням гібридної безпеки даних, Control Hub відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато поширених сценаріїв.

                                                                                                                                                  Таблиця 1. Загальні проблеми та кроки до їх вирішення

                                                                                                                                                  Оповіщення

                                                                                                                                                  Дія

                                                                                                                                                  Помилка доступу до локальної бази даних.

                                                                                                                                                  Перевірте помилки бази даних або проблеми з локальною мережею.

                                                                                                                                                  Помилка підключення до локальної бази даних.

                                                                                                                                                  Переконайтеся, що сервер бази даних доступний, а в конфігурації вузла використано правильні облікові дані облікового запису служби.

                                                                                                                                                  Помилка доступу до хмарної служби.

                                                                                                                                                  Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього підключення .

                                                                                                                                                  Поновлення реєстрації хмарної служби.

                                                                                                                                                  Реєстрацію в хмарних службах перервано. Триває поновлення реєстрації.

                                                                                                                                                  Реєстрацію хмарної служби зупинено.

                                                                                                                                                  Реєстрацію в хмарних службах припинено. Служба завершується.

                                                                                                                                                  Службу ще не активовано.

                                                                                                                                                  Активуйте ознайомлювальну версію або завершите переміщення пробної версії до робочої версії.

                                                                                                                                                  Налаштований домен не відповідає сертифікату сервера.

                                                                                                                                                  Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

                                                                                                                                                  Найімовірніша причина полягає в тому, що CN сертифіката було нещодавно змінено, і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

                                                                                                                                                  Не вдалося автентифікуватися в хмарних службах.

                                                                                                                                                  Перевірте точність і можливе закінчення терміну дії облікових даних облікового запису служби.

                                                                                                                                                  Не вдалося відкрити файл локального сховища ключів.

                                                                                                                                                  Перевірте цілісність і точність пароля у файлі локального сховища ключів.

                                                                                                                                                  Сертифікат локального сервера неприпустимий.

                                                                                                                                                  Перевірте дату закінчення терміну дії сертифіката сервера та переконайтеся, що його видано довіреним центром сертифікації.

                                                                                                                                                  Не вдалося опублікувати показники.

                                                                                                                                                  Перевірте доступ локальної мережі до зовнішніх хмарних служб.

                                                                                                                                                  /media/configdrive/hds не існує.

                                                                                                                                                  Перевірте конфігурацію монтування ISO на віртуальному хості. Переконайтеся, що файл ISO існує, що його налаштовано на підключення під час перезавантаження та що він успішно підключений.

                                                                                                                                                  Усунення проблем гібридної безпеки даних

                                                                                                                                                  Використовуйте наведені далі загальні інструкції під час усунення проблем із гібридною безпекою даних.
                                                                                                                                                  1.

                                                                                                                                                  Перевірте Control Hub на наявність сповіщень і виправте будь-які елементи, які ви там знайдете.

                                                                                                                                                  2.

                                                                                                                                                  Перевірте вивід сервера системного журналу щодо активності розгортання гібридної безпеки даних.

                                                                                                                                                  3.

                                                                                                                                                  Контакт Підтримка Cisco .

                                                                                                                                                  Other Notes

                                                                                                                                                  Відомі проблеми безпеки гібридних даних

                                                                                                                                                  • Якщо ви завершите роботу кластера гібридної безпеки даних (шляхом видалення його в Control Hub або закривши всі вузли), втратите файл ISO конфігурації або втратите доступ до бази даних сховища ключів, користувачі програми Webex більше не зможуть використовувати простори в розділі "Контакти". список, створений за допомогою ключів із KMS. Це стосується як пробного, так і робочого розгортання. Наразі ми не маємо обхідних шляхів або виправлення цієї проблеми. Ми закликаємо вас не закривати служби HDS після того, як вони оброблятимуть активні облікові записи користувачів.

                                                                                                                                                  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом певного періоду часу (імовірно, однієї години). Коли користувач стає учасником ознайомлювальної версії гібридної безпеки даних, клієнт користувача продовжує використовувати наявне підключення ECDH, доки не завершиться час очікування. Крім того, користувач може вийти та знову ввійти в програму Webex, щоб оновити розташування, до якого програма звертається для отримання ключів шифрування.

                                                                                                                                                    Така ж поведінка відбувається під час переміщення пробної версії до робочої версії для організації. Усі користувачі без пробної версії, які мають наявні підключення ECDH до попередніх служб безпеки даних, продовжуватимуть використовувати ці служби, доки не буде переузгоджено підключення ECDH (через тайм-аут або вихід із системи та повторний вхід).

                                                                                                                                                  Використовуйте OpenSSL для створення файлу PKCS12

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • OpenSSL — це один із інструментів, який можна використовувати для створення файлу PKCS12 у відповідному форматі для завантаження в інструменті налаштування HDS. Це можна зробити й іншими способами. Ми не підтримуємо й не рекламуємо один із них.

                                                                                                                                                  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, яка допоможе вам створити файл, який відповідає вимогам до сертифіката X.509 у Вимоги до сертифіката X.509 . Ознайомтеся з цими вимогами, перш ніж продовжити.

                                                                                                                                                  • Установіть OpenSSL у підтримуваному середовищі. Дивhttps://www.openssl.org для програмного забезпечення та документації.

                                                                                                                                                  • Створіть закритий ключ.

                                                                                                                                                  • Почніть цю процедуру, коли отримаєте сертифікат сервера від центру сертифікації (CA).

                                                                                                                                                  1.

                                                                                                                                                  Отримавши сертифікат сервера від CA, збережіть його як hdsnode.pem.

                                                                                                                                                  2.

                                                                                                                                                  Відобразіть сертифікат у вигляді тексту та перевірте відомості.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3.

                                                                                                                                                  Використовуйте текстовий редактор, щоб створити файл пакета сертифікатів під назвою hdsnode-bundle.pem. Файл пакета має містити сертифікат сервера, будь-які проміжні сертифікати CA та сертифікати кореневого CA у форматі нижче:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4.

                                                                                                                                                  Створіть файл .p12 зі зручним іменем kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5.

                                                                                                                                                  Перевірте відомості про сертифікат сервера.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Введіть пароль у підказці, щоб зашифрувати закритий ключ, щоб він відображався у виводі. Потім переконайтеся, що закритий ключ і перший сертифікат містять рядки friendlyName: kms-private-key.

                                                                                                                                                    Приклад:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Що далі

                                                                                                                                                  Повернутися до Виконайте обов’язкові умови для гібридної безпеки даних . Ви використовуватимете hdsnode.p12 файл і пароль, який ви для нього встановили, у Створіть ISO конфігурації для хостів HDS .


                                                                                                                                                   

                                                                                                                                                  Ви можете повторно використовувати ці файли для запиту нового сертифіката після завершення терміну дії оригінального сертифіката.

                                                                                                                                                  Трафік між вузлами HDS і хмарою

                                                                                                                                                  Трафік збору вихідних показників

                                                                                                                                                  Вузли гібридної безпеки даних надсилають певні показники до хмари Webex. До них належать системні показники для максимальної кількості накопичувачів, використаної пам’яті, навантаження на ЦП і кількості потоків; метрики для синхронних та асинхронних потоків; показники для оповіщень, що включають поріг з’єднань шифрування, затримку або довжину черги запитів; метрики в сховищі даних; і показники підключення шифрування. Вузли надсилають матеріал зашифрованого ключа через позасмуговий (окремий від запиту) канал.

                                                                                                                                                  Вхідний трафік

                                                                                                                                                  Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

                                                                                                                                                  • Запити шифрування від клієнтів, які маршрутизуються службою шифрування

                                                                                                                                                  • Оновлення програмного забезпечення вузла

                                                                                                                                                  Налаштуйте проксі Squid для гібридної безпеки даних

                                                                                                                                                  Websocket не вдається підключитися через проксі-сервер Squid

                                                                                                                                                  Проксі-сервери Squid, які перевіряють трафік HTTPS, можуть перешкоджати встановленню websocket ( wss:) підключення, які вимагає Hybrid Data Security. У цих розділах наведено інструкції щодо налаштування різних версій Squid для ігнорування wss: трафіку для належної роботи служб.

                                                                                                                                                  Кальмари 4 і 5

                                                                                                                                                  Додайте on_unsupported_protocol директива до squid.conf.

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Ми успішно перевірили безпеку гібридних даних, додавши такі правила squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all

                                                                                                                                                  Передмова

                                                                                                                                                  Нова й змінена інформація

                                                                                                                                                  Дата

                                                                                                                                                  Внесені зміни

                                                                                                                                                  20 жовтня 2023 року

                                                                                                                                                  07 серпня 2023 року

                                                                                                                                                  23 травня 2023 року

                                                                                                                                                  06 грудня 2022 р.

                                                                                                                                                  23 листопада 2022 року

                                                                                                                                                  13 жовтня 2021 р.

                                                                                                                                                  Перш ніж ви зможете встановити вузли HDS, на робочому столі Docker має запустити програму встановлення. Див. Вимоги до робочого стола Docker.

                                                                                                                                                  Червні 24, 2021

                                                                                                                                                  Зазначено, що можна повторно використовувати файл закритого ключа та CSR, щоб надіслати запит на інший сертифікат. Докладніше див. в статті Використання OpenSSL для створення файлу PKCS12 .

                                                                                                                                                  30 квітня 2021 р.

                                                                                                                                                  Вимогу VM для локального місця на жорсткому диску змінено на 30 ГБ. Додаткову інформацію див. в розділі Вимоги до віртуального організатора .

                                                                                                                                                  24 лютого 2021 р.

                                                                                                                                                  Тепер інструмент налаштування HDS може працювати за проксі-сервером. Докладніше див. в статті Створення ISO конфігурації для хостів HDS .

                                                                                                                                                  2 лютого 2021 р.

                                                                                                                                                  HDS тепер може працювати без змонтованого файлу ISO. Див. (Необов’язково) Демонтування ISO після конфігурації HDS , щоб отримати додаткові відомості.

                                                                                                                                                  11 січня 2021 року

                                                                                                                                                  Додано інформацію про інструмент налаштування HDS і проксі-сервери, щоб створити ISO конфігурації для хостів HDS.

                                                                                                                                                  Жовтень 13, 2020

                                                                                                                                                  Оновлено файли інсталяції завантаження.

                                                                                                                                                  8 жовтня 2020 р.

                                                                                                                                                  Оновлено розділ Створити ISO конфігурації для хостів HDS і змінити конфігурацію вузла з командами для середовищ FedRAMP.

                                                                                                                                                  14 серпня 2020 р.

                                                                                                                                                  Оновлено Створити ISO конфігурації для хостів HDS та Змінити конфігурацію вузла зі змінами у процесі входу.

                                                                                                                                                  5 серпня 2020 р.

                                                                                                                                                  Оновлено перевірку розгортання гібридної безпеки даних на наявність змін у повідомленнях журналу.

                                                                                                                                                  Для видалення максимальної кількості організаторів оновлено вимоги до віртуальних організаторів .

                                                                                                                                                  16 червня 2020 р.

                                                                                                                                                  Для внесення змін до інтерфейсу користувача Control Hub оновлено Видалити вузол .

                                                                                                                                                  4 червня 2020 р.

                                                                                                                                                  Оновлено Створити ISO конфігурації для хостів HDS для внесення змін до розширених налаштувань, які можна налаштувати.

                                                                                                                                                  29 травня 2020 р.

                                                                                                                                                  Оновлено Створити ISO конфігурації для хостів HDS , щоб показати, що ви також можете використовувати TLS з базами даних SQL Server, змінами інтерфейсу користувача та іншими роз’ясненнями.

                                                                                                                                                  5 травня 2020 р.

                                                                                                                                                  Оновлено вимоги до віртуального організатора для відображення нової вимоги до ESXi 6.5.

                                                                                                                                                  21 квітня 2020 року

                                                                                                                                                  Оновлено вимоги до зовнішнього підключення з новими організаторами Americas CI.

                                                                                                                                                  1 квітня 2020 року

                                                                                                                                                  Оновлено вимоги до зовнішнього підключення з інформацією про регіональні хости CI.

                                                                                                                                                  Лютого 20, 2020"Оновлено параметр Створити ISO конфігурації для хостів HDS з інформацією про новий додатковий екран розширених налаштувань в інструменті налаштування HDS."
                                                                                                                                                  4 лютого 2020 рокуОновлено вимоги до проксі-сервера.
                                                                                                                                                  16 грудня 2019 р.Уточнено вимогу до режиму роздільної здатності заблокованого зовнішнього DNS для роботи в Вимогах Проксі-Сервера.
                                                                                                                                                  19 листопада 2019 р.

                                                                                                                                                  Додано інформацію про режим роздільної здатності заблокованого зовнішнього DNS в наступних розділах:

                                                                                                                                                  Листопад 8, 2019

                                                                                                                                                  Тепер можна налаштувати мережеві параметри для вузла під час розгортання OVA, а не пізніше.

                                                                                                                                                  Оновлено відповідно такі розділи:

                                                                                                                                                  Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  Вересень 6, 2019

                                                                                                                                                  До вимог до сервера бази даних додано стандарт SQL Server.

                                                                                                                                                  29 серпня 2019 рокуДодано додаток Configure Squid Proxy for Hybrid Data Security (Налаштування проксі-серверів для гібридної безпеки даних) з інструкціями з налаштування Squid-проксі-серверів для ігнорування трафіку вебсокетів для належної роботи.
                                                                                                                                                  20 серпня 2019 р.

                                                                                                                                                  Додано й оновлено розділи для покриття проксі-підтримки для зв’язку вузлів гібридної безпеки даних із хмарою Webex.

                                                                                                                                                  Щоб отримати доступ лише до вмісту підтримки проксі для наявного розгортання, перегляньте довідкову статтю Підтримка проксі для гібридної безпеки даних і Webex Video Mesh .

                                                                                                                                                  13 червня 2019 рокуОзнайомлювальний процес до виробничого процесу оновлено з нагадуванням про синхронізацію каталогу об’єкта групи HdsTrialGroup перед початком ознайомлювального періоду, якщо ваша організація використовує синхронізацію каталогів.
                                                                                                                                                  6 березня 2019 року
                                                                                                                                                  27 лютого 2020 р.
                                                                                                                                                  • Виправлено обсяг локального жорсткого диска на сервер, який потрібно виділити під час підготовки віртуальних хостів, які стають вузлами гібридної безпеки даних, з 50 ГБ до 20 ГБ, щоб відобразити розмір диска, який створюється OVA.

                                                                                                                                                  26 лютого 2019 р.
                                                                                                                                                  • Вузли гібридної безпеки даних тепер підтримують зашифровані з’єднання з серверами баз даних PostgreSQL, а також зашифровані з’єднання ведення журналу до сервера syslog, що підтримує TLS. Оновлено розділ Створити ISO конфігурації для хостів HDS з інструкціями.

                                                                                                                                                  • URL-адреси призначення видалено з таблиці «Вимоги до підключення до інтернету для вузлів гібридної безпеки даних». Тепер таблиця посилається на список Вимоги до мережі для служб Webex Teams в таблиці "Додаткові URL-адреси для гібридних служб Webex Teams".

                                                                                                                                                  Січень 24, 2019

                                                                                                                                                  • Гібридна безпека даних тепер підтримує Microsoft SQL Server як базу даних. SQL Server Always On (Завжди ввімкнені кластери аварійного перемикання та Завжди на групи доступності) підтримується драйверами JDBC, які використовуються в гібридній безпеці даних. Додано контент, пов’язаний із розгортанням за допомогою SQL Server.

                                                                                                                                                    Підтримку Microsoft SQL Server призначено лише для нового розгортання служби безпеки даних гібридного типу. Наразі міграція даних із PostgreSQL у Microsoft SQL Server у наявному розгортанні не підтримується.

                                                                                                                                                  5 листопада 2018 року
                                                                                                                                                  19 жовтня 2018 року

                                                                                                                                                  31 липня 2018 року

                                                                                                                                                  21 травня 2018 р.

                                                                                                                                                  Термінологію змінено, щоб відобразити ребрендинг Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security тепер — гібридна безпека даних.

                                                                                                                                                  • Тепер програма Cisco Spark — програма Webex.

                                                                                                                                                  • Хмара Cisco Collaboraton тепер є хмарою Webex.

                                                                                                                                                  11 квітня 2018 року
                                                                                                                                                  Лютого 22, 2018
                                                                                                                                                  15 лютого 2018 року
                                                                                                                                                  • У таблиці X.509 Certificate Requirements зазначено, що сертифікат не може бути сертифікатом узагальнення, а KMS використовує домен CN, а не будь-який домен, визначений у полях SAN x.509v3.

                                                                                                                                                  18 січня 2018 року

                                                                                                                                                  2 листопада 2017 року

                                                                                                                                                  • Уточнена синхронізація каталогу HdsTrialGroup.

                                                                                                                                                  • Виправлені інструкції з вивантаження файлу конфігурації ISO для монтування на вузли VM.

                                                                                                                                                  18 серпня 2017 року

                                                                                                                                                  Вперше опубліковано

                                                                                                                                                  Почніть роботу з гібридною безпекою даних

                                                                                                                                                  Огляд гібридної безпеки даних

                                                                                                                                                  З першого дня безпека даних була основним завданням у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, яке ввімкнено клієнтами програми Webex, які взаємодіють зі службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і дешифрування повідомлень і файлів.

                                                                                                                                                  За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS у області безпеки Cisco. Гібридна безпека даних переміщує KMS та інші функції, пов'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не тримає ключі до вашого зашифрованого вмісту.

                                                                                                                                                  Архітектура області безпеки

                                                                                                                                                  Хмарна архітектура Webex розділяє різні типи служб на окремі області або домени довіри, як показано нижче.

                                                                                                                                                  Області розділення (без гібридної безпеки даних)

                                                                                                                                                  Щоб краще зрозуміти гібридну безпеку даних, спочатку розгляньмо цей випадок у чистому хмарі, де Cisco надає всі функції у своїх хмарних областях. Служба ідентифікації, єдине місце, де користувачі можуть бути безпосередньо пов’язані з їхньою персональною інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зрештою зберігається зашифрований контент, в центрі обробки даних C.

                                                                                                                                                  На цій діаграмі клієнтом є програма Webex, що працює на ноутбуці користувача й автентифікувався за допомогою служби ідентифікації. Коли користувач складає повідомлення для надсилання до простору, виконуються такі кроки:

                                                                                                                                                  1. Клієнт встановлює захищене з’єднання зі службою керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Для захищеного з’єднання використовується ECDH, а KMS шифрує ключ за допомогою основного ключа AES-256.

                                                                                                                                                  2. Повідомлення зашифровано перед тим, як воно залишає клієнта. Клієнт надсилає його в службу індексації, яка створює зашифровані пошукові індекси для допомоги в подальшому пошуку контенту.

                                                                                                                                                  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

                                                                                                                                                  4. Зашифроване повідомлення зберігається в області сховища.

                                                                                                                                                  Під час розгортання гібридної безпеки даних ви переміщуєте функції області безпеки (KMS, індексація та відповідність) до локального центру обробки даних. Інші хмарні служби, які складають Webex (зокрема, ідентифікаційні дані та сховище контенту), залишаються в області Cisco.

                                                                                                                                                  Співпраця з іншими організаціями

                                                                                                                                                  Користувачі вашої організації можуть регулярно використовувати програму Webex для співпраці з зовнішніми учасниками в інших організаціях. Коли один із ваших користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), ваш KMS надсилає ключ клієнту через канал, захищений ECDH. Однак, якщо ключ для простору належить іншій організації, ваш KMS надсилає запит в хмару Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в вихідному каналі.

                                                                                                                                                  Служба KMS, яку запущено в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Додаткову інформацію про створення сертифіката x.509 для використання з розгортанням гібридної безпеки даних див. в розділі Підготовка середовища .

                                                                                                                                                  Очікування розгортання гібридної безпеки даних

                                                                                                                                                  Розгортання гібридної безпеки даних вимагає значного залучення клієнтів і обізнаності про ризики, пов’язані із володінням ключами шифрування.

                                                                                                                                                  Щоб розгорнути гібридну безпеку даних, необхідно надати:

                                                                                                                                                  Повна втрата ISO конфігурації, яку ви створюєте для гібридної безпеки даних, або бази даних, яку ви надаєте, призведе до втрати ключів. Втрата ключа забороняє користувачам розшифрувати контент простору та інші зашифровані дані в програмі Webex. Якщо це станеться, ви зможете створити нове розгортання, але буде відображено лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

                                                                                                                                                  • Керування резервним копіюванням і відновленням бази даних та ISO конфігурації.

                                                                                                                                                  • Будьте готові до швидкого відновлення після відмови в разі виникнення катастрофи, як-от помилка диска бази даних або помилка центру обробки даних.

                                                                                                                                                  Відсутній механізм для переміщення ключів назад у хмару після розгортання HDS.

                                                                                                                                                  Процес налаштування на високому рівні

                                                                                                                                                  Цей документ охоплює налаштування та керування розгортанням гібридної безпеки даних:

                                                                                                                                                  • Налаштування гібридної безпеки даних. Зокрема, підготовка необхідної інфраструктури та встановлення програмного забезпечення гібридної безпеки даних, тестування розгортання з підмножиною користувачів у ознайомлювальному режимі, а після завершення тестування перейдіть до виробництва. Уся організація буде перетворена на використання кластера гібридної безпеки даних для функцій безпеки.

                                                                                                                                                    Етапи налаштування, випробування та виробництва докладно описані в наступних трьох розділах.

                                                                                                                                                  • Підтримуйте розгортання гібридної безпеки даних. Хмара Webex автоматично забезпечує постійні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати сповіщення на екрані та налаштувати сповіщення на основі електронної пошти в Control Hub.

                                                                                                                                                  • Ознайомтеся з поширеними сповіщеннями, кроками усунення несправностей і відомими проблемами. Якщо у вас виникли проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й вирішити цю проблему.

                                                                                                                                                  Модель розгортання гібридної безпеки даних

                                                                                                                                                  У вашому центрі обробки даних підприємства ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли зв’язуються з хмарою Webex за допомогою захищених вебсокетів і захищеного HTTP.

                                                                                                                                                  Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами VM. Ви використовуєте інструмент налаштування HDS для створення користувацького файлу конфігурації ISO кластера, який буде змонтовано на кожному вузлі. Кластер гібридної безпеки даних використовує наданий сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і відомості про підключення до бази даних в інструменті налаштування HDS.)

                                                                                                                                                  Модель розгортання гібридної безпеки даних

                                                                                                                                                  Мінімальна кількість вузлів, які можна мати в кластері, дорівнює два. Рекомендовано принаймні три для кластера. Наявність кількох вузлів гарантує, що служба не переривається під час оновлення версії програмного забезпечення або іншої діяльності з обслуговування на вузлі. (Хмара Webex оновлює лише один вузол за раз.)

                                                                                                                                                  Усі вузли в кластері отримують доступ до одного єдиного сервера системних даних і активності журналу. Самі вузли не мають статусу, і обробляють ключові запити круглим способом, як спрямовано хмарою.

                                                                                                                                                  Вузли стають активними, коли їх зареєстровано в Control Hub. Щоб вилучити окремий вузол із експлуатації, його можна скасувати реєстрацію, а в разі потреби повторно зареєструвати.

                                                                                                                                                  Ми підтримуємо лише один кластер в одній організації.

                                                                                                                                                  Ознайомлювальний режим гібридної безпеки даних

                                                                                                                                                  Після налаштування розгортання гібридної безпеки даних спочатку спробуйте це з набором пілотних користувачів. Протягом пробного періоду ці користувачі використовують локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Інші користувачі продовжують використовувати область хмарної безпеки.

                                                                                                                                                  Якщо ви вирішите не продовжувати розгортання під час пробного періоду та деактивувати службу, пілотні користувачі та будь-які користувачі, з якими вони взаємодіяли, створюючи нові простори протягом пробного періоду, втратять доступ до повідомлень і контенту. "Вони побачать ""Це повідомлення неможливо розшифрувати"" в програмі Webex."

                                                                                                                                                  Якщо ви задоволені тим, що ваше розгортання добре працює для користувачів ознайомлювальної версії, і ви готові поширити гібридну безпеку даних на всіх своїх користувачів, ви перемістите розгортання до виробничого рівня. Пілотні користувачі й надалі матимуть доступ до ключів, які використовувалися під час пробної версії. Однак ви не можете рухатися назад і назад між продуктивним режимом і початковою ознайомлювальною версією. Якщо потрібно деактивувати службу, як-от виконання відновлення після відмови, під час повторної активації необхідно розпочати новий ознайомлювальний період і налаштувати набір пілотних користувачів для нового ознайомлювального періоду, перш ніж повернутися в робочий режим. Чи зберігатимуть користувачі доступ до даних на цьому етапі, залежить від того, чи успішно підтримували ви резервні копії сховища ключових даних і файлу конфігурації ISO для вузлів гібридної безпеки даних у вашому кластері.

                                                                                                                                                  Центр даних у режимі очікування для відновлення після відмови

                                                                                                                                                  Під час розгортання ви налаштували безпечний центр обробки даних у режимі очікування. У разі несправності центру обробки даних ви можете вручну не виконувати перехід до центру обробки даних у режимі очікування.

                                                                                                                                                  Перед аварійним переходом центр обробки даних A має активні вузли HDS і основну базу даних PostgreSQL або Microsoft SQL Server, тоді як B має копію файлу ISO з додатковими конфігураціями, зареєстрованими в організації VM, і базу даних у режимі очікування. Після аварійного перемикання центр обробки даних B має активні вузли HDS і основну базу даних, тоді як A має незареєстровані VM і копію файлу ISO, а база даних перебуває в режимі очікування.
                                                                                                                                                  Ручне аварійне перемикання на центр обробки даних у режимі очікування

                                                                                                                                                  Бази даних активних та резервних центрів обробки даних синхронізуються один з одним, що дозволить мінімізувати час, необхідний для виконання аварійного перемикання. Файл ISO центру обробки даних у режимі очікування оновлено додатковими конфігураціями, які гарантують, що вузли зареєстровані в організації, але не оброблятимуть трафік. Отже, вузли центру обробки даних у режимі очікування завжди залишаються актуальними з останньою версією програмного забезпечення HDS.

                                                                                                                                                  Активні вузли гібридної безпеки даних завжди мають бути в тому самому центрі обробки даних, що й активний сервер бази даних.

                                                                                                                                                  Налаштування центру обробки даних у режимі очікування для відновлення після відмови

                                                                                                                                                  Виконайте наведені нижче дії, щоб налаштувати файл ISO для центру обробки даних у режимі очікування:

                                                                                                                                                  1

                                                                                                                                                  Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створити ISO конфігурації для хостів HDS.

                                                                                                                                                  Файл ISO повинен бути копією оригінального файлу ISO основного центру обробки даних, у якому мають бути внесені такі оновлення конфігурації.

                                                                                                                                                  2

                                                                                                                                                  Після налаштування сервера Syslogd клацніть Додаткові налаштування

                                                                                                                                                  3

                                                                                                                                                  На сторінці Розширені налаштування додайте конфігурацію нижче, щоб помістити вузол у пасивний режим. У цьому режимі вузол буде зареєстровано в організації та підключено до хмари, але він не оброблятиме жодного трафіку.

                                                                                                                                                   пасивнийРежим: 'true' 

                                                                                                                                                  4

                                                                                                                                                  Завершіть процес конфігурації та збережіть файл ISO у зручному для пошуку розташуванні.

                                                                                                                                                  5

                                                                                                                                                  Зробіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

                                                                                                                                                  6

                                                                                                                                                  На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші на VM і клацніть Змінити налаштування..

                                                                                                                                                  7

                                                                                                                                                  Клацніть Змінити налаштування >Диск CD/DVD 1 і виберіть файл ISO Datastore.

                                                                                                                                                  Переконайтеся, що встановлено прапорець параметрів Підключено та Connect при увімкненні , щоб оновлені зміни конфігурації набули сили після запуску вузлів.

                                                                                                                                                  8

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

                                                                                                                                                  9

                                                                                                                                                  Повторити процес для кожного вузла в центрі обробки даних у режимі очікування.

                                                                                                                                                  Перевірте syslogs, щоб переконатися, що вузли перебувають у пасивному режимі. Ви повинні мати можливість переглядати повідомлення «KMS налаштовано в пасивному режимі» в системних логах.

                                                                                                                                                  Після налаштування passiveMode у файлі ISO і збереження його можна створити іншу копію файлу ISO без конфігурації passiveMode і зберегти його в захищеному місці. Ця копія файлу ISO без налаштування пасивного режиму може допомогти у швидкому процесі аварійного перемикання під час відновлення після відмови. Докладну процедуру аварійного перемикання див. в розділі Відновлення після відмови з використанням центру обробки даних у режимі очікування .

                                                                                                                                                  Підтримка проксі

                                                                                                                                                  Гібридна безпека даних підтримує явні, прозорі перевірки та неінспектування проксі. Ви можете прив'язати ці проксі до свого розгортання, щоб ви могли захищати та контролювати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для управління сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

                                                                                                                                                  Гібридні вузли захисту даних підтримують такі параметри проксі-сервера:

                                                                                                                                                  • Немає проксі— За замовчуванням, якщо для інтеграції проксі не використовується налаштування вузла HDS Store і Proxy. Оновлення сертифіката не потрібне.

                                                                                                                                                  • Прозорий неінспекційний проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін до роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.

                                                                                                                                                  • Прозоре тунелювання чи інспектування проксі— вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах не потрібні зміни конфігурації HTTP або HTTPS. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

                                                                                                                                                  • Явний проксі. За допомогою явного проксі-сервера вузлам HDS слід визначити, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі, необхідно ввести наступну інформацію на кожному вузлі:

                                                                                                                                                    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

                                                                                                                                                    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

                                                                                                                                                    3. Проксі-протокол — залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

                                                                                                                                                      • HTTP — Перегляд і контроль усіх запитів, які надсилає клієнт.

                                                                                                                                                      • HTTPS — забезпечує канал серверу. Клієнт отримує та перевіряє сертифікат сервера.

                                                                                                                                                    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

                                                                                                                                                      • Немає— подальша автентифікація не потрібна.

                                                                                                                                                        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

                                                                                                                                                      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

                                                                                                                                                        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

                                                                                                                                                        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

                                                                                                                                                      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

                                                                                                                                                        Доступно, лише якщо в якості проксі-протоколу вибрано протокол HTTPS.

                                                                                                                                                        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

                                                                                                                                                  Приклад гібридних вузлів безпеки даних і проксі-сервера

                                                                                                                                                  На цій схемі наведено приклад підключення між гібридною безпекою даних, мережею та проксі-сервером. Для прозорої перевірки та явної перевірки параметрів проксі-сервера HTTPS на проксі-сервері та на вузлах гібридної безпеки даних повинен бути встановлений той самий кореневий сертифікат.

                                                                                                                                                  Заблокований зовнішній режим роздільної здатності DNS (явні конфігурації проксі)

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. У розгортаннях з явними конфігураціями проксі-сервера, які не дозволяють зовнішню роздільну здатність DNS для внутрішніх клієнтів, якщо вузол не може запитувати DNS-сервери, він автоматично переходить у режим блокування зовнішньої роздільної здатності DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести проксі-підключення.

                                                                                                                                                  Підготуйте своє оточення

                                                                                                                                                  Вимоги до гібридної безпеки даних

                                                                                                                                                  Вимоги до ліцензії Cisco Webex

                                                                                                                                                  Щоб розгорнути гібридну безпеку даних:

                                                                                                                                                  Вимоги до робочого стола Docker

                                                                                                                                                  Перш ніж установити вузли HDS, необхідно Docker Desktop, щоб запустити програму встановлення. Docker нещодавно оновив свою ліцензійну модель. Ваша організація може вимагати платну підписку на Docker Desktop. Для отримання детальної інформації див. допис у блозі Docker "Docker оновлює та розширює підписку на наш продукт".

                                                                                                                                                  Вимоги до сертифіката X.509

                                                                                                                                                  Ланцюжок сертифікатів повинен відповідати таким вимогам:

                                                                                                                                                  Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

                                                                                                                                                  Вимоги

                                                                                                                                                  Відомості

                                                                                                                                                  • Підписано довіреним центром сертифікації (CA)

                                                                                                                                                  За замовчуванням ми довіряємо ценам у списку Mozilla (за винятком WoSign і StartCom) за адресою https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Має доменне ім’я (CN), яке ідентифікує розгортання гібридної безпеки даних.

                                                                                                                                                  • Не є сертифікатом узагальнення

                                                                                                                                                  CN не обов’язково бути доступним або організатором у режимі реального часу. Ми рекомендуємо використовувати ім’я, що відображає вашу організацію, наприклад hds.company.com.

                                                                                                                                                  CN не має містити символ * (узагальнення).

                                                                                                                                                  CN використовується для перевірки вузлів гібридної безпеки даних клієнтам програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, визначеного в полях SAN x.509v3.

                                                                                                                                                  Після реєстрації вузла з цим сертифікатом зміна доменного імені CN не підтримується. Виберіть домен, який може застосовуватися як до ознайомлювальної версії, так і до виробничого розгортання.

                                                                                                                                                  • Підпис без SHA1

                                                                                                                                                  Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключення до KMS інших організацій.

                                                                                                                                                  • Відформатований як файл PKCS #12 із захищеним паролем

                                                                                                                                                  • Використовуйте дружнє ім’я kms-private-key , щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.

                                                                                                                                                  Щоб змінити формат сертифіката, можна використовувати перетворювач, наприклад OpenSSL.

                                                                                                                                                  Вам потрібно буде ввести пароль, коли ви запустите інструмент налаштування HDS.

                                                                                                                                                  Програмне забезпечення KMS не вимагає використання ключів або розширених обмежень використання ключів. Деякі органи сертифікації вимагають, щоб до кожного сертифіката застосовувалися розширені обмеження використання ключа, як-от автентифікація сервера. Цілком нормально використовувати автентифікацію сервера або інші налаштування.

                                                                                                                                                  Вимоги до віртуального організатора

                                                                                                                                                  Віртуальні вузли, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері, мають такі вимоги:

                                                                                                                                                  • Принаймні два окремих хоста (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

                                                                                                                                                  • VMware ESXi 6.5 (або пізнішої версії) встановлено та запущено.

                                                                                                                                                    Необхідно оновити версію, якщо у вас попередня версія ESXi.

                                                                                                                                                  • Мінімум 4 вЦП, 8 ГБ основної пам’яті, 30 ГБ локального жорсткого диска на сервер

                                                                                                                                                  Вимоги до сервера бази даних

                                                                                                                                                  Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

                                                                                                                                                  Для сервера бази даних існує два параметри. Вимоги до кожного з них такі:

                                                                                                                                                  Таблиця 2. Вимоги до сервера бази даних за типом бази даних

                                                                                                                                                  Postgre SQL

                                                                                                                                                  Сервер Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 або 16, встановлено та запущено.

                                                                                                                                                  • Встановлено SQL Server 2016, 2017 або 2019 (корпоративний або стандартний).

                                                                                                                                                    SQL Server 2016 вимагає пакета оновлень 2 та кумулятивного оновлення 2 або пізнішої версії.

                                                                                                                                                  Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

                                                                                                                                                  Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

                                                                                                                                                  Програмне забезпечення HDS зараз установлює такі версії драйверів для зв’язку з сервером бази даних:

                                                                                                                                                  Postgre SQL

                                                                                                                                                  Сервер Microsoft SQL

                                                                                                                                                  Postgres драйвер JDBC 42.2.5

                                                                                                                                                  Драйвер JDBC SQL Server 4.6

                                                                                                                                                  Ця версія драйвера підтримує SQL Server Always On (Завжди ввімкнені екземпляри аварійного перемикання кластерів і Always On групи доступності).

                                                                                                                                                  Додаткові вимоги до автентифікації Windows проти Microsoft SQL Server

                                                                                                                                                  Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для доступу до вашої бази даних ключів на Microsoft SQL Server, то у вашому середовищі потрібна така конфігурація:

                                                                                                                                                  • Вузли HDS, інфраструктуру Active Directory і MS SQL Server мають бути синхронізовані з NTP.

                                                                                                                                                  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ до бази даних для читання та запису.

                                                                                                                                                  • DNS-сервери, які ви надаєте вузлам HDS, повинні мати змогу вирішити ваш центр розподілу ключів (KDC).

                                                                                                                                                  • Можна зареєструвати екземпляр бази даних HDS на сервері Microsoft SQL як основне ім’я служби (SPN) в Active Directory. Див. розділ Реєстрація імені головної служби для з’єднань Kerberos.

                                                                                                                                                    Засіб налаштування HDS, засіб запуску HDS та локальний KMS — усі необхідні для використання автентифікації Windows для доступу до бази даних сховища ключів. Вони використовують відомості з конфігурації ISO для побудови SPN під час запиту доступу за допомогою автентифікації Kerberos.

                                                                                                                                                  Вимоги до зовнішнього з’єднання

                                                                                                                                                  Налаштуйте брандмауер, щоб дозволити таке підключення для програм HDS:

                                                                                                                                                  Застосування

                                                                                                                                                  Протокол

                                                                                                                                                  Порт

                                                                                                                                                  Напрямок з програми

                                                                                                                                                  Призначення

                                                                                                                                                  Вузли гібридної безпеки даних

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Вихідні HTTPS і WSS

                                                                                                                                                  • Сервери Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Усі організатори Common Identity

                                                                                                                                                  • Інші URL-адреси, перелічені для гібридної безпеки даних у таблиці «Додаткові URL-адреси для гібридних служб Webex»«Вимоги до мережі для служб Webex»

                                                                                                                                                  Інструмент налаштування HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Вихідний HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Усі організатори Common Identity

                                                                                                                                                  • hub.docker.com

                                                                                                                                                  Вузли гібридної безпеки даних працюють із перекладом мережевого доступу (NAT) або за брандмауером, доки NAT або брандмауер дозволяють необхідні вихідні з’єднання з адресами домену, наведеними в попередній таблиці. Для з’єднань, які надходять на вхідні дані до вузлів гібридної безпеки даних, порти не повинні відображатися з інтернету. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

                                                                                                                                                  URL-адреси для хостів Common Identity (CI) притаманні регіонам. Це поточні організатори CI:

                                                                                                                                                  Регіон

                                                                                                                                                  URL-адреси загальних ідентифікаційних ресурсів

                                                                                                                                                  Північна та Південна Америки

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Європейський Союз

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Канада

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Вимоги до проксі-сервера

                                                                                                                                                  • Ми офіційно підтримуємо наступні проксі-рішення, які можуть інтегруватися з вашими вузлами гібридної безпеки даних.

                                                                                                                                                  • Ми підтримуємо такі комбінації типів автентифікації для явних проксі:

                                                                                                                                                    • Немає автентифікації за допомогою HTTP або HTTPS

                                                                                                                                                    • Базова автентифікація за допомогою HTTP або HTTPS

                                                                                                                                                    • Автентифікація дайджесту лише за допомогою ПРОТОКОЛУ HTTPS

                                                                                                                                                  • Для прозорої перевірки проксі-сервера або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі-сервера. Інструкції з розгортання в цьому посібнику розповідають, як завантажити копію в надійні сховища вузлів гібридної безпеки даних.

                                                                                                                                                  • Мережа, в якій розміщуються вузли HDS, повинна бути налаштована на примусове витіснення TCP-трафіку на порту 443 для маршрутизації через проксі.

                                                                                                                                                  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з'єднанню веб-сокетів. При виникненні даної проблеми проблему вирішить обхід (не огляд) трафіку на wbx2.com і ciscospark.com .

                                                                                                                                                  Виконати передумови для гібридної безпеки даних

                                                                                                                                                  Використовуйте цей контрольний список, щоб переконатися, що ви готові встановити та налаштувати кластер гібридної безпеки даних.
                                                                                                                                                  1

                                                                                                                                                  Переконайтеся, що для вашої організації Webex увімкнено пакет Pro Pack для Cisco Webex Control Hub, і отримайте облікові дані облікового запису з повними правами адміністратора організації. Зверніться до партнера Cisco або менеджера облікового запису по допомогу в цьому процесі.

                                                                                                                                                  2

                                                                                                                                                  Виберіть доменне ім’я для розгортання HDS (наприклад, hds.company.com) і отримайте ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ та будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам Вимог до сертифіката X.509.

                                                                                                                                                  3

                                                                                                                                                  Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері. Потрібно принаймні два окремих організатори (рекомендовано 3), розташовані в одному захищеному центрі обробки даних, які відповідають вимогам Вимог до віртуального організатора.

                                                                                                                                                  4

                                                                                                                                                  Підготуйте сервер бази даних, який діятиме як сховище ключових даних для кластера, відповідно до вимог сервера бази даних. Сервер бази даних має бути розташовано в захищеному центрі обробки даних із віртуальними організаторами.

                                                                                                                                                  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Після встановлення програми HDS створюють схему бази даних.)

                                                                                                                                                  2. Зберіть деталі, які будуть використовувати вузли для зв’язку з сервером бази даних:

                                                                                                                                                    • ім’я хоста або IP-адреса (хост) і порт

                                                                                                                                                    • ім’я бази даних (dbname) для сховища ключів

                                                                                                                                                    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

                                                                                                                                                  5

                                                                                                                                                  Для швидкого відновлення після відмови налаштуйте резервне середовище в іншому центрі обробки даних. Середовище резервного копіювання відображає середовище виробництва VM і сервер резервної бази даних. Наприклад, якщо у виробництві є 3 VM, які працюють вузли HDS, резервне середовище має мати 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Налаштуйте хост syslog, щоб збирати журнали з вузлів у кластері. Зберіть його мережеву адресу та порт системного журналу (за замовчуванням — UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста syslog. Як мінімум, щоб запобігти невиправній втраті даних, потрібно створити резервну копію бази даних і файл ISO конфігурації, створений для вузлів гібридної безпеки даних.

                                                                                                                                                  Оскільки вузли гібридної безпеки даних зберігають ключі, які використовуються для шифрування та дешифрування контенту, невдача підтримки оперативного розгортання призведе до НЕЗВОРОТНОЇ ВТРАТИ цього контенту.

                                                                                                                                                  Клієнти програми Webex ховають свої ключі, тому перебої в роботі можуть бути непомітні, але з часом ставати очевидними. Хоча тимчасові перебої неможливо запобігти, вони можуть бути відновлені. Однак повна втрата (резервних копій відсутні) файлу бази даних або ISO конфігурації призведе до незворотних даних клієнтів. Очікується, що оператори вузлів гібридної безпеки даних підтримуватимуть часті резервні копії бази даних та файлу конфігурації ISO, а також будуть готові відновити центр обробки даних гібридної безпеки даних у разі виникнення катастрофічного відмови.

                                                                                                                                                  8

                                                                                                                                                  Переконайтеся, що конфігурація брандмауера дозволяє підключення для вузлів гібридної безпеки даних, як описано в розділі Вимоги до зовнішнього з’єднання.

                                                                                                                                                  9

                                                                                                                                                  Установіть Docker ( https://www.docker.com) на будь-якому локальному комп’ютері, який працює на підтримуваній ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядній версії або Mac OSX Yosemite 10.10.3 або новіша версія) із веббраузером, який може отримати доступ до нього на сторінці http://127.0.0.1:8080.

                                                                                                                                                  Екземпляр Docker використовується для завантаження та запуску інструменту налаштування HDS, який збирає інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Вашій організації може знадобитися ліцензія Docker Desktop. Додаткову інформацію див. в розділі Вимоги до робочого стола Docker .

                                                                                                                                                  Щоб установити й запустити інструмент налаштування HDS, локальний комп’ютер повинен мати параметр підключення, описаний у розділі Вимоги до зовнішнього підключення.

                                                                                                                                                  10

                                                                                                                                                  Під час інтеграції проксі з гібридною безпекою даних переконайтеся, що він відповідає вимогам до проксі-сервера.

                                                                                                                                                  11

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів, створіть групу в Active Directory під назвою HdsTrialGroup і додайте пілотних користувачів. Ознайомлювальна група може мати до 250 користувачів. Перш ніж ви зможете розпочати ознайомлювальний період для своєї організації, об’єкт HdsTrialGroup має бути синхронізовано з хмарою. Щоб синхронізувати об’єкт групи, виберіть його в меню Конфігурація > Вибір об’єктів Directory Connector. (Докладні інструкції див. в Посібнику з розгортання з’єднувача каталогів Cisco.)

                                                                                                                                                  Ключі для певного простору встановлюються його творцем. Під час вибору пілотних користувачів майте на увазі, що якщо ви вирішите назавжди деактивувати розгортання гібридної безпеки даних, усі користувачі втратять доступ до контенту в просторах, які були створені пілотними користувачами. Втрата стає очевидною, щойно програми користувачів оновлять кешовані копії контенту.

                                                                                                                                                  Налаштувати кластер гібридної безпеки даних

                                                                                                                                                  Процес розгортання гібридної безпеки даних

                                                                                                                                                  1

                                                                                                                                                  Виконати початкове налаштування та завантажити файли інсталяції

                                                                                                                                                  Завантажте файл OVA на локальний комп’ютер для подальшого використання.

                                                                                                                                                  2

                                                                                                                                                  Створити ISO конфігурації для хостів HDS

                                                                                                                                                  Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

                                                                                                                                                  3

                                                                                                                                                  Установити OVA організатора HDS

                                                                                                                                                  Створіть віртуальну машину з файлу OVA та виконайте початкову конфігурацію, наприклад налаштування мережі.

                                                                                                                                                  Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  4

                                                                                                                                                  Налаштувати VM гібридної безпеки даних

                                                                                                                                                  Увійдіть до консолі VM і встановіть облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо їх не було налаштовано на момент розгортання OVA.

                                                                                                                                                  5

                                                                                                                                                  Вивантажити та змонтувати ISO конфігурації HDS

                                                                                                                                                  Налаштуйте VM із файлу конфігурації ISO, який ви створили за допомогою інструменту налаштування HDS.

                                                                                                                                                  6

                                                                                                                                                  Налаштування вузла HDS для інтеграції проксі

                                                                                                                                                  Якщо мережеве середовище потребує конфігурації проксі, укажіть тип проксі, який буде використовуватися для вузла, а в разі потреби додайте проксі-сертифікат до сховища довірених сертифікатів.

                                                                                                                                                  7

                                                                                                                                                  Зареєструвати перший вузол у кластері.

                                                                                                                                                  Зареєструйте VM із хмарою Cisco Webex як вузол гібридної безпеки даних.

                                                                                                                                                  8

                                                                                                                                                  Створити й зареєструвати більше вузлів

                                                                                                                                                  Завершіть налаштування кластера.

                                                                                                                                                  9

                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до виробництва (наступний розділ)

                                                                                                                                                  Поки ви не почнете пробний період, ваші вузли згенеруватимуть попередження, що вказує на те, що ваша служба ще не активована.

                                                                                                                                                  Завантажити файли інсталяції

                                                                                                                                                  У цьому завданні ви завантажуєте файл OVA на комп’ютер (не на сервери, налаштовані як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.
                                                                                                                                                  1

                                                                                                                                                  Увійдіть у https://admin.webex.com й клацніть Служби.

                                                                                                                                                  2

                                                                                                                                                  У розділі «Гібридні служби» знайдіть картку гібридної безпеки даних, а потім клацніть Налаштувати.

                                                                                                                                                  Якщо картку вимкнено або ви її не бачите, зверніться до команди з облікових записів або партнерської організації. Надайте їм свій номер облікового запису та попросіть їх увімкнути гібридну безпеку даних у вашій організації. Щоб знайти номер облікового запису, клацніть передавач у правому верхньому куті, поруч з назвою організації.

                                                                                                                                                  OVA також можна в будь-який час завантажити з розділу Довідка на сторінці Налаштування . Щоб відкрити сторінку на картці гібридної безпеки даних, клацніть Змінити налаштування . Потім клацніть Завантажити програмне забезпечення гібридної безпеки даних у розділі Довідка .

                                                                                                                                                  Старіші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до виникнення проблем під час оновлення версії програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

                                                                                                                                                  3

                                                                                                                                                  Виберіть Ні , щоб вказати, що вузол ще не налаштовано, а потім клацніть Далі.

                                                                                                                                                  Файл OVA автоматично розпочне завантаження. Збережіть файл у розташуванні на комп’ютері.
                                                                                                                                                  4

                                                                                                                                                  Додатково клацніть Відкрити Посібник із розгортання , щоб перевірити, чи доступна пізніша версія цього посібника.

                                                                                                                                                  Створити ISO конфігурації для хостів HDS

                                                                                                                                                  Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Для процесу настроювання потрібні облікові дані облікового запису Центру керування з повними правами адміністратора вашої організації.

                                                                                                                                                    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

                                                                                                                                                    HTTPS проксі без автентифікації

                                                                                                                                                    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

                                                                                                                                                    HTTPS проксі з автентифікацією

                                                                                                                                                    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

                                                                                                                                                  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

                                                                                                                                                    • Облікові дані бази даних

                                                                                                                                                    • Оновлення сертифіката

                                                                                                                                                    • Зміни політики авторизації

                                                                                                                                                  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

                                                                                                                                                  1

                                                                                                                                                  У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

                                                                                                                                                  У звичайних середовищах:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/ hds- setup- fedramp: stable

                                                                                                                                                  Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

                                                                                                                                                  2

                                                                                                                                                  Щоб увійти до реєстру Docker-зображень, введіть наступне:

                                                                                                                                                  docker login - u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  На запиті пароля введіть цей хеш:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Завантажте останнє стабільне зображення для вашого середовища:

                                                                                                                                                  У звичайних середовищах:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  У середовищах FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds- setup- fedramp: stable
                                                                                                                                                  5

                                                                                                                                                  Після завершення витягування введіть відповідну команду для вашого середовища:

                                                                                                                                                  • У звичайних середовищах без проксі-сервера:

                                                                                                                                                    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable
                                                                                                                                                  • У звичайних середовищах з http проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У звичайних середовищах із проксі-сервером HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • У середовищах FedRAMP без проксі-сервера:

                                                                                                                                                    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable
                                                                                                                                                  • У середовищах FedRAMP з http проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable
                                                                                                                                                  • У середовищах FedRAMP з HTTPS-проксі:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

                                                                                                                                                  6

                                                                                                                                                  Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

                                                                                                                                                  Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і ввести ім’я користувача адміністратора клієнта для Control Hub у запиті.

                                                                                                                                                  Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

                                                                                                                                                  7

                                                                                                                                                  Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора клієнта Control Hub, а потім клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

                                                                                                                                                  8

                                                                                                                                                  На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

                                                                                                                                                  9

                                                                                                                                                  На сторінці Імпорт ISO ви маєте такі параметри:

                                                                                                                                                  • Ні. Якщо ви створюєте перший вузол HDS, у вас немає файлу ISO для передавання.
                                                                                                                                                  • Так. Якщо ви вже створили вузли HDS, виберіть у браузері файл ISO й передайте його.
                                                                                                                                                  10

                                                                                                                                                  Переконайтеся, що сертифікат X.509 відповідає вимогам Вимогам до сертифіката X.509.

                                                                                                                                                  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити.
                                                                                                                                                  • Якщо сертифікат OK, клацніть Продовжити.
                                                                                                                                                  • Якщо термін дії сертифіката завершився або ви хочете замінити його, виберіть Ні , щоб Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO?. Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити.
                                                                                                                                                  11

                                                                                                                                                  Введіть адресу бази даних та обліковий запис HDS, щоб отримати доступ до свого сервера ключових даних:

                                                                                                                                                  1. Виберіть тип бази даних (PostgreSQL або Microsoft SQL Server).

                                                                                                                                                    Якщо вибрати Microsoft SQL Server, буде отримано поле типу автентифікації.

                                                                                                                                                  2. (тільки Microsoft SQL Server ) Виберіть тип автентифікації:

                                                                                                                                                    • Базова автентифікація: Потрібне локальне ім’я облікового запису SQL Server у полі Ім’я користувача .

                                                                                                                                                    • Автентифікація Windows: Потрібен обліковий запис Windows у форматі username@DOMAIN у полі Ім’я користувача .

                                                                                                                                                  3. Введіть адресу сервера бази даних у формі : або :.

                                                                                                                                                    Приклад:
                                                                                                                                                    dbhost.example.org:1433 або 198.51.100.17:1433

                                                                                                                                                    Для базової автентифікації можна використовувати IP-адресу, якщо вузли не можуть використовувати DNS для вирішення імені хоста.

                                                                                                                                                    Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433

                                                                                                                                                  4. Введіть ім’я бази даних.

                                                                                                                                                  5. Введіть ім’я користувача й пароль користувача з усіма правами у базі даних сховища ключів.

                                                                                                                                                  12

                                                                                                                                                  Виберіть режим підключення до бази даних TLS:

                                                                                                                                                  Режим

                                                                                                                                                  Опис

                                                                                                                                                  Віддавати перевагу TLS (параметр за замовчуванням)

                                                                                                                                                  Вузли HDS не потребують TLS для з 'єднання з сервером бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли спробують зашифроване з’єднання.

                                                                                                                                                  Вимагати TLS

                                                                                                                                                  Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

                                                                                                                                                  Вимагати TLS і перевірити підписувача сертифіката

                                                                                                                                                  Цей режим не застосовується до баз даних SQL Server.

                                                                                                                                                  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

                                                                                                                                                  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

                                                                                                                                                  Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

                                                                                                                                                  Вимагати TLS і перевірити особу, яка підписала сертифікат, і назву вузла

                                                                                                                                                  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

                                                                                                                                                  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

                                                                                                                                                  • Вузли також перевіряють, чи ім’я хоста в сертифікаті сервера збігається з ім’ям хоста в полі Хост бази даних і порт . Імена повинні точно збігатися, або вузол скасує з 'єднання.

                                                                                                                                                  Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

                                                                                                                                                  Коли передано кореневий сертифікат (за потреби) і клацніть Продовжити, інструмент налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє особу, яка підписала сертифікат, і назву вузла, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності здатності до з’єднання вузли HDS зможуть встановити підключення TLS, навіть якщо машина інструмента налаштування HDS не може його успішно перевірити.)

                                                                                                                                                  13

                                                                                                                                                  На сторінці системних журналів налаштуйте сервер Syslogd:

                                                                                                                                                  1. Введіть URL-адресу сервера syslog.

                                                                                                                                                    Якщо сервер DNS-розв’язний із вузлів для кластера HDS, використайте IP-адресу в URL.

                                                                                                                                                    Приклад:
                                                                                                                                                    udp://10.92.43.23:514 вказує на вхід до хоста Syslogd 10.92.43.23 на порту UDP 514.
                                                                                                                                                  2. Якщо ви налаштували сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер syslog для шифрування SSL?.

                                                                                                                                                    Якщо встановити цей прапорець, обов’язково введіть URL-адресу TCP, наприклад tcp://10.92.43.23:514.

                                                                                                                                                  3. У розкривному списку Вибрати завершення запису syslog виберіть відповідні налаштування для вашого файлу ISO: Виберіть або використовується нова лінія для Graylog і Rsyslog TCP

                                                                                                                                                    • Нульовий байт --\ x00

                                                                                                                                                    • Новий рядок -- \n- Виберіть цей вибір для Graylog і Rsyslog TCP.

                                                                                                                                                  4. Клацніть Продовжити.

                                                                                                                                                  14

                                                                                                                                                  (Необов’язково) Ви можете змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Додаткові налаштування. Загалом, цей параметр є єдиним, який ви можете змінити:

                                                                                                                                                  app_datasource_connection_pool_maxРозмір: 10
                                                                                                                                                  15

                                                                                                                                                  Клацніть Продовжити на екрані Скинути пароль облікових записів служби .

                                                                                                                                                  Паролі облікового запису служби тривають дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів добігає кінця, або ви хочете скинути їх, щоб скасувати попередні файли ISO.

                                                                                                                                                  16

                                                                                                                                                  Клацніть Завантажити файл ISO. Збережіть файл у зручному для пошуку розташуванні.

                                                                                                                                                  17

                                                                                                                                                  Зробіть резервну копію файлу ISO у локальній системі.

                                                                                                                                                  Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

                                                                                                                                                  18

                                                                                                                                                  Щоб закрити інструмент налаштування, введіть CTRL+C.

                                                                                                                                                  Що далі

                                                                                                                                                  Створіть файл ISO конфігурації. Він потрібен для створення більше вузлів для відновлення або для внесення змін до конфігурації. Якщо ви втратите всі копії файлу ISO, ви також втратили основний ключ. Неможливо відновити ключі з бази даних PostgreSQL або Microsoft SQL Server.

                                                                                                                                                  У нас ніколи не буде копії цього ключа, і ми не зможемо допомогти, якщо ви його втратите.

                                                                                                                                                  Установити OVA організатора HDS

                                                                                                                                                  Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
                                                                                                                                                  1

                                                                                                                                                  Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi.

                                                                                                                                                  2

                                                                                                                                                  Виберіть Файл > Розгорнути шаблон OVF.

                                                                                                                                                  3

                                                                                                                                                  У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі.

                                                                                                                                                  4

                                                                                                                                                  На сторінці Вибрати ім’я та папку введіть Ім’я віртуальної машини для вузла (наприклад, "HDS_Node_1"), виберіть розташування, де може розміщуватися розгортання вузла віртуальної машини, а потім клацніть Далі.

                                                                                                                                                  5

                                                                                                                                                  На сторінці Вибрати обчислювальний ресурс , виберіть обчислювальний ресурс призначення, а потім клацніть Далі.

                                                                                                                                                  Виконується перевірка перевірки. Після його завершення деталі шаблону з’являться.

                                                                                                                                                  6

                                                                                                                                                  Перевірте відомості про шаблон, а потім клацніть Далі.

                                                                                                                                                  7

                                                                                                                                                  Якщо вас попросять вибрати конфігурацію ресурсу на сторінці Конфігурація , клацніть 4 ЦП , а потім клацніть Далі.

                                                                                                                                                  8

                                                                                                                                                  На сторінці Вибрати сховище клацніть Далі , щоб прийняти формат диска за замовчуванням і політику зберігання VM.

                                                                                                                                                  9

                                                                                                                                                  На сторінці Вибрати мережі виберіть параметр мережі зі списку записів, щоб забезпечити потрібне підключення до VM.

                                                                                                                                                  10

                                                                                                                                                  На сторінці Налаштувати шаблон налаштуйте такі налаштування мережі.

                                                                                                                                                  • Ім’я хоста—Введіть повне доменне ім’я (ім’я хоста та домен) або ім’я хоста з одним словом для вузла.
                                                                                                                                                    • Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

                                                                                                                                                    • Щоб забезпечити успішну реєстрацію в хмару, використовуйте лише малі символи в повному домені або імені хоста, налаштованому для вузла. Капіталізація наразі не підтримується.

                                                                                                                                                    • Загальна довжина повного домену не повинна перевищувати 64 символи.

                                                                                                                                                  • IP-адреса— введіть IP-адресу для внутрішнього інтерфейсу вузла.

                                                                                                                                                    Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

                                                                                                                                                  • Маска—Введіть адресу маски підмережі в крапку з комою. Наприклад, 255.255.255.0.
                                                                                                                                                  • Шлюз—Введіть IP-адресу шлюзу. Шлюз – це мережевий вузол, який служить точкою доступу до іншої мережі.
                                                                                                                                                  • Сервери DNS — введіть список, розділений комами, список DNS-серверів, який обробляє перетворення доменних імен на числові IP-адреси. (Дозволено до 4 записів DNS.)
                                                                                                                                                  • Сервери NTP—Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Також можна використовувати список розділених комами, щоб ввести кілька серверів NTP.
                                                                                                                                                  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними від клієнтів у вашій мережі для адміністративних цілей.

                                                                                                                                                  За бажанням можна пропустити конфігурацію налаштування мережі та виконати кроки в розділі Налаштування VM гібридної безпеки даних , щоб налаштувати параметри з консолі вузла.

                                                                                                                                                  Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

                                                                                                                                                  11

                                                                                                                                                  Клацніть правою кнопкою миші вузол VM, а потім виберіть Power > Power On.

                                                                                                                                                  Програмне забезпечення гібридної безпеки даних встановлюється як гість на хост VM. Тепер ви готові увійти до консолі й налаштувати вузол.

                                                                                                                                                  Поради щодо усунення несправностей

                                                                                                                                                  Перед появою контейнерів вузла може знадобитися затримка в кілька хвилин. Під час першого завантаження на консолі з’являється повідомлення брандмауера мосту, під час якого ви не можете ввійти.

                                                                                                                                                  Налаштувати VM гібридної безпеки даних

                                                                                                                                                  Використовуйте цю процедуру, щоб вперше увійти на консоль вузла гібридної безпеки даних VM і встановити облікові дані для входу. Крім того, можна використовувати консоль для налаштування мережевих параметрів для вузла, якщо їх не було налаштовано під час розгортання OVA.

                                                                                                                                                  1

                                                                                                                                                  У клієнті VMware vSphere виберіть вузол гібридної безпеки даних VM і перейдіть на вкладку Консоль .

                                                                                                                                                  VM завантажується, і з’явиться підказка для входу. Якщо вікно підказки не відображається, натисніть Enter.
                                                                                                                                                  2

                                                                                                                                                  Щоб увійти й змінити облікові дані, використовуйте наведені нижче дані для входу та пароля за замовчуванням:

                                                                                                                                                  1. Вхід: адміністратор

                                                                                                                                                  2. Пароль: Cisco

                                                                                                                                                  Оскільки ви вперше входите в VM, вам потрібно змінити пароль адміністратора.

                                                                                                                                                  3

                                                                                                                                                  Якщо ви вже налаштували налаштування мережі в Установити OVA хоста HDS, пропустіть решту цієї процедури. В іншому разі в головному меню виберіть параметр Змінити конфігурацію .

                                                                                                                                                  4

                                                                                                                                                  Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

                                                                                                                                                  5

                                                                                                                                                  (Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно відповідно до політики мережі.

                                                                                                                                                  Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

                                                                                                                                                  6

                                                                                                                                                  Збережіть конфігурацію мережі та перезавантажте VM, щоб зміни набули сили.

                                                                                                                                                  Вивантажити та змонтувати ISO конфігурації HDS

                                                                                                                                                  Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою інструмента налаштування HDS.

                                                                                                                                                  Перед початком

                                                                                                                                                  Оскільки файл ISO має основний ключ, він повинен бути розкритий лише на основі "потрібно знати" для доступу VM гібридної безпеки даних і будь-яких адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

                                                                                                                                                  1

                                                                                                                                                  Передайте файл ISO зі свого комп’ютера:

                                                                                                                                                  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

                                                                                                                                                  2. На вкладці Конфігурація Список обладнання клацніть Сховище.

                                                                                                                                                  3. У списку Datastors клацніть правою кнопкою миші на станції даних для ваших VM і клацніть Browse Datastore.

                                                                                                                                                  4. Клацніть значок «Передати файли», а потім Передати файл.

                                                                                                                                                  5. Перейдіть до розташування, де ви завантажили файл ISO на свій комп’ютер, і клацніть Відкрити.

                                                                                                                                                  6. Клацніть Так , щоб прийняти попередження операції передавання/завантаження, і закрийте діалогове вікно сховища даних.

                                                                                                                                                  2

                                                                                                                                                  Змонтувати файл ISO:

                                                                                                                                                  1. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

                                                                                                                                                  2. Клацніть ОК , щоб прийняти попередження про обмежені параметри редагування.

                                                                                                                                                  3. Клацніть Диск CD/DVD 1, виберіть параметр для змонтування з файлу ISO зі сховища даних і перейдіть до розташування, де передано файл ISO конфігурації.

                                                                                                                                                  4. Перевірте Підключено та Підключитися при увімкненні живлення.

                                                                                                                                                  5. Збережіть зміни та перезавантажте віртуальну машину.

                                                                                                                                                  Що далі

                                                                                                                                                  Якщо потрібна ваша політика ІТ, ви можете додатково демонтувати файл ISO після того, як усі вузли дослухаються змін конфігурації. Див. (Необов’язково) Демонтування ISO після конфігурації HDS , щоб отримати додаткові відомості.

                                                                                                                                                  Налаштування вузла HDS для інтеграції проксі

                                                                                                                                                  Якщо для мережного середовища потрібен проксі-сервер, скористайтеся цією процедурою, щоб указати тип проксі-сервера, який потрібно інтегрувати з hybrid Data Security. Якщо ви виберете прозорий проксі-сервер перевірки або явний проксі-сервер HTTPS, ви можете використовувати інтерфейс вузла для завантаження та встановлення кореневого сертифіката. Ви також можете перевірити проксі-з'єднання з інтерфейсу та усунути будь-які потенційні проблеми.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  1

                                                                                                                                                  Введіть URL-адресу для настроювання вузла HDS https://[IP-адреса вузла HDS або FQDN]/setup у веб-браузері, введіть облікові дані адміністратора, які ви налаштували для вузла, а потім натисніть кнопку Увійти.

                                                                                                                                                  2

                                                                                                                                                  Перейдіть до Надійного магазину та проксі-сервера, а потім виберіть параметр:

                                                                                                                                                  • Немає проксі— параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібне.
                                                                                                                                                  • Прозорий неінспекційний проксі—вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін для роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.
                                                                                                                                                  • Прозорий проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних не потрібні зміни конфігурації HTTPS, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі-серверу. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
                                                                                                                                                  • Явний проксі — за допомогою явного проксі-сервера клієнту (вузли HDS) можна вказати, який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести такі відомості:
                                                                                                                                                    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

                                                                                                                                                    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

                                                                                                                                                    3. Проксі-протокол — виберіть http (переглядає та контролює всі запити, отримані від клієнта) або https (надає канал на сервер, клієнт отримує та перевіряє сертифікат сервера). Виберіть варіант, виходячи з того, що підтримує ваш проксі-сервер.

                                                                                                                                                    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

                                                                                                                                                      • Немає— подальша автентифікація не потрібна.

                                                                                                                                                        Доступно для проксі HTTP або HTTPS.

                                                                                                                                                      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

                                                                                                                                                        Доступно для проксі HTTP або HTTPS.

                                                                                                                                                        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

                                                                                                                                                      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

                                                                                                                                                        Доступно лише для проксі HTTPS.

                                                                                                                                                        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

                                                                                                                                                  Виконайте наступні кроки для прозорої перевірки проксі-сервера, явного HTTP-проксі з базовою автентифікацією або явного проксі-сервера HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Клацніть « Завантажити кореневий сертифікат» або «Завершити сертифікатсутності», а потім перейдіть до вибору кореневого сертифіката для проксі-сервера.

                                                                                                                                                  Сертифікат завантажено, але ще не інстальовано, оскільки для встановлення сертифіката потрібно перезавантажити вузол. Клацніть стрілку шеврона біля імені емітента сертифіката, щоб отримати докладніші відомості, або натисніть кнопку Видалити , якщо ви припустилися помилки та хочете повторно завантажити файл.

                                                                                                                                                  4

                                                                                                                                                  Натисніть кнопку Перевірити підключення до проксі, щоб перевірити підключення до мережі між вузлом і проксі-сервером.

                                                                                                                                                  Якщо тест підключення не пройшов, ви побачите повідомлення про помилку, у якому вказано причину та способи усунення проблеми.

                                                                                                                                                  Якщо ви бачите повідомлення про те, що зовнішня роздільна здатність DNS не була успішною, вузол не зміг дістатися до DNS-сервера. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол буде працювати в режимі роздільної здатності заблокованих зовнішніх DNS. Якщо ви вважаєте, що це помилка, виконайте наведені дії, а потім перегляньте Вимкнути режим роздільної здатності заблокованих зовнішніх DNS.

                                                                                                                                                  5

                                                                                                                                                  Після того, як тест з'єднання пройде, для явного проксі-сервера, встановленого лише на https, увімкніть перемикач до Маршрутизація всіх запитів порту 443/444 https з цього вузла через явний проксі. Для набрання чинності цим параметром потрібно 15 секунд.

                                                                                                                                                  6

                                                                                                                                                  Натисніть кнопку Інсталювати всі сертифікати в надійний магазин (відображається для проксі-сервера HTTPS відвертої перевірки або прозорого проксі-сервера для перевірки) або Перезавантажити (відображається для явного проксі-сервера HTTP), прочитайте запит і натисніть кнопку Інсталювати , якщо все готово.

                                                                                                                                                  Вузол перезавантажується протягом декількох хвилин.

                                                                                                                                                  7

                                                                                                                                                  Після перезавантаження вузла увійдіть знову, якщо потрібно, а потім відкрийте сторінку Огляду , щоб перевірити перевірки підключення, щоб переконатися, що всі вони в зеленому стані.

                                                                                                                                                  Перевірка проксі-з'єднання лише тестує субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі хмарні домени, перелічені в інструкціях з інсталяції, блокуються на проксі-сервері.

                                                                                                                                                  Зареєструвати перший вузол у кластері.

                                                                                                                                                  Для цього завдання потрібен універсальний вузол, який ви створили в Налаштування VM гібридної безпеки даних, реєструє вузол із хмарою Webex і перетворює його в вузол гібридної безпеки даних.

                                                                                                                                                  Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначений вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

                                                                                                                                                  Перед початком

                                                                                                                                                  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

                                                                                                                                                  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Увійдіть у https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  У меню ліворуч від екрана виберіть Служби.

                                                                                                                                                  3

                                                                                                                                                  У розділі Гібридні служби знайдіть Гібридна безпека даних і клацніть Налаштувати.

                                                                                                                                                  З’явиться сторінка вузла гібридної безпеки даних реєстру.
                                                                                                                                                  4

                                                                                                                                                  Виберіть Так , щоб зазначити, що вузол налаштовано й готові його зареєструвати, а потім клацніть Далі.

                                                                                                                                                  5

                                                                                                                                                  У першому полі введіть ім’я кластера, якому ви хочете призначити ваш вузол гібридної безпеки даних.

                                                                                                                                                  Рекомендовано назвати кластер залежно від місця географічного розташування вузлів кластера. Приклади: "Сан-Франциско" або "Нью-Йорк" або "Даллас"

                                                                                                                                                  6

                                                                                                                                                  У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та натисніть Далі.

                                                                                                                                                  Ця IP-адреса або повне доменне ім’я хоста й домен, які використовувалися в Налаштуванні VM гібридної безпеки даних.

                                                                                                                                                  З’явиться повідомлення, що вказує на те, що можна зареєструвати свій вузол у Webex.
                                                                                                                                                  7

                                                                                                                                                  Клацніть Перейти до вузла.

                                                                                                                                                  8

                                                                                                                                                  Клацніть Продовжити в попереджувальному повідомленні.

                                                                                                                                                  Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації Webex дозволи на доступ до вашого вузла.
                                                                                                                                                  9

                                                                                                                                                  Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

                                                                                                                                                  Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.
                                                                                                                                                  10

                                                                                                                                                  Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних Control Hub.

                                                                                                                                                  На сторінці Гібридна безпека даних буде відображено новий кластер, що містить зареєстрований вами вузол. Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

                                                                                                                                                  Створити й зареєструвати більше вузлів

                                                                                                                                                  Щоб додати додаткові вузли до кластера, просто створіть додаткові VM і змонтуйте той самий файл ISO конфігурації, а потім зареєструйте вузол. Рекомендовано мати принаймні 3 вузли.

                                                                                                                                                  Зараз резервні VM, які ви створили в розділі Виконати обов’язкові умови для гібридної безпеки даних , є хостами у режимі очікування, які використовуються лише в разі відновлення після відмови. До цього часу їх не зареєстровано в системі. Додаткову інформацію див. в розділі Відновлення після відмови з використанням центру обробки даних в режимі очікування.

                                                                                                                                                  Перед початком

                                                                                                                                                  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

                                                                                                                                                  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Створіть нову віртуальну машину з OVA, повторюючи кроки в Установити OVA організатора HDS.

                                                                                                                                                  2

                                                                                                                                                  Налаштуйте початкову конфігурацію на новому VM, повторюючи кроки в Налаштуванні VM гібридної безпеки даних.

                                                                                                                                                  3

                                                                                                                                                  У новому VM повторіть кроки в Передати та змонтувати ISO конфігурації HDS.

                                                                                                                                                  4

                                                                                                                                                  Якщо ви налаштовуєте проксі для розгортання, повторіть кроки в Налаштуйте вузол HDS для інтеграції проксі , як це необхідно для нового вузла.

                                                                                                                                                  5

                                                                                                                                                  Зареєструйте вузол.

                                                                                                                                                  1. У https://admin.webex.com виберіть Служби в меню ліворуч від екрана.

                                                                                                                                                  2. У розділі Гібридні служби знайдіть картку гібридної безпеки даних і клацніть Ресурси.

                                                                                                                                                    З’явиться сторінка ресурсів гібридної безпеки даних.
                                                                                                                                                  3. Клацніть Додати ресурси.

                                                                                                                                                  4. У першому полі виберіть ім’я наявного кластера.

                                                                                                                                                  5. У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та натисніть Далі.

                                                                                                                                                    З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у хмарі Webex.
                                                                                                                                                  6. Клацніть Перейти до вузла.

                                                                                                                                                    Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації дозволи на доступ до вашого вузла.
                                                                                                                                                  7. Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

                                                                                                                                                    Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.
                                                                                                                                                  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних Control Hub.

                                                                                                                                                  Ваш вузол зареєстровано. Зверніть увагу, що до початку ознайомлювального періоду ваші вузли згенеруватимуть попередження, що вказує на те, що ваша служба ще не активована.

                                                                                                                                                  Що далі

                                                                                                                                                  Запустіть ознайомлювальну версію та перейдіть до виробництва (наступний розділ)

                                                                                                                                                  Запустити ознайомлювальну версію та перейти до виробництва

                                                                                                                                                  Ознайомлювальна версія процесу виконання виробничих завдань

                                                                                                                                                  Після налаштування кластера гібридної безпеки даних можна запустити пілотний проект, додати до нього користувачів і почати використовувати його для тестування та перевірки розгортання під час підготовки до переходу до продукту.

                                                                                                                                                  1

                                                                                                                                                  Якщо застосовується, синхронізуйте об’єкт групи HdsTrialGroup .

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів для користувачів, ви повинні вибрати об’єкт групи HdsTrialGroup для синхронізації з хмарою, перш ніж ви зможете розпочати ознайомлювальний період. Інструкції див. в Посібнику з розгортання для з’єднувача каталогів Cisco.

                                                                                                                                                  2

                                                                                                                                                  Активувати ознайомлювальну версію

                                                                                                                                                  Почніть ознайомлювальну версію. Поки ви не виконаєте це завдання, ваші вузли згенерують попередження, що вказує на те, що службу ще не активовано.

                                                                                                                                                  3

                                                                                                                                                  Перевірити розгортання гібридної безпеки даних

                                                                                                                                                  Переконайтеся, що запити клавіш передаються у розгортання гібридної безпеки даних.

                                                                                                                                                  4

                                                                                                                                                  Моніторинг гібридної безпеки даних

                                                                                                                                                  Перевірте стан і налаштуйте сповіщення електронною поштою для нагадувань.

                                                                                                                                                  5

                                                                                                                                                  Додайте або видаліть користувачів зі своєї пробної версії

                                                                                                                                                  6

                                                                                                                                                  Завершіть етап пробного використання однією з таких дій:

                                                                                                                                                  Активувати ознайомлювальну версію

                                                                                                                                                  Перед початком

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів для користувачів, ви повинні вибрати об’єкт групи HdsTrialGroup для синхронізації з хмарою, перш ніж ви зможете розпочати ознайомлювальний період для своєї організації. Інструкції див. в Посібнику з розгортання для з’єднувача каталогів Cisco.

                                                                                                                                                  1

                                                                                                                                                  Увійдіть у https://admin.webex.com й виберіть Служби.

                                                                                                                                                  2

                                                                                                                                                  У розділі «Безпека гібридних даних» клацніть Налаштування.

                                                                                                                                                  3

                                                                                                                                                  У розділі «Стан служби» клацніть Розпочати ознайомлювальну версію.

                                                                                                                                                  Стан служби змінено на ознайомлювальну версію.
                                                                                                                                                  4

                                                                                                                                                  Клацніть Додати користувачів і введіть адресу електронної пошти одного або кількох користувачів, щоб пілотувати використання вузлів гібридної безпеки даних для шифрування та індексування.

                                                                                                                                                  (Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory, щоб керувати ознайомлювальною групою, HdsTrialGroup.)

                                                                                                                                                  Перевірити розгортання гібридної безпеки даних

                                                                                                                                                  Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних.

                                                                                                                                                  Перед початком

                                                                                                                                                  • Налаштуйте розгортання гібридної безпеки даних.

                                                                                                                                                  • Активуйте ознайомлювальну версію та додайте декілька користувачів ознайомлювальної версії.

                                                                                                                                                  • Упевніться, що у вас є доступ до системного журналу, щоб переконатися, що запити ключів передаються до розгортання гібридної безпеки даних.

                                                                                                                                                  1

                                                                                                                                                  Ключі для певного простору встановлюються його творцем. Увійдіть в програму Webex як один із пілотних користувачів, а потім створіть простір і запросіть принаймні одного пілотного й одного не пілотного користувача.

                                                                                                                                                  Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюють пілотні користувачі, більше не буде доступний після заміни кешованих клієнтом копій ключів шифрування.

                                                                                                                                                  2

                                                                                                                                                  Надішліть повідомлення до нового простору.

                                                                                                                                                  3

                                                                                                                                                  Перевірте вивід syslog, щоб переконатися, що запити ключів передаються розгортанню гібридної безпеки даних.

                                                                                                                                                  1. Щоб перевірити, чи користувач спочатку встановив безпечний канал для KMS, виконайте фільтрування на kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Ви повинні знайти запис, наприклад такий (ідентифікатори скорочено для зручності читання):
                                                                                                                                                    21 липня 2020 р. 17:35:34.562 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: // hds2. org5. portun. us/ statickeys/ 3[~]0 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2. org5. portun. us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data. uri=kms://hds2. org5. portun. us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Щоб перевірити, чи користувач запитує наявний ключ із KMS, виконайте фільтрування у розділі kms.data.method=retrieve і kms.data.type=KEY:

                                                                                                                                                    Необхідно знайти запис, наприклад:
                                                                                                                                                    21 липня 2020 р. 17:44:19.889 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-31] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms. data. method=retrieve, kms. merc.id=c[~]7, kms. merc.sync=false, kms. data. uriHost=ciscospark. com, kms. data. type=KEY, kms. data. requestId=9[~]3, kms. data. uri=kms://ciscospark. com/keys/ d[~]2, kms. data. userId=1[~]b
                                                                                                                                                  3. Щоб перевірити, чи користувач запитує створення нового ключа KMS, виконайте фільтрування у розділі kms.data.method=create і kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Необхідно знайти запис, наприклад:
                                                                                                                                                    21 липня 2020 р. 17:44:21.975 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-33] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data. uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Щоб перевірити, чи користувача, який запитує створення нового ресурсного об’єкта KMS (KRO) під час створення простору або іншого захищеного ресурсу, виконайте фільтрування у розділі kms.data.method=create та kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Необхідно знайти запис, наприклад:
                                                                                                                                                    21 липня 2020 р. 17:44:22.808 (+0000) ІНФОРМАЦІЯ KMS [pool-15-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Моніторинг гібридної безпеки даних

                                                                                                                                                  Індикатор стану в Control Hub показує, чи все гаразд із розгортанням гібридної безпеки даних. Щоб підвищити активність оповіщень, зареєструйтеся в сповіщеннях електронною поштою. Ви отримаєте сповіщення, якщо з’являться попередження, які впливають на службу, або оновлення версії програмного забезпечення.
                                                                                                                                                  1

                                                                                                                                                  У Control Hub виберіть Служби в меню ліворуч від екрана.

                                                                                                                                                  2

                                                                                                                                                  У розділі Гібридні служби знайдіть Гібридна безпека даних і клацніть Налаштування.

                                                                                                                                                  З’явиться сторінка параметрів гібридної безпеки даних.
                                                                                                                                                  3

                                                                                                                                                  У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділених комами, і натисніть Enter.

                                                                                                                                                  Додайте або видаліть користувачів зі своєї пробної версії

                                                                                                                                                  Після активації ознайомлювальної версії й додавання початкового набору користувачів ознайомлювальної версії можна додати або видалити учасників ознайомлювальної версії в будь-який час, поки ознайомлювальна версія активна.

                                                                                                                                                  Якщо видалити користувача з ознайомлювальної версії, клієнт користувача запитає ключі та створення ключів з хмари KMS замість вашого KMS. Якщо клієнту потрібен ключ, який зберігається у вашому KMS, хмарна служба KMS отримає його від імені користувача.

                                                                                                                                                  Якщо ваша організація використовує синхронізацію каталогів, скористайтеся Active Directory (замість цієї процедури), щоб керувати ознайомлювальною групою (HdsTrialGroup). Ви можете переглядати учасників групи в Control Hub, але не можете додавати або видаляти їх.

                                                                                                                                                  1

                                                                                                                                                  Увійдіть до Control Hub і виберіть Служби.

                                                                                                                                                  2

                                                                                                                                                  У розділі «Безпека гібридних даних» клацніть Налаштування.

                                                                                                                                                  3

                                                                                                                                                  У розділі «Режим ознайомлювальної версії» області стану служби клацніть Додати користувачів або Переглянути й змінити , щоб видалити користувачів із ознайомлювальної версії.

                                                                                                                                                  4

                                                                                                                                                  Введіть адресу електронної пошти одного або кількох користувачів, щоб додати, або клацніть X біля ідентифікатора користувача, щоб видалити користувача з ознайомлювальної версії. Потім натисніть кнопку Зберегти.

                                                                                                                                                  Перейти з пробної версії до виробництва

                                                                                                                                                  Коли ви будете задоволені тим, що ваше розгортання добре працює для користувачів ознайомлювальної версії, ви зможете перейти до продукту. Коли ви перейдете до виробництва, усі користувачі в організації використовуватимуть ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Ви не можете повернутися до ознайомлювальної версії з виробництва, доки не деактивуєте службу в рамках відновлення після відмови. Для повторної активації служби потрібно налаштувати нову ознайомлювальну версію.
                                                                                                                                                  1

                                                                                                                                                  Увійдіть до Control Hub і виберіть Служби.

                                                                                                                                                  2

                                                                                                                                                  У розділі «Безпека гібридних даних» клацніть Налаштування.

                                                                                                                                                  3

                                                                                                                                                  "У розділі ""Стан служби"" клацніть Перейти до виробництва."

                                                                                                                                                  4

                                                                                                                                                  Підтвердьте, що хочете перемістити всіх своїх користувачів до продукту.

                                                                                                                                                  Завершити ознайомлювальну версію, не переходячи до виробництва

                                                                                                                                                  Якщо під час ознайомлювальної версії ви вирішите не продовжувати розгортання гібридної безпеки даних, ви можете деактивувати службу гібридної безпеки даних, яка завершить ознайомлювальну версію та поверне користувачів ознайомлювальної версії до служб безпеки даних у хмарі. Користувачі ознайомлювальної версії втратять доступ до даних, які були зашифровані під час ознайомлювальної версії.
                                                                                                                                                  1

                                                                                                                                                  Увійдіть до Control Hub і виберіть Служби.

                                                                                                                                                  2

                                                                                                                                                  У розділі «Безпека гібридних даних» клацніть Налаштування.

                                                                                                                                                  3

                                                                                                                                                  У розділі «Деактивувати» клацніть Деактивувати.

                                                                                                                                                  4

                                                                                                                                                  Підтвердьте, що хочете деактивувати службу й завершити ознайомлювальний період.

                                                                                                                                                  Керування розгортанням HDS

                                                                                                                                                  Керування розгортанням HDS

                                                                                                                                                  Для керування розгортанням гібридної безпеки даних використовуйте завдання, описані тут.

                                                                                                                                                  Установити розклад оновлення кластера.

                                                                                                                                                  Оновлення версії програмного забезпечення для гібридної безпеки даних здійснюється автоматично на рівні кластера, завдяки чому всі вузли завжди працюють одну й ту саму версію програмного забезпечення. Оновлення версії здійснюється відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стане доступним, у вас є можливість вручну оновити версію до запланованого часу оновлення версії. Можна встановити конкретний розклад оновлення версії або використовувати розклад за замовчуванням, який становить 3:00 ранку щоденно у США: Америка/Лос-Анджелес. Ви також можете за потреби відкласти майбутні оновлення версії.

                                                                                                                                                  Щоб налаштувати розклад оновлення версії, виконайте наведені нижче дії.

                                                                                                                                                  1

                                                                                                                                                  Увійдіть до Центру керування.

                                                                                                                                                  2

                                                                                                                                                  На сторінці Огляд у розділі Гібридні служби виберіть Гібридна безпека даних.

                                                                                                                                                  3

                                                                                                                                                  На сторінці ресурсів гібридної безпеки даних виберіть кластер.

                                                                                                                                                  4

                                                                                                                                                  "На панелі ""Огляд"" праворуч у розділі ""Налаштування кластера"" виберіть ім’я кластера."

                                                                                                                                                  5

                                                                                                                                                  На сторінці налаштувань у розділі Оновлення версії виберіть час і часовий пояс для розкладу оновлення версії.

                                                                                                                                                  Примітки У часовому поясі відображено наступну дату й час оновлення версії. Можна відкласти оновлення на наступний день, якщо потрібно, клацнувши Відкласти.

                                                                                                                                                  Змінити конфігурацію вузла

                                                                                                                                                  Іноді вам може знадобитися змінити конфігурацію вузла гібридної безпеки даних з такої причини, як:
                                                                                                                                                  • Зміна сертифікатів x.509 через закінчення терміну дії або інші причини.

                                                                                                                                                    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовується для реєстрації кластера.

                                                                                                                                                  • Оновлення параметрів бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

                                                                                                                                                    Ми не підтримуємо перенесення даних з PostgreSQL до Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, розпочніть нове розгортання гібридної системи захисту даних.

                                                                                                                                                  • Створення нової конфігурації для підготовки нового центру обробки даних.

                                                                                                                                                  Крім того, з метою безпеки Hybrid Data Security використовує паролі службових облікових записів, термін дії яких становить дев'ять місяців. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з ваших вузлів HDS у файлі конфігурації ISO. Коли паролі вашої організації наближаються до закінчення терміну дії, ви отримуєте повідомлення від команди Webex про скидання пароля для облікового запису вашого комп'ютера. (Електронний лист містить текст "Використовуйте API облікового запису машини, щоб оновити пароль.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

                                                                                                                                                  • Програмне скидання— старі й нові паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

                                                                                                                                                  • Жорстке скидання— старі паролі негайно припиняють працювати.

                                                                                                                                                  Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

                                                                                                                                                  Використовуйте цю процедуру, щоб створити новий файл конфігурації ISO і застосувати його до вашого кластера.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Для процесу настроювання потрібні облікові дані облікового запису Центру керування з повними правами адміністратора вашої організації.

                                                                                                                                                    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker у 1.e. У цій таблиці наведено деякі можливі змінні середовища:

                                                                                                                                                    Опис

                                                                                                                                                    Змінна

                                                                                                                                                    HTTP-проксі без автентифікації

                                                                                                                                                    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

                                                                                                                                                    HTTPS проксі без автентифікації

                                                                                                                                                    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

                                                                                                                                                    HTTP-проксі з автентифікацією

                                                                                                                                                    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

                                                                                                                                                    HTTPS проксі з автентифікацією

                                                                                                                                                    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

                                                                                                                                                  • Щоб створити нову конфігурацію, вам потрібна копія поточного файла конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. ISO потрібен під час внесення змін у конфігурацію, включаючи облікові дані бази даних, оновлення сертифікатів або зміни в політиці авторизації.

                                                                                                                                                  1

                                                                                                                                                  Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

                                                                                                                                                  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

                                                                                                                                                    У звичайних середовищах:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/ hds- setup- fedramp: stable

                                                                                                                                                    Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

                                                                                                                                                  2. Щоб увійти до реєстру Docker-зображень, введіть наступне:

                                                                                                                                                    docker login - u hdscustomersro
                                                                                                                                                  3. На запиті пароля введіть цей хеш:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Завантажте останнє стабільне зображення для вашого середовища:

                                                                                                                                                    У звичайних середовищах:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    У середовищах FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds- setup- fedramp: stable

                                                                                                                                                    Обов 'язково потягніть найновіший інструмент налаштування для цієї процедури. Версії інструмента, створені до 22 лютого 2018 року, не мають екранів скидання пароля.

                                                                                                                                                  5. Після завершення витягування введіть відповідну команду для вашого середовища:

                                                                                                                                                    • У звичайних середовищах без проксі-сервера:

                                                                                                                                                      docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable
                                                                                                                                                    • У звичайних середовищах з http проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У звичайних середовищах з HTTPS-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • У середовищах FedRAMP без проксі-сервера:

                                                                                                                                                      docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable
                                                                                                                                                    • У середовищах FedRAMP з http проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable
                                                                                                                                                    • У середовищах FedRAMP з HTTPS-проксі:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Коли контейнер запущений, ви бачите "Експрес-прослуховування сервера на порту 8080".

                                                                                                                                                  6. Використовуйте браузер для підключення до localhost, http://127.0.0.1:8080.

                                                                                                                                                    Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

                                                                                                                                                  7. Коли з’явиться відповідний запит, введіть облікові дані для входу клієнта Control Hub, а потім клацніть Прийняти , щоб продовжити.

                                                                                                                                                  8. Імпортувати поточний файл конфігурації ISO.

                                                                                                                                                  9. Дотримуйтеся вказівок, щоб завершити роботу інструменту та завантажити оновлений файл.

                                                                                                                                                    Щоб закрити інструмент налаштування, введіть CTRL+C.

                                                                                                                                                  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

                                                                                                                                                  2

                                                                                                                                                  Якщо у вас працює лише один вузол HDS, створіть новий вузол гібридної безпеки даних VM і зареєструйте його, використовуючи новий файл ISO конфігурації. Докладні інструкції див. в розділі Створення та реєстрація додаткових вузлів.

                                                                                                                                                  1. Встановіть HDS-хост OVA.

                                                                                                                                                  2. Налаштуйте віртуальну машину HDS.

                                                                                                                                                  3. Змонтувати оновлений файл конфігурації.

                                                                                                                                                  4. Зареєструйте новий вузол в Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Для існуючих вузлів HDS, у яких запущено старий файл конфігурації, змонтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

                                                                                                                                                  1. Вимкніть віртуальну машину.

                                                                                                                                                  2. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

                                                                                                                                                  3. Натисніть CD /DVD-дисковод 1, виберіть параметр для монтування з файлу ISO та перейдіть до розташування, куди ви завантажили файл ISO нової конфігурації.

                                                                                                                                                  4. Перевірте підключення при увімкненому живленні.

                                                                                                                                                  5. Заощаджуйте зміни та енергію на віртуальній машині.

                                                                                                                                                  4

                                                                                                                                                  Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, який виконує стару конфігурацію.

                                                                                                                                                  Вимкнення режиму роздільної здатності заблокованих зовнішніх DNS

                                                                                                                                                  Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. Якщо DNS-серверу вузла не вдається розпізнати загальнодоступні імена DNS, вузол автоматично переходить у режим блокування зовнішньої роздільної здатності DNS.

                                                                                                                                                  Якщо ваші вузли можуть вирішувати загальнодоступні імена DNS через внутрішні DNS-сервери, ви можете вимкнути цей режим, повторивши тест проксі-з'єднання на кожному вузлі.

                                                                                                                                                  Перш ніж почати

                                                                                                                                                  Переконайтеся, що ваші внутрішні DNS-сервери можуть розпізнавати загальнодоступні імена DNS і що ваші вузли можуть зв'язуватися з ними.
                                                                                                                                                  1

                                                                                                                                                  У браузері відкрийте інтерфейс вузла гібридної безпеки даних (IP-адреса/налаштування), наприклад, введіть облікові дані адміністратора, https://192.0.2.0/setup), які настроєно для вузла, а потім натисніть кнопку Увійти.

                                                                                                                                                  2

                                                                                                                                                  Перехід до розділу Огляд (сторінка за замовчуванням).

                                                                                                                                                  Якщо ввімкнено, для параметра "Заблокована зовнішня роздільна здатність DNS" встановлено значення "Так".

                                                                                                                                                  3

                                                                                                                                                  Перейдіть на сторінку Надійний магазин і проксі .

                                                                                                                                                  4

                                                                                                                                                  Натисніть Перевірити підключенняпроксі-сервера.

                                                                                                                                                  Якщо ви бачите повідомлення про те, що зовнішнє дозвіл DNS не було успішним, вузол не зміг дістатися до DNS-сервера і залишиться в цьому режимі. В іншому випадку, після того, як ви перезавантажите вузол і повернетеся на сторінку огляду , заблоковане зовнішнє дозвіл DNS має бути встановлено на "ні".

                                                                                                                                                  Що далі

                                                                                                                                                  Повторіть тест проксі-з'єднання на кожному вузлі в кластері гібридної безпеки даних.

                                                                                                                                                  Видалити вузол

                                                                                                                                                  Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
                                                                                                                                                  1

                                                                                                                                                  Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi та вимкнути віртуальну машину.

                                                                                                                                                  2

                                                                                                                                                  Видалити вузол:

                                                                                                                                                  1. Увійдіть до Control Hub і виберіть Служби.

                                                                                                                                                  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів гібридної безпеки даних.

                                                                                                                                                  3. Виберіть кластер, щоб відобразити його панель огляду.

                                                                                                                                                  4. Клацніть Відкрити список вузлів.

                                                                                                                                                  5. На вкладці "Вузли" виберіть вузол, який потрібно видалити.

                                                                                                                                                  6. Клацніть Дії > Скасувати реєстрацію вузла.

                                                                                                                                                  3

                                                                                                                                                  У клієнті vSphere видаліть VM. (На панелі навігації ліворуч клацніть правою кнопкою миші VM і клацніть Видалити.)

                                                                                                                                                  Якщо ви не видалите VM, не забудьте демонтувати файл ISO конфігурації. Без файлу ISO неможливо використовувати VM для доступу до даних безпеки.

                                                                                                                                                  Відновлення після відмови за допомогою центру обробки даних у режимі очікування

                                                                                                                                                  Найважливішою службою, яку надає кластер гібридної безпеки даних, є створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, призначеного для гібридної безпеки даних, запити на створення нового ключа маршрутизуються в кластер. Кластер також несе відповідальність за повернення створених ключів будь-яким користувачам, авторизованим для їх отримання, наприклад учасникам простору розмови.

                                                                                                                                                  Оскільки кластер виконує критичну функцію надання цих ключів, дуже важливо, щоб кластер продовжував працювати та щоб підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕПОПРАВНОЇ ВТРАТИ контенту клієнта. Для запобігання такої втрати є обов'язковими такі практики:

                                                                                                                                                  Якщо внаслідок стихійного лиха розгортання HDS у основному центрі обробки даних стане недоступним, виконайте цю процедуру, щоб вручну виконати аварійне перемикання на центр обробки даних у режимі очікування.

                                                                                                                                                  1

                                                                                                                                                  Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створити ISO конфігурації для хостів HDS.

                                                                                                                                                  2

                                                                                                                                                  Після налаштування сервера Syslogd клацніть Додаткові налаштування

                                                                                                                                                  3

                                                                                                                                                  На сторінці Розширені налаштування додайте конфігурацію нижче або видаліть конфігурацію пасивного режиму , щоб зробити вузол активним. Вузол може обробляти трафік після цього налаштування.

                                                                                                                                                   пасивнийРежим: "хибно" 

                                                                                                                                                  4

                                                                                                                                                  Завершіть процес конфігурації та збережіть файл ISO у зручному для пошуку розташуванні.

                                                                                                                                                  5

                                                                                                                                                  Зробіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

                                                                                                                                                  6

                                                                                                                                                  На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші на VM і клацніть Змінити налаштування..

                                                                                                                                                  7

                                                                                                                                                  Клацніть Змінити налаштування >Диск CD/DVD 1 і виберіть файл ISO Datastore.

                                                                                                                                                  Переконайтеся, що встановлено прапорець параметрів Підключено та Connect при увімкненні , щоб оновлені зміни конфігурації набули сили після запуску вузлів.

                                                                                                                                                  8

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

                                                                                                                                                  9

                                                                                                                                                  Повторити процес для кожного вузла в центрі обробки даних у режимі очікування.

                                                                                                                                                  Перевірте вивід syslog, щоб переконатися, що вузли центру обробки даних у режимі очікування не перебувають у пасивному режимі. "KMS, налаштований у пасивному режимі", не повинен з’являтися в syslog.

                                                                                                                                                  Що далі

                                                                                                                                                  Після аварійного перемикання, якщо основний центр обробки даних знову стане активним, знову помістіть центр обробки даних у режимі очікування, дотримуючись кроків, описаних у Налаштування центру обробки даних у режимі очікування для відновлення після відмови.

                                                                                                                                                  (Необов’язково) Демонтування ISO після конфігурації HDS

                                                                                                                                                  Стандартна конфігурація HDS працює зі змонтованим ISO. Але деякі клієнти воліють не залишати файли ISO постійно змонтовані. Можна демонтувати файл ISO після того, як усі вузли HDS підхопили нову конфігурацію.

                                                                                                                                                  Ви все ще використовуєте файли ISO для внесення змін до конфігурації. Під час створення нового ISO або оновлення ISO за допомогою інструмента налаштування потрібно змонтувати оновлене ISO на всіх вузлах HDS. Після того як усі ваші вузли отримають зміни конфігурації, можна знову демонтувати ISO за допомогою цієї процедури.

                                                                                                                                                  Перед початком

                                                                                                                                                  Оновіть версію всіх вузлів HDS до версії 2021.01.22.4720 або пізнішої.

                                                                                                                                                  1

                                                                                                                                                  Закрийте один із вузлів HDS.

                                                                                                                                                  2

                                                                                                                                                  У пристрої vCenter Server Device виберіть вузол HDS.

                                                                                                                                                  3

                                                                                                                                                  Виберіть Змінити налаштування > Диск CD/DVD і зніміть прапорець файлу ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Увімкніть вузол HDS і переконайтеся, що попередження відсутнє щонайменше 20 хвилин.

                                                                                                                                                  5

                                                                                                                                                  Повторюйте для кожного вузла HDS по черзі.

                                                                                                                                                  Усунення несправностей гібридної безпеки даних

                                                                                                                                                  Переглянути сповіщення та усунути несправності

                                                                                                                                                  Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що вимагає часу очікування. Якщо користувачі не можуть зв’язатися з кластером гібридної безпеки даних, вони відчувають такі симптоми:

                                                                                                                                                  • Не вдалося створити нові простори (неможливо створити нові ключі).

                                                                                                                                                  • Не вдалося розшифрувати повідомлення та назви просторів для:

                                                                                                                                                    • Нові користувачі додані до простору (неможливо отримати ключі)

                                                                                                                                                    • Наявні користувачі в просторі, що використовують новий клієнт (неможливо отримати ключі).

                                                                                                                                                  • Наявні користувачі в просторі продовжуватимуть успішно запускатися, доки їхні клієнти матимуть кеш ключів шифрування.

                                                                                                                                                  Важливо належним чином відстежувати кластер гібридної безпеки даних і швидко надсилати будь-які сповіщення, щоб уникнути порушення роботи служби.

                                                                                                                                                  Оповіщення

                                                                                                                                                  Якщо виникла проблема з налаштуванням гібридної безпеки даних, Control Hub відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато загальних сценаріїв.

                                                                                                                                                  Таблиця 1. Загальні проблеми та кроки для їх вирішення

                                                                                                                                                  Сповіщення

                                                                                                                                                  Дія

                                                                                                                                                  Помилка доступу до локальної бази даних.

                                                                                                                                                  Перевірте наявність помилок бази даних або проблем локальної мережі.

                                                                                                                                                  Помилка підключення до локальної бази даних.

                                                                                                                                                  Перевірте доступність сервера бази даних і правильні облікові дані облікового запису служби використано в конфігурації вузла.

                                                                                                                                                  Помилка доступу до хмарної служби.

                                                                                                                                                  Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього з’єднання.

                                                                                                                                                  Поновлення реєстрації хмарної служби.

                                                                                                                                                  Реєстрацію в хмарних службах скасовано. Триває подовження реєстрації.

                                                                                                                                                  Реєстрацію хмарної служби скасовано.

                                                                                                                                                  Реєстрацію в хмарних службах припинено. Роботу служби припиняється.

                                                                                                                                                  Службу ще не активовано.

                                                                                                                                                  Активуйте ознайомлювальну версію або завершіть переміщення ознайомлювальної версії до продукту.

                                                                                                                                                  Налаштований домен не відповідає сертифікату сервера.

                                                                                                                                                  Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

                                                                                                                                                  Найімовірніша причина полягає в тому, що сертифікат CN нещодавно був змінений і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

                                                                                                                                                  Не вдалось автентифікувати в хмарних службах.

                                                                                                                                                  Перевірте точність і можливий термін дії облікових даних облікового запису обслуговування.

                                                                                                                                                  Не вдалося відкрити локальний файл сховища ключів.

                                                                                                                                                  Перевірте цілісність і точність пароля у локальному файлі сховища ключів.

                                                                                                                                                  Неприпустимий сертифікат локального сервера.

                                                                                                                                                  Перевірте дату закінчення терміну дії сертифіката сервера й упевніться, що він був виданий довіреним центром сертифікації.

                                                                                                                                                  Не вдалося опублікувати показники.

                                                                                                                                                  Перевірте доступ до локальної мережі до зовнішніх хмарних служб.

                                                                                                                                                  Каталогу /media/configdrive/hds не існує.

                                                                                                                                                  Перевірте конфігурацію змонтування ISO на віртуальному вузлі. Переконайтеся, що файл ISO існує, що його налаштовано на монтування до перезавантаження та що він успішно монтується.

                                                                                                                                                  Усунення несправностей гібридної безпеки даних

                                                                                                                                                  Використовуйте наведені далі загальні інструкції під час виправлення неполадок із службою гібридної безпеки даних.
                                                                                                                                                  1

                                                                                                                                                  Перегляньте Control Hub на наявність будь-яких сповіщень і виправте будь-які знайдені там елементи.

                                                                                                                                                  2

                                                                                                                                                  Перегляньте вивід сервера syslog для дій із розгортання гібридної безпеки даних.

                                                                                                                                                  3

                                                                                                                                                  Зверніться до служби підтримки Cisco.

                                                                                                                                                  Інші примітки

                                                                                                                                                  Відомі проблеми гібридної безпеки даних

                                                                                                                                                  • Якщо закрити кластер гібридної безпеки даних (видалити його в Control Hub або закрити всі вузли), втратити файл ISO конфігурації або втратити доступ до бази даних сховища ключів, користувачі програми Webex більше не зможуть використовувати простори зі списку осіб, створені за допомогою клавіш з KMS. Це стосується як пробного, так і виробничого розгортання. Зараз у нас немає готового рішення або виправлення цієї проблеми. Ми закликаємо вас не закривати ваші служби HDS після того, як вони обробляють облікові записи активних користувачів.

                                                                                                                                                  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом періоду часу (ймовірно, однієї години). Коли користувач стає учасником ознайомлювальної версії гібридної безпеки даних, клієнт користувача продовжує використовувати наявне з’єднання ECDH, доки воно не вичерпається. Крім того, користувач може вийти з програми Webex і знову ввійти в неї, щоб оновити розташування, з яким ця програма контактує для ключів шифрування.

                                                                                                                                                    Така сама поведінка відбувається під час перенесення ознайомлювальної версії до продукту для організації. Усі користувачі без ознайомлювальної версії з наявними підключеннями ECDH до попередніх служб безпеки даних продовжуватимуть використовувати ці служби, доки підключення ECDH не буде поновлено (через тайм-аут або через вихід і повторний вхід).

                                                                                                                                                  Використовуйте OpenSSL для створення файлу PKCS12

                                                                                                                                                  Перед початком

                                                                                                                                                  • OpenSSL — це інструмент, який можна використовувати для створення файлу PKCS12 у належному форматі для завантаження в інструменті налаштування HDS. Є й інші способи зробити це, і ми не підтримуємо чи не просуваємо один шлях над іншим.

                                                                                                                                                  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, щоб допомогти вам створити файл, який відповідає вимогам сертифіката X.509 у Вимогам до сертифіката X.509. Перш ніж продовжити, ознайомтеся з цими вимогами.

                                                                                                                                                  • Установіть OpenSSL у підтримуваному середовищі. Див. https://www.openssl.org програмне забезпечення та документацію.

                                                                                                                                                  • Створіть закритий ключ.

                                                                                                                                                  • Почніть цю процедуру, коли ви отримаєте сертифікат сервера від Certificate Authority (CA).

                                                                                                                                                  1

                                                                                                                                                  Отримавши сертифікат сервера від ЦС, збережіть його як hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Відобразити сертифікат у вигляді тексту та перевірте відомості.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Використовуйте текстовий редактор, щоб створити файл пакету сертифікатів під назвою hdsnode-bundle.pem. Файл пакету повинен містити сертифікат сервера, будь-які проміжні сертифікати ЦС і кореневі сертифікати ЦС у форматі нижче:

                                                                                                                                                  ----BEGIN CERTIFICATE------- ### Сертифікат сервера. ### -----END CERTIFICATE------------BEGIN CERTIFICATE----- ### Проміжний сертифікат CA. ### -----END CERTIFICATE---------BEGIN CERTIFICATE----- ### Кореневий сертифікат CA. ### -----END CERTIFICATE-----

                                                                                                                                                  4

                                                                                                                                                  Створіть файл .p12 з дружнім ім’ям kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Перевірте відомості про сертифікат сервера.

                                                                                                                                                  1. openssl pkcs12 - in hdsnode.p12

                                                                                                                                                  2. Введіть пароль у поле запиту, щоб зашифрувати закритий ключ так, щоб його було відображено в виведенні. Потім переконайтеся, що закритий ключ і перший сертифікат містять лінії дружніName: kms- private- key.

                                                                                                                                                    Приклад:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Введіть пароль імпорту: Перевірені MAC атрибути пакету OK дружніІм’я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключові атрибути:  Введіть фразу передавання PEM: Перевірка – введіть фразу передавання PEM: -----BEGIN ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ-----  -----END ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ------ Атрибути сумки дружніІм'я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------- Bag Attributes friendlyName: CN=Дозволити Encrypt Authority X3,O=Дозволити Encrypt,C=US subject=/C=US/O=Дозволити Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-------

                                                                                                                                                  Що далі

                                                                                                                                                  Поверніться до завершення обов’язкових умов для гібридної безпеки даних. Файл hdsnode.p12 і налаштований для нього пароль буде використано в Створити ISO конфігурації для хостів HDS.

                                                                                                                                                  Можна повторно використовувати ці файли, щоб надіслати запит на новий сертифікат, коли термін дії оригінального сертифіката завершиться.

                                                                                                                                                  Трафік між вузлами HDS і хмарою

                                                                                                                                                  Трафік збору вихідних показників

                                                                                                                                                  Вузли гібридної безпеки даних надсилають певні показники в хмару Webex. До них відносяться системні показники для максимальної кількості ключів, кількості використаних ключів, навантаження ЦП та кількості ланцюжків; показники для синхронізованих і асинхронних потоків; показники для сповіщень, що включають поріг підключень шифрування, затримку або довжину черги запитів; показники на сервері даних; показники підключення шифрування. Вузли надсилають зашифрований матеріал ключа через канал поза смугою (окремо від запиту).

                                                                                                                                                  Вхідний трафік

                                                                                                                                                  Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

                                                                                                                                                  • Запити на шифрування від клієнтів, маршрутизованих службою шифрування

                                                                                                                                                  • Оновлення версії програмного забезпечення вузла

                                                                                                                                                  Налаштувати проксі-сервери Squid для гібридної безпеки даних

                                                                                                                                                  Websocket не може підключитися через проксі-сервер Squid

                                                                                                                                                  Проксі-сервери, які перевіряють HTTPS-трафік, можуть перешкоджати встановленню з’єднань вебсокетів (wss:), які потребують гібридної безпеки даних. У цих розділах наведено інструкції щодо налаштування різних версій Squid, щоб ігнорувати wss: трафік для належної експлуатації послуг.

                                                                                                                                                  Кальмари 4 і 5

                                                                                                                                                  Додайте on_unsupported_protocol директиву до squid.conf:

                                                                                                                                                  on_unsupported_protocol тунель усі

                                                                                                                                                  Кальмари 3.5.27

                                                                                                                                                  Ми успішно протестували гібридну безпеку даних за допомогою наступних правил, доданих до squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::Mercury-server_name_regex connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 всі ssl_bump stare step2 всі ssl_bump bump step3 всі
                                                                                                                                                  Чи була ця стаття корисною?
                                                                                                                                                  Чи була ця стаття корисною?