У цій статті
dropdown icon
Нова та змінена інформація
    Нова та змінена інформація
dropdown icon
Почніть роботу з багатоклієнтською гібридною безпекою даних
    dropdown icon
    Огляд безпеки гібридних даних для кількох орендарів
      Як багатокористувацька гібридна безпека даних забезпечує суверенітет даних та контроль над ними
      Обмеження гібридної безпеки даних для кількох орендарів
      Ролі в багатоклієнтній гібридній безпеці даних
    dropdown icon
    Архітектура області безпеки
      Сфери розділення (без гібридної безпеки даних)
    Співпраця з іншими організаціями
    Очікування щодо розгортання гібридної безпеки даних
    Процес налаштування високого рівня
    dropdown icon
    Гібридна модель розгортання безпеки даних
      Гібридна модель розгортання безпеки даних
    dropdown icon
    Резервний центр обробки даних для аварійного відновлення
      Ручне перемикання на резервний центр обробки даних
    Підтримка проксі-сервера
dropdown icon
Підготовка середовища
    dropdown icon
    Вимоги до безпеки даних для багатокористувацьких гібридних систем
      Вимоги до ліцензії Cisco Webex
      Вимоги до робочого столу Docker
      Вимоги до сертифіката X.509
      Вимоги до віртуального хоста
      Вимоги до сервера бази даних
      Вимоги до зовнішнього підключення
      Вимоги до проксі-сервера
    Виконайте попередні умови для гібридної безпеки даних
dropdown icon
Налаштування гібридного кластера безпеки даних
    Послідовність завдань розгортання гібридної безпеки даних
    Виконайте початкове налаштування та завантажте інсталяційні файли
    Створення ISO-образу конфігурації для хостів HDS
    Встановлення OVA хоста HDS
    Налаштування віртуальної машини гібридної безпеки даних
    Завантажте та змонтуйте ISO-файл конфігурації HDS
    Налаштування вузла HDS для інтеграції проксі
    Зареєструйте перший вузол у кластері
    Створення та реєстрація додаткових вузлів
dropdown icon
Керування організаціями орендарів у багатоклієнтській гібридній безпеці даних
    Активуйте багатокористувацьку HDS у Центрі партнерів
    Додавання організацій-орендарів у Центрі партнерів
    Створення основних ключів клієнта (CMK) за допомогою інструмента налаштування HDS
    Видалити організації-орендарі
    Скасувати CMK орендарів, видалених з HDS.
dropdown icon
Перевірте розгортання гібридної безпеки даних
    Перевірте розгортання гібридної безпеки даних
    Моніторинг стану безпеки гібридних даних
dropdown icon
Керуйте розгортанням HDS
    Керування розгортанням HDS
    Встановити розклад оновлення кластера
    Зміна конфігурації вузла
    Вимкнення режиму роздільної здатності заблокованих зовнішніх DNS
    Видалити вузол
    Аварійне відновлення з використанням резервного центру обробки даних
    (Необов'язково) Відмонтувати ISO після налаштування HDS
dropdown icon
Вирішення проблем гібридної безпеки даних
    Перегляд сповіщень та усунення несправностей
    dropdown icon
    Оповіщення
      Поширені проблеми та кроки для їх вирішення
    Вирішення проблем гібридної безпеки даних
dropdown icon
Інші нотатки
    Відомі проблеми гібридної безпеки даних
    Запустіть інструмент налаштування HDS за допомогою Podman Desktop
    dropdown icon
    Перенесіть існуюче розгортання HDS для одного клієнта партнерської організації в Control Hub до багатоклієнтської конфігурації HDS у Partner Hub.
      Деактивуйте HDS, скасуйте реєстрацію вузлів та видаліть кластер у Центрі керування
      Активуйте багатоклієнтську HDS для організації-партнера в Центрі партнерів і додайте клієнтів
    Використання OpenSSL для створення файлу PKCS12
    Трафік між вузлами HDS та хмарою
    dropdown icon
    Налаштування проксі-серверів Squid для гібридної безпеки даних
      Websocket не може підключитися через проксі-сервер Squid
dropdown icon
Деактивація гібридної безпеки даних для кількох клієнтів
    Послідовність завдань деактивації багатокористувацького HDS
22 травня 2025 р. | 4 переглядів | 0 — користувачі, які вважають цей матеріал корисним

Посібник з розгортання багатокористувацької гібридної системи безпеки даних (HDS) (бета-версія)

list-menuУ цій статті
list-menuНадіслати відгук?

Нова й змінена інформація

Нова й змінена інформація

У цій таблиці наведено нові функції або функції, зміни наявного контенту та будь-які основні помилки, які було виправлено в Посібнику з розгортання гібридної безпеки даних для кількох клієнтів.

Дата

Внесені зміни

13 грудня 2024 року

Перший випуск.

Деактивувати безпеку гібридних даних із кількома клієнтами

Потік завдань деактивації HDS для кількох клієнтів

Виконайте наведені дії, щоб повністю деактивувати HDS для кількох клієнтів.

Перед початком

Це завдання має виконувати лише адміністратор партнера з повними правами.
1

Видаліть усіх клієнтів з усіх кластерів, як зазначено в Видалити організації клієнтів.

2

Анулюйте CMK усіх клієнтів, як зазначено в Анулюйте CMK клієнтів, видалених із HDS..

3

Видаліть усі вузли з усіх кластерів, як зазначено в Видалити вузол.

4

Видаліть усі кластери з Партнерського центру за допомогою одного з двох наведених нижче способів.

  • Клацніть кластер, який потрібно видалити, і виберіть Видалити цей кластер у правому верхньому куті сторінки огляду.
  • На сторінці Ресурси клацніть … праворуч від кластера та виберіть Видалити кластер.
5

Клацніть вкладку Налаштування на сторінці огляду гібридної безпеки даних і натисніть Деактивувати HDS на картці стану HDS.

Початок роботи з гібридною безпекою даних для кількох клієнтів

Огляд гібридної безпеки даних для кількох клієнтів

З першого дня безпека даних була основним завданням у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, яке ввімкнено клієнтами програми Webex, які взаємодіють зі службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і дешифрування повідомлень і файлів.

За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS у області безпеки Cisco. Гібридна безпека даних переміщує KMS та інші функції, пов'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не тримає ключі до вашого зашифрованого вмісту.

Багатоклієнтська гібридна безпека даних дозволяє організаціям використовувати HDS через довіреного локального партнера, який може виступати як постачальник послуг і керувати локальним шифруванням та іншими службами безпеки. Це налаштування дозволяє партнерській організації мати повний контроль за розгортанням ключів шифрування та керування ними, а також гарантує безпеку даних користувачів організацій клієнта від зовнішнього доступу. Партнерські організації налаштовують екземпляри HDS і створюють кластери HDS за потреби. Кожен екземпляр може підтримувати кілька організацій клієнта, на відміну від звичайного розгортання HDS, яке обмежується однією організацією.

Хоча партнерські організації мають контроль за розгортанням і керуванням, вони не мають доступу до даних і контенту, що створюються клієнтами. Цей доступ обмежено організаціями клієнта та їхніми користувачами.

Це також дозволяє невеликим організаціям використовувати HDS, оскільки Ключові служби керування та інфраструктура безпеки, як-от центри обробки даних, належать довіреним місцевим партнером.

Як багатоклієнтська гібридна безпека даних забезпечує суверенітет і контроль даних

  • Створений користувачами контент захищено від зовнішнього доступу, як-от постачальники хмарних послуг.
  • Надійні місцеві партнери управляють ключами шифрування клієнтів, з якими вони вже мають налагоджені відносини.
  • Варіант місцевої технічної підтримки, якщо надано партнером.
  • Підтримує контент нарад, обміну повідомленнями й викликів.

Цей документ спрямований на допомогу партнерським організаціям у налаштуванні та керуванні клієнтами в системі гібридної безпеки даних із підтримкою кількох клієнтів.

Ролі в гібридній безпеці даних із кількома клієнтами

  • Повний адміністратор партнера – може керувати налаштуваннями для всіх клієнтів, якими керує партнер. Також може призначати ролі адміністратора наявним користувачам в організації та призначати певних клієнтів, якими керуватимуть адміністратори партнера.
  • Адміністратор партнера – може керувати налаштуваннями клієнтів, підготовленими адміністратором або призначеними користувачу.
  • Повний адміністратор – адміністратор партнерської організації, який має право виконувати такі завдання, як зміна налаштувань організації, керування ліцензіями та призначення ролей.
  • Наскрізне налаштування HDS із підтримкою кількох клієнтів і керування всіма організаціями клієнта – потрібні права повного адміністратора партнера та повного адміністратора.
  • Керування призначеними організаціями клієнта : потрібні права адміністратора партнера та повного адміністратора.

Архітектура області безпеки

Хмарна архітектура Webex розділяє різні типи служб на окремі області або домени довіри, як показано нижче.

Області розділення (без гібридної безпеки даних)

Щоб краще зрозуміти гібридну безпеку даних, спочатку розгляньмо цей випадок у чистому хмарі, де Cisco надає всі функції у своїх хмарних областях. Служба ідентифікації, єдине місце, де користувачі можуть бути безпосередньо пов’язані з їхньою персональною інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зрештою зберігається зашифрований контент, в центрі обробки даних C.

На цій діаграмі клієнтом є програма Webex, що працює на ноутбуці користувача й автентифікувався за допомогою служби ідентифікації. Коли користувач складає повідомлення для надсилання до простору, виконуються такі кроки:

  1. Клієнт встановлює захищене з’єднання зі службою керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Для захищеного з’єднання використовується ECDH, а KMS шифрує ключ за допомогою основного ключа AES-256.

  2. Повідомлення зашифровано перед тим, як воно залишає клієнта. Клієнт надсилає його в службу індексації, яка створює зашифровані пошукові індекси для допомоги в подальшому пошуку контенту.

  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

  4. Зашифроване повідомлення зберігається в області сховища.

Під час розгортання гібридної безпеки даних ви переміщуєте функції області безпеки (KMS, індексація та відповідність) до локального центру обробки даних. Інші хмарні служби, які складають Webex (зокрема, ідентифікаційні дані та сховище контенту), залишаються в області Cisco.

Співпраця з іншими організаціями

Користувачі вашої організації можуть регулярно використовувати програму Webex для співпраці з зовнішніми учасниками в інших організаціях. Коли один із ваших користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), ваш KMS надсилає ключ клієнту через канал, захищений ECDH. Однак, якщо ключ для простору належить іншій організації, ваш KMS надсилає запит в хмару Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в вихідному каналі.

Служба KMS, яку запущено в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Додаткову інформацію про створення сертифіката x.509 для використання з розгортанням багатоклієнтської гібридної безпеки даних див. в розділі Підготовка середовища .

Очікування розгортання гібридної безпеки даних

Розгортання гібридної безпеки даних вимагає значної прихильності та обізнаності про ризики, які виникають при наявності ключів шифрування.

Щоб розгорнути гібридну безпеку даних, необхідно надати:

Повна втрата ISO конфігурації, яку ви створюєте для гібридної безпеки даних, або бази даних, яку ви надаєте, призведе до втрати ключів. Втрата ключа забороняє користувачам розшифрувати контент простору та інші зашифровані дані в програмі Webex. Якщо це станеться, ви зможете створити нове розгортання, але буде відображено лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

  • Керування резервним копіюванням і відновленням бази даних та ISO конфігурації.

  • Будьте готові до швидкого відновлення після відмови в разі виникнення катастрофи, як-от помилка диска бази даних або помилка центру обробки даних.

Відсутній механізм для переміщення ключів назад у хмару після розгортання HDS.

Процес налаштування на високому рівні

Цей документ охоплює налаштування та керування розгортанням гібридної безпеки даних із кількома клієнтами:

  • Налаштування гібридної безпеки даних. Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення гібридної безпеки даних, створення кластера HDS, додавання організацій-клієнтів до кластера та керування їхніми основними ключами клієнта (CMK). Це дозволить усім користувачам в організації клієнта використовувати кластер гібридної безпеки даних для функцій безпеки.

    Етапи налаштування, активації та керування докладно описані в наступних трьох розділах.

  • Підтримуйте розгортання гібридної безпеки даних. Хмара Webex автоматично забезпечує постійні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати сповіщення на екрані та налаштувати сповіщення на основі електронної пошти в Партнерському центрі.

  • Ознайомтеся з поширеними сповіщеннями, кроками усунення несправностей і відомими проблемами. Якщо у вас виникли проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й вирішити цю проблему.

Модель розгортання гібридної безпеки даних

У вашому центрі обробки даних підприємства ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли зв’язуються з хмарою Webex за допомогою захищених вебсокетів і захищеного HTTP.

Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами VM. Ви використовуєте інструмент налаштування HDS для створення користувацького файлу конфігурації ISO кластера, який буде змонтовано на кожному вузлі. Кластер гібридної безпеки даних використовує наданий сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і відомості про підключення до бази даних в інструменті налаштування HDS.)

Модель розгортання гібридної безпеки даних

Мінімальна кількість вузлів, які можна мати в кластері, дорівнює два. Рекомендовано принаймні три для кластера. Наявність кількох вузлів гарантує, що служба не переривається під час оновлення версії програмного забезпечення або іншої діяльності з обслуговування на вузлі. (Хмара Webex оновлює лише один вузол за раз.)

Усі вузли в кластері отримують доступ до одного єдиного сервера системних даних і активності журналу. Самі вузли не мають статусу, і обробляють ключові запити круглим способом, як спрямовано хмарою.

Вузли стають активними, коли їх зареєстровано в Партнерському центрі. Щоб вилучити окремий вузол із експлуатації, його можна скасувати реєстрацію, а в разі потреби повторно зареєструвати.

Центр даних у режимі очікування для відновлення після відмови

Під час розгортання ви налаштували безпечний центр обробки даних у режимі очікування. У разі несправності центру обробки даних ви можете вручну не виконувати перехід до центру обробки даних у режимі очікування.

Перед аварійним переходом центр обробки даних A має активні вузли HDS і основну базу даних PostgreSQL або Microsoft SQL Server, тоді як B має копію файлу ISO з додатковими конфігураціями, зареєстрованими в організації VM, і базу даних у режимі очікування. Після аварійного перемикання центр обробки даних B має активні вузли HDS і основну базу даних, тоді як A має незареєстровані VM і копію файлу ISO, а база даних перебуває в режимі очікування.
Ручне аварійне перемикання на центр обробки даних у режимі очікування

Бази даних активних та резервних центрів обробки даних синхронізуються один з одним, що дозволить мінімізувати час, необхідний для виконання аварійного перемикання.

Активні вузли гібридної безпеки даних завжди мають бути в тому самому центрі обробки даних, що й активний сервер бази даних.

Підтримка проксі

Гібридна безпека даних підтримує явні, прозорі перевірки та неінспектування проксі. Ви можете прив'язати ці проксі до свого розгортання, щоб ви могли захищати та контролювати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для управління сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

Гібридні вузли захисту даних підтримують такі параметри проксі-сервера:

  • Немає проксі— За замовчуванням, якщо для інтеграції проксі не використовується налаштування вузла HDS Store і Proxy. Оновлення сертифіката не потрібне.

  • Прозорий неінспекційний проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін до роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.

  • Прозоре тунелювання чи інспектування проксі— вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах не потрібні зміни конфігурації HTTP або HTTPS. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

  • Явний проксі. За допомогою явного проксі-сервера вузлам HDS слід визначити, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі, необхідно ввести наступну інформацію на кожному вузлі:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

      • HTTP — Перегляд і контроль усіх запитів, які надсилає клієнт.

      • HTTPS — забезпечує канал серверу. Клієнт отримує та перевіряє сертифікат сервера.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно, лише якщо в якості проксі-протоколу вибрано протокол HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

Приклад гібридних вузлів безпеки даних і проксі-сервера

На цій схемі наведено приклад підключення між гібридною безпекою даних, мережею та проксі-сервером. Для прозорої перевірки та явної перевірки параметрів проксі-сервера HTTPS на проксі-сервері та на вузлах гібридної безпеки даних повинен бути встановлений той самий кореневий сертифікат.

Заблокований зовнішній режим роздільної здатності DNS (явні конфігурації проксі)

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. У розгортаннях з явними конфігураціями проксі-сервера, які не дозволяють зовнішню роздільну здатність DNS для внутрішніх клієнтів, якщо вузол не може запитувати DNS-сервери, він автоматично переходить у режим блокування зовнішньої роздільної здатності DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести проксі-підключення.

Підготовка середовища

Вимоги до гібридної безпеки даних із кількома клієнтами

Вимоги до ліцензії Cisco Webex

Щоб розгорнути безпеку гібридних даних із кількома клієнтами, виконайте наведені нижче дії.

  • Партнерські організації: Зверніться до партнера Cisco або менеджера облікового запису й переконайтеся, що функцію кількох клієнтів увімкнено.

  • Організації осередків: Необхідно мати професійний пакет для Cisco Webex Control Hub. (Див. https://www.cisco.com/go/pro-pack.)

Вимоги до робочого стола Docker

Перш ніж установити вузли HDS, необхідно Docker Desktop, щоб запустити програму встановлення. Docker нещодавно оновив свою ліцензійну модель. Ваша організація може вимагати платну підписку на Docker Desktop. Для отримання детальної інформації див. допис у блозі Docker "Docker оновлює та розширює підписку на наш продукт".

Вимоги до сертифіката X.509

Ланцюжок сертифікатів повинен відповідати таким вимогам:

Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

Вимоги

Відомості

  • Підписано довіреним центром сертифікації (CA)

За замовчуванням ми довіряємо ценам у списку Mozilla (за винятком WoSign і StartCom) за адресою https://wiki.mozilla.org/CA:IncludedCAs.

  • Має доменне ім’я (CN), яке ідентифікує розгортання гібридної безпеки даних.

  • Не є сертифікатом узагальнення

CN не обов’язково бути доступним або організатором у режимі реального часу. Ми рекомендуємо використовувати ім’я, що відображає вашу організацію, наприклад hds.company.com.

CN не має містити символ * (узагальнення).

CN використовується для перевірки вузлів гібридної безпеки даних клієнтам програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, визначеного в полях SAN x.509v3.

Після реєстрації вузла з цим сертифікатом зміна доменного імені CN не підтримується.

  • Підпис без SHA1

Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключення до KMS інших організацій.

  • Відформатований як файл PKCS #12 із захищеним паролем

  • Використовуйте дружнє ім’я kms-private-key , щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.

Щоб змінити формат сертифіката, можна використовувати перетворювач, наприклад OpenSSL.

Вам потрібно буде ввести пароль, коли ви запустите інструмент налаштування HDS.

Програмне забезпечення KMS не вимагає використання ключів або розширених обмежень використання ключів. Деякі органи сертифікації вимагають, щоб до кожного сертифіката застосовувалися розширені обмеження використання ключа, як-от автентифікація сервера. Цілком нормально використовувати автентифікацію сервера або інші налаштування.

Вимоги до віртуального організатора

Віртуальні вузли, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері, мають такі вимоги:

  • Принаймні два окремих хоста (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

  • VMware ESXi 6.5 (або пізнішої версії) встановлено та запущено.

    Необхідно оновити версію, якщо у вас попередня версія ESXi.

  • Мінімум 4 вЦП, 8 ГБ основної пам’яті, 30 ГБ локального жорсткого диска на сервер

Вимоги до сервера бази даних

Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

Для сервера бази даних існує два параметри. Вимоги до кожного з них такі:

Таблиця 2. Вимоги до сервера бази даних за типом бази даних

Postgre SQL

Сервер Microsoft SQL

  • PostgreSQL 14, 15 або 16, встановлено та запущено.

  • Встановлено SQL Server 2016, 2017 або 2019 (корпоративний або стандартний).

    SQL Server 2016 вимагає пакета оновлень 2 та кумулятивного оновлення 2 або пізнішої версії.

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Програмне забезпечення HDS зараз установлює такі версії драйверів для зв’язку з сервером бази даних:

Postgre SQL

Сервер Microsoft SQL

Postgres драйвер JDBC 42.2.5

Драйвер JDBC SQL Server 4.6

Ця версія драйвера підтримує SQL Server Always On (Завжди ввімкнені екземпляри аварійного перемикання кластерів і Always On групи доступності).

Додаткові вимоги до автентифікації Windows проти Microsoft SQL Server

Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для доступу до вашої бази даних ключів на Microsoft SQL Server, то у вашому середовищі потрібна така конфігурація:

  • Вузли HDS, інфраструктуру Active Directory і MS SQL Server мають бути синхронізовані з NTP.

  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ до бази даних для читання та запису.

  • DNS-сервери, які ви надаєте вузлам HDS, повинні мати змогу вирішити ваш центр розподілу ключів (KDC).

  • Можна зареєструвати екземпляр бази даних HDS на сервері Microsoft SQL як основне ім’я служби (SPN) в Active Directory. Див. розділ Реєстрація імені головної служби для з’єднань Kerberos.

    Засіб налаштування HDS, засіб запуску HDS та локальний KMS — усі необхідні для використання автентифікації Windows для доступу до бази даних сховища ключів. Вони використовують відомості з конфігурації ISO для побудови SPN під час запиту доступу за допомогою автентифікації Kerberos.

Вимоги до зовнішнього з’єднання

Налаштуйте брандмауер, щоб дозволити таке підключення для програм HDS:

Застосування

Протокол

Порт

Напрямок з програми

Призначення

Вузли гібридної безпеки даних

TCP

443

Вихідні HTTPS і WSS

  • Сервери Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Усі організатори Common Identity

  • Інші URL-адреси, перелічені для гібридної безпеки даних у таблиці «Додаткові URL-адреси для гібридних служб Webex»«Вимоги до мережі для служб Webex»

Інструмент налаштування HDS

TCP

443

Вихідний HTTPS

  • *.wbx2.com

  • Усі організатори Common Identity

  • hub.docker.com

Вузли гібридної безпеки даних працюють із перекладом мережевого доступу (NAT) або за брандмауером, доки NAT або брандмауер дозволяють необхідні вихідні з’єднання з адресами домену, наведеними в попередній таблиці. Для з’єднань, які надходять на вхідні дані до вузлів гібридної безпеки даних, порти не повинні відображатися з інтернету. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

URL-адреси для хостів Common Identity (CI) притаманні регіонам. Це поточні організатори CI:

Регіон

URL-адреси загальних ідентифікаційних ресурсів

Північна та Південна Америки

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Європейський Союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сінгапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Об’єднані Арабські Емірати

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Вимоги до проксі-сервера

  • Ми офіційно підтримуємо наступні проксі-рішення, які можуть інтегруватися з вашими вузлами гібридної безпеки даних.

  • Ми підтримуємо такі комбінації типів автентифікації для явних проксі:

    • Немає автентифікації за допомогою HTTP або HTTPS

    • Базова автентифікація за допомогою HTTP або HTTPS

    • Автентифікація дайджесту лише за допомогою ПРОТОКОЛУ HTTPS

  • Для прозорої перевірки проксі-сервера або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі-сервера. Інструкції з розгортання в цьому посібнику розповідають, як завантажити копію в надійні сховища вузлів гібридної безпеки даних.

  • Мережа, в якій розміщуються вузли HDS, повинна бути налаштована на примусове витіснення TCP-трафіку на порту 443 для маршрутизації через проксі.

  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з'єднанню веб-сокетів. При виникненні даної проблеми проблему вирішить обхід (не огляд) трафіку на wbx2.com і ciscospark.com .

Виконати передумови для гібридної безпеки даних

Використовуйте цей контрольний список, щоб переконатися, що ви готові встановити та налаштувати кластер гібридної безпеки даних.
1

Переконайтеся, що в партнерській організації ввімкнено функцію HDS для кількох клієнтів, і отримайте облікові дані облікового запису з повним адміністратором партнера та повними правами адміністратора. Переконайтеся, що в організації клієнта Webex увімкнено пакет Pro Pack для Cisco Webex Control Hub. Зверніться до партнера Cisco або менеджера облікового запису по допомогу в цьому процесі.

Організації клієнтів не повинні мати наявне розгортання HDS.

2

Виберіть доменне ім’я для розгортання HDS (наприклад, hds.company.com) і отримайте ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ та будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам Вимог до сертифіката X.509.

3

Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері. Потрібно принаймні два окремих організатори (рекомендовано 3), розташовані в одному захищеному центрі обробки даних, які відповідають вимогам Вимог до віртуального організатора.

4

Підготуйте сервер бази даних, який діятиме як сховище ключових даних для кластера, відповідно до вимог сервера бази даних. Сервер бази даних має бути розташовано в захищеному центрі обробки даних із віртуальними організаторами.

  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Після встановлення програми HDS створюють схему бази даних.)

  2. Зберіть деталі, які будуть використовувати вузли для зв’язку з сервером бази даних:

    • ім’я хоста або IP-адреса (хост) і порт

    • ім’я бази даних (dbname) для сховища ключів

    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

5

Для швидкого відновлення після відмови налаштуйте резервне середовище в іншому центрі обробки даних. Середовище резервного копіювання відображає середовище виробництва VM і сервер резервної бази даних. Наприклад, якщо у виробництві є 3 VM, які працюють вузли HDS, резервне середовище має мати 3 VM.

6

Налаштуйте хост syslog, щоб збирати журнали з вузлів у кластері. Зберіть його мережеву адресу та порт системного журналу (за замовчуванням — UDP 514).

7

Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста syslog. Як мінімум, щоб запобігти невиправній втраті даних, потрібно створити резервну копію бази даних і файл ISO конфігурації, створений для вузлів гібридної безпеки даних.

Оскільки вузли гібридної безпеки даних зберігають ключі, які використовуються для шифрування та дешифрування контенту, невдача підтримки оперативного розгортання призведе до НЕЗВОРОТНОЇ ВТРАТИ цього контенту.

Клієнти програми Webex ховають свої ключі, тому перебої в роботі можуть бути непомітні, але з часом ставати очевидними. Хоча тимчасові перебої неможливо запобігти, вони можуть бути відновлені. Однак повна втрата (резервних копій відсутні) файлу бази даних або ISO конфігурації призведе до незворотних даних клієнтів. Очікується, що оператори вузлів гібридної безпеки даних підтримуватимуть часті резервні копії бази даних та файлу конфігурації ISO, а також будуть готові відновити центр обробки даних гібридної безпеки даних у разі виникнення катастрофічного відмови.

8

Переконайтеся, що конфігурація брандмауера дозволяє підключення для вузлів гібридної безпеки даних, як описано в розділі Вимоги до зовнішнього з’єднання.

9

Установіть Docker ( https://www.docker.com) на будь-якому локальному комп’ютері, який працює на підтримуваній ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядній версії або Mac OSX Yosemite 10.10.3 або новіша версія) із веббраузером, який може отримати доступ до нього на сторінці http://127.0.0.1:8080.

Екземпляр Docker використовується для завантаження та запуску інструменту налаштування HDS, який збирає інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Можливо, потрібна ліцензія Docker Desktop. Додаткову інформацію див. в розділі Вимоги до робочого стола Docker .

Щоб установити й запустити інструмент налаштування HDS, локальний комп’ютер повинен мати параметр підключення, описаний у розділі Вимоги до зовнішнього підключення.

10

Під час інтеграції проксі з гібридною безпекою даних переконайтеся, що він відповідає вимогам до проксі-сервера.

Налаштувати кластер гібридної безпеки даних

Процес розгортання гібридної безпеки даних

Перш ніж почати

1

Виконати початкове налаштування та завантажити файли інсталяції

Завантажте файл OVA на локальний комп’ютер для подальшого використання.

2

Створити ISO конфігурації для хостів HDS

Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

3

Установити OVA організатора HDS

Створіть віртуальну машину з файлу OVA та виконайте початкову конфігурацію, наприклад налаштування мережі.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

4

Налаштувати VM гібридної безпеки даних

Увійдіть до консолі VM і встановіть облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо їх не було налаштовано на момент розгортання OVA.

5

Вивантажити та змонтувати ISO конфігурації HDS

Налаштуйте VM із файлу конфігурації ISO, який ви створили за допомогою інструменту налаштування HDS.

6

Налаштування вузла HDS для інтеграції проксі

Якщо мережеве середовище потребує конфігурації проксі, укажіть тип проксі, який буде використовуватися для вузла, а в разі потреби додайте проксі-сертифікат до сховища довірених сертифікатів.

7

Зареєструвати перший вузол у кластері.

Зареєструйте VM із хмарою Cisco Webex як вузол гібридної безпеки даних.

8

Створити й зареєструвати більше вузлів

Завершіть налаштування кластера.

9

Активуйте HDS із підтримкою кількох клієнтів у Партнерському центрі.

Активуйте HDS і керуйте організаціями клієнтів у Партнерському центрі.

Виконати початкове налаштування та завантажити файли інсталяції

У цьому завданні ви завантажуєте файл OVA на комп’ютер (не на сервери, налаштовані як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.

1

Увійдіть у Партнерський центр і клацніть Служби.

2

У розділі «Хмарні служби» знайдіть картку гібридної безпеки даних, а потім клацніть Налаштувати.

3

Клацніть Додати ресурс і клацніть Завантажити файл OVA на картці встановлення та налаштування програмного забезпечення .

Старіші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до виникнення проблем під час оновлення версії програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

OVA також можна завантажити будь-коли з розділу Довідка . Клацніть Налаштування > Довідка > Завантажити програмне забезпечення гібридної безпеки даних.

Файл OVA автоматично розпочне завантаження. Збережіть файл у розташуванні на комп’ютері.
4

Додатково клацніть Переглянути посібник із розгортання гібридної безпеки даних , щоб перевірити, чи доступна пізніша версія цього посібника.

Створити ISO конфігурації для хостів HDS

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

Перш ніж почати
1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO ви маєте такі параметри:

  • Ні. Якщо ви створюєте перший вузол HDS, у вас немає файлу ISO для передавання.
  • Так. Якщо ви вже створили вузли HDS, виберіть у браузері файл ISO й передайте його.
10

Переконайтеся, що сертифікат X.509 відповідає вимогам Вимогам до сертифіката X.509.

  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити.
  • Якщо сертифікат OK, клацніть Продовжити.
  • Якщо термін дії сертифіката завершився або ви хочете замінити його, виберіть Ні , щоб Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO?. Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити.
11

Введіть адресу бази даних та обліковий запис HDS, щоб отримати доступ до свого сервера ключових даних:

  1. Виберіть тип бази даних (PostgreSQL або Microsoft SQL Server).

    Якщо вибрати Microsoft SQL Server, буде отримано поле типу автентифікації.

  2. (тільки Microsoft SQL Server ) Виберіть тип автентифікації:

    • Базова автентифікація: Потрібне локальне ім’я облікового запису SQL Server у полі Ім’я користувача .

    • Автентифікація Windows: Потрібен обліковий запис Windows у форматі username@DOMAIN у полі Ім’я користувача .

  3. Введіть адресу сервера бази даних у формі : або :.

    Приклад:
    dbhost.example.org:1433 або 198.51.100.17:1433

    Для базової автентифікації можна використовувати IP-адресу, якщо вузли не можуть використовувати DNS для вирішення імені хоста.

    Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433

  4. Введіть ім’я бази даних.

  5. Введіть ім’я користувача й пароль користувача з усіма правами у базі даних сховища ключів.

12

Виберіть режим підключення до бази даних TLS:

Режим

Опис

Віддавати перевагу TLS (параметр за замовчуванням)

Вузли HDS не потребують TLS для з 'єднання з сервером бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли спробують зашифроване з’єднання.

Вимагати TLS

Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

Вимагати TLS і перевірити підписувача сертифіката

Цей режим не застосовується до баз даних SQL Server.

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Вимагати TLS і перевірити особу, яка підписала сертифікат, і назву вузла

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

  • Вузли також перевіряють, чи ім’я хоста в сертифікаті сервера збігається з ім’ям хоста в полі Хост бази даних і порт . Імена повинні точно збігатися, або вузол скасує з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Коли передано кореневий сертифікат (за потреби) і клацніть Продовжити, інструмент налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє особу, яка підписала сертифікат, і назву вузла, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності здатності до з’єднання вузли HDS зможуть встановити підключення TLS, навіть якщо машина інструмента налаштування HDS не може його успішно перевірити.)

13

На сторінці системних журналів налаштуйте сервер Syslogd:

  1. Введіть URL-адресу сервера syslog.

    Якщо сервер DNS-розв’язний із вузлів для кластера HDS, використайте IP-адресу в URL.

    Приклад:
    udp://10.92.43.23:514 вказує на вхід до хоста Syslogd 10.92.43.23 на порту UDP 514.

  2. Якщо ви налаштували сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер syslog для шифрування SSL?.

    Якщо встановити цей прапорець, обов’язково введіть URL-адресу TCP, наприклад tcp://10.92.43.23:514.

  3. У розкривному списку Вибрати завершення запису syslog виберіть відповідні налаштування для вашого файлу ISO: Виберіть або використовується нова лінія для Graylog і Rsyslog TCP

    • Нульовий байт --\ x00

    • Новий рядок -- \n- Виберіть цей вибір для Graylog і Rsyslog TCP.

  4. Клацніть Продовжити.

14

(Необов’язково) Ви можете змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Додаткові налаштування. Загалом, цей параметр є єдиним, який ви можете змінити:

app_datasource_connection_pool_maxРозмір: 10
15

Клацніть Продовжити на екрані Скинути пароль облікових записів служби .

Паролі облікового запису служби тривають дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів добігає кінця, або ви хочете скинути їх, щоб скасувати попередні файли ISO.

16

Клацніть Завантажити файл ISO. Збережіть файл у зручному для пошуку розташуванні.

17

Зробіть резервну копію файлу ISO у локальній системі.

Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

18

Щоб закрити інструмент налаштування, введіть CTRL+C.

Що далі

Створіть файл ISO конфігурації. Він потрібен для створення більше вузлів для відновлення або для внесення змін до конфігурації. Якщо ви втратите всі копії файлу ISO, ви також втратили основний ключ. Неможливо відновити ключі з бази даних PostgreSQL або Microsoft SQL Server.

У нас ніколи не буде копії цього ключа, і ми не зможемо допомогти, якщо ви його втратите.

Установити OVA організатора HDS

Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi.

2

Виберіть Файл > Розгорнути шаблон OVF.

3

У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі.

4

На сторінці Вибрати ім’я та папку введіть Ім’я віртуальної машини для вузла (наприклад, "HDS_Node_1"), виберіть розташування, де може розміщуватися розгортання вузла віртуальної машини, а потім клацніть Далі.

5

На сторінці Вибрати обчислювальний ресурс , виберіть обчислювальний ресурс призначення, а потім клацніть Далі.

Виконується перевірка перевірки. Після його завершення деталі шаблону з’являться.

6

Перевірте відомості про шаблон, а потім клацніть Далі.

7

Якщо вас попросять вибрати конфігурацію ресурсу на сторінці Конфігурація , клацніть 4 ЦП , а потім клацніть Далі.

8

На сторінці Вибрати сховище клацніть Далі , щоб прийняти формат диска за замовчуванням і політику зберігання VM.

9

На сторінці Вибрати мережі виберіть параметр мережі зі списку записів, щоб забезпечити потрібне підключення до VM.

10

На сторінці Налаштувати шаблон налаштуйте такі налаштування мережі.

  • Ім’я хоста—Введіть повне доменне ім’я (ім’я хоста та домен) або ім’я хоста з одним словом для вузла.

    • Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

    • Щоб забезпечити успішну реєстрацію в хмару, використовуйте лише малі символи в повному домені або імені хоста, налаштованому для вузла. Капіталізація наразі не підтримується.

    • Загальна довжина повного домену не повинна перевищувати 64 символи.

  • IP-адреса— введіть IP-адресу для внутрішнього інтерфейсу вузла.

    Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

  • Маска—Введіть адресу маски підмережі в крапку з комою. Наприклад, 255.255.255.0.
  • Шлюз—Введіть IP-адресу шлюзу. Шлюз – це мережевий вузол, який служить точкою доступу до іншої мережі.
  • Сервери DNS — введіть список, розділений комами, список DNS-серверів, який обробляє перетворення доменних імен на числові IP-адреси. (Дозволено до 4 записів DNS.)
  • Сервери NTP—Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Також можна використовувати список розділених комами, щоб ввести кілька серверів NTP.

  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними від клієнтів у вашій мережі для адміністративних цілей.

За бажанням можна пропустити конфігурацію налаштування мережі та виконати кроки в розділі Налаштування VM гібридної безпеки даних , щоб налаштувати параметри з консолі вузла.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

11

Клацніть правою кнопкою миші вузол VM, а потім виберіть Power > Power On.

Програмне забезпечення гібридної безпеки даних встановлюється як гість на хост VM. Тепер ви готові увійти до консолі й налаштувати вузол.

Поради щодо усунення несправностей

Перед появою контейнерів вузла може знадобитися затримка в кілька хвилин. Під час першого завантаження на консолі з’являється повідомлення брандмауера мосту, під час якого ви не можете ввійти.

Налаштувати VM гібридної безпеки даних

Використовуйте цю процедуру, щоб вперше увійти на консоль вузла гібридної безпеки даних VM і встановити облікові дані для входу. Крім того, можна використовувати консоль для налаштування мережевих параметрів для вузла, якщо їх не було налаштовано під час розгортання OVA.

1

У клієнті VMware vSphere виберіть вузол гібридної безпеки даних VM і перейдіть на вкладку Консоль .

VM завантажується, і з’явиться підказка для входу. Якщо вікно підказки не відображається, натисніть Enter.
2

Щоб увійти й змінити облікові дані, використовуйте наведені нижче дані для входу та пароля за замовчуванням:

  1. Вхід: адміністратор

  2. Пароль: Cisco

Оскільки ви вперше входите в VM, вам потрібно змінити пароль адміністратора.

3

Якщо ви вже налаштували налаштування мережі в Установити OVA хоста HDS, пропустіть решту цієї процедури. В іншому разі в головному меню виберіть параметр Змінити конфігурацію .

4

Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

5

(Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно відповідно до політики мережі.

Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

6

Збережіть конфігурацію мережі та перезавантажте VM, щоб зміни набули сили.

Вивантажити та змонтувати ISO конфігурації HDS

Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою інструмента налаштування HDS.

Перед початком

Оскільки файл ISO має основний ключ, він повинен бути розкритий лише на основі "потрібно знати" для доступу VM гібридної безпеки даних і будь-яких адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

1

Передайте файл ISO зі свого комп’ютера:

  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

  2. На вкладці Конфігурація Список обладнання клацніть Сховище.

  3. У списку Datastors клацніть правою кнопкою миші на станції даних для ваших VM і клацніть Browse Datastore.

  4. Клацніть значок «Передати файли», а потім Передати файл.

  5. Перейдіть до розташування, де ви завантажили файл ISO на свій комп’ютер, і клацніть Відкрити.

  6. Клацніть Так , щоб прийняти попередження операції передавання/завантаження, і закрийте діалогове вікно сховища даних.

2

Змонтувати файл ISO:

  1. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  2. Клацніть ОК , щоб прийняти попередження про обмежені параметри редагування.

  3. Клацніть Диск CD/DVD 1, виберіть параметр для змонтування з файлу ISO зі сховища даних і перейдіть до розташування, де передано файл ISO конфігурації.

  4. Перевірте Підключено та Підключитися при увімкненні живлення.

  5. Збережіть зміни та перезавантажте віртуальну машину.

Що далі

Якщо потрібна ваша політика ІТ, ви можете додатково демонтувати файл ISO після того, як усі вузли дослухаються змін конфігурації. Див. (Необов’язково) Демонтування ISO після конфігурації HDS , щоб отримати додаткові відомості.

Налаштування вузла HDS для інтеграції проксі

Якщо для мережного середовища потрібен проксі-сервер, скористайтеся цією процедурою, щоб указати тип проксі-сервера, який потрібно інтегрувати з hybrid Data Security. Якщо ви виберете прозорий проксі-сервер перевірки або явний проксі-сервер HTTPS, ви можете використовувати інтерфейс вузла для завантаження та встановлення кореневого сертифіката. Ви також можете перевірити проксі-з'єднання з інтерфейсу та усунути будь-які потенційні проблеми.

Перш ніж почати

1

Введіть URL-адресу для настроювання вузла HDS https://[IP-адреса вузла HDS або FQDN]/setup у веб-браузері, введіть облікові дані адміністратора, які ви налаштували для вузла, а потім натисніть кнопку Увійти.

2

Перейдіть до Надійного магазину та проксі-сервера, а потім виберіть параметр:

  • Немає проксі— параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібне.
  • Прозорий неінспекційний проксі—вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін для роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.
  • Прозорий проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних не потрібні зміни конфігурації HTTPS, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі-серверу. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
  • Явний проксі — за допомогою явного проксі-сервера клієнту (вузли HDS) можна вказати, який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести такі відомості:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — виберіть http (переглядає та контролює всі запити, отримані від клієнта) або https (надає канал на сервер, клієнт отримує та перевіряє сертифікат сервера). Виберіть варіант, виходячи з того, що підтримує ваш проксі-сервер.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно для проксі HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно для проксі HTTP або HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно лише для проксі HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

Виконайте наступні кроки для прозорої перевірки проксі-сервера, явного HTTP-проксі з базовою автентифікацією або явного проксі-сервера HTTPS.

3

Клацніть « Завантажити кореневий сертифікат» або «Завершити сертифікатсутності», а потім перейдіть до вибору кореневого сертифіката для проксі-сервера.

Сертифікат завантажено, але ще не інстальовано, оскільки для встановлення сертифіката потрібно перезавантажити вузол. Клацніть стрілку шеврона біля імені емітента сертифіката, щоб отримати докладніші відомості, або натисніть кнопку Видалити , якщо ви припустилися помилки та хочете повторно завантажити файл.

4

Натисніть кнопку Перевірити підключення до проксі, щоб перевірити підключення до мережі між вузлом і проксі-сервером.

Якщо тест підключення не пройшов, ви побачите повідомлення про помилку, у якому вказано причину та способи усунення проблеми.

Якщо ви бачите повідомлення про те, що зовнішня роздільна здатність DNS не була успішною, вузол не зміг дістатися до DNS-сервера. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол буде працювати в режимі роздільної здатності заблокованих зовнішніх DNS. Якщо ви вважаєте, що це помилка, виконайте наведені дії, а потім перегляньте Вимкнути режим роздільної здатності заблокованих зовнішніх DNS.

5

Після того, як тест з'єднання пройде, для явного проксі-сервера, встановленого лише на https, увімкніть перемикач до Маршрутизація всіх запитів порту 443/444 https з цього вузла через явний проксі. Для набрання чинності цим параметром потрібно 15 секунд.

6

Натисніть кнопку Інсталювати всі сертифікати в надійний магазин (відображається для проксі-сервера HTTPS відвертої перевірки або прозорого проксі-сервера для перевірки) або Перезавантажити (відображається для явного проксі-сервера HTTP), прочитайте запит і натисніть кнопку Інсталювати , якщо все готово.

Вузол перезавантажується протягом декількох хвилин.

7

Після перезавантаження вузла увійдіть знову, якщо потрібно, а потім відкрийте сторінку Огляду , щоб перевірити перевірки підключення, щоб переконатися, що всі вони в зеленому стані.

Перевірка проксі-з'єднання лише тестує субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі хмарні домени, перелічені в інструкціях з інсталяції, блокуються на проксі-сервері.

Зареєструвати перший вузол у кластері.

Для цього завдання потрібен універсальний вузол, який ви створили в Налаштування VM гібридної безпеки даних, реєструє вузол із хмарою Webex і перетворює його в вузол гібридної безпеки даних.

Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначений вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Налаштувати.

4

На сторінці, що відкривається, клацніть Додати ресурс.

5

У першому полі Додати вузол введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних.

Рекомендовано назвати кластер залежно від місця географічного розташування вузлів кластера. Приклади: "Сан-Франциско" або "Нью-Йорк" або "Даллас"

6

У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Додати внизу екрана.

Ця IP-адреса або повне доменне ім’я хоста й домен, які використовувалися в Налаштуванні VM гібридної безпеки даних.

З’явиться повідомлення, що вказує на те, що можна зареєструвати свій вузол у Webex.
7

Клацніть Перейти до вузла.

Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації Webex дозволи на доступ до вашого вузла.

8

Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.
9

Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

На сторінці Гібридна безпека даних новий кластер, що містить зареєстрований вами вузол, буде відображено на вкладці Ресурси . Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

Створити й зареєструвати більше вузлів

Щоб додати додаткові вузли до кластера, просто створіть додаткові VM і змонтуйте той самий файл ISO конфігурації, а потім зареєструйте вузол. Рекомендовано мати принаймні 3 вузли.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Створіть нову віртуальну машину з OVA, повторюючи кроки в Установити OVA організатора HDS.

2

Налаштуйте початкову конфігурацію на новому VM, повторюючи кроки в Налаштуванні VM гібридної безпеки даних.

3

У новому VM повторіть кроки в Передати та змонтувати ISO конфігурації HDS.

4

Якщо ви налаштовуєте проксі для розгортання, повторіть кроки в Налаштуйте вузол HDS для інтеграції проксі , як це необхідно для нового вузла.

5

Зареєструйте вузол.

  1. У https://admin.webex.com виберіть Служби в меню ліворуч від екрана.

  2. У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Переглянути всі.

    З’явиться сторінка ресурсів гібридної безпеки даних.

  3. Щойно створений кластер відобразиться на сторінці Ресурси .

  4. Клацніть кластер, щоб переглянути вузли, призначені до кластера.

  5. Клацніть Додати вузол у правій частині екрана.

  6. Введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та натисніть Додати.

    Відкривається сторінка з повідомленням про те, що ви можете зареєструвати свій вузол у хмарі Webex. Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації дозволи на доступ до вашого вузла.

  7. Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

    Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.

  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

    Доданий вузол спливаюче повідомлення також відображається внизу екрана в Партнерському центрі.

    Ваш вузол зареєстровано.

Керування організаціями клієнтів у розділі гібридної безпеки даних із підтримкою кількох клієнтів

Активувати HDS із підтримкою кількох клієнтів у Партнерському центрі

Це завдання гарантує, що всі користувачі в організації клієнта зможуть почати використовувати HDS для локальних ключів шифрування та інших служб безпеки.

Перед початком

Переконайтеся, що ви завершили налаштування кластера HDS із кількома клієнтами з необхідною кількістю вузлів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

4

Клацніть Активувати HDS на картці стану HDS .

Додати організації осередків у партнерський центр

У цьому завданні призначаються організації клієнтів до кластера гібридної безпеки даних.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

Клацніть кластер, до якого ви хочете призначити клієнта.

5

Перейдіть на вкладку Призначені клієнти .

6

Клацніть Додати клієнтів.

7

Виберіть клієнта, якого потрібно додати з розкривного меню.

8

Клацніть Додати, клієнта буде додано до кластера.

9

Повторіть кроки 6–8, щоб додати декілька клієнтів до кластера.

10

Клацніть Готово внизу екрана після додавання клієнтів.

Що далі

Запустіть інструмент налаштування HDS, як докладніше описано в розділі Створити головні ключі клієнта (CMK), використовуючи інструмент налаштування HDS , щоб завершити процес налаштування.

Створити головні ключі клієнта (CMK) за допомогою інструмента налаштування HDS

Перед початком

Призначте клієнтів до відповідного кластера, як детально описано в Додати організації клієнтів у Партнерському центрі. Запустіть інструмент налаштування HDS, щоб завершити процес налаштування для нещодавно доданих клієнтських організацій.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

Переконайтеся, що підключення до бази даних для виконання керування CMK.
11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Створити CMK для всіх організацій або Створити CMK . Натисніть цю кнопку на банері вгорі екрана, щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Створити CMK , щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть … біля керування CMK, що очікує стан конкретної організації в таблиці, і клацніть Створити CMK , щоб створити CMK для цієї організації.
12

Після успішного створення CMK стан у таблиці буде змінено з очікування керування CMK на кероване CMK.

13

Якщо не вдалося створити CMK, буде відображено помилку.

Видалити організації осередків

Перед початком

Після видалення користувачі організацій клієнтів не зможуть використовувати HDS для потреб шифрування та втратять усі наявні простори. Перш ніж видалити організації клієнтів, зверніться до партнера Cisco або менеджера облікових записів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

На вкладці Ресурси клацніть кластер, з якого потрібно видалити організації клієнтів.

5

На сторінці, що відкривається, клацніть Призначені клієнти.

6

У списку відображуваних організацій клієнта клацніть ... праворуч від організації клієнта, яку потрібно видалити, і клацніть Видалити з кластера.

Що далі

Завершіть процес видалення, відкликавши CMK організацій клієнтів, як описано в розділі Відкликання CMK клієнтів, видалених із HDS.

Відкликайте CMK клієнтів, видалених з HDS.

Перед початком

Видаліть клієнтів із відповідного кластера, як описано в розділі Видалити організації клієнтів. Запустіть інструмент налаштування HDS, щоб завершити процес видалення для організацій клієнтів, які були видалені.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Відкликати CMK для всіх організацій або Відкликати CMK . Натисніть цю кнопку на банері вгорі екрана, щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Відкликати CMK , щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть біля CMK, щоб відкликати стан конкретної організації в таблиці, і клацніть Відкликати CMK , щоб відкликати CMK для цієї конкретної організації.
12

Після успішного відкликання CMK організація клієнта більше не відображатиметься в таблиці.

13

Якщо скасування CMK не вдасться, буде відображено помилку.

Протестуйте розгортання гібридної безпеки даних

Перевірити розгортання гібридної безпеки даних

Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних для кількох клієнтів.

Перед початком

  • Налаштуйте розгортання гібридної безпеки даних із кількома клієнтами.

  • Упевніться, що у вас є доступ до syslog, щоб переконатися, що запити ключів передаються до розгортання гібридної безпеки даних із кількома клієнтами.

1

Ключі для певного простору встановлюються його творцем. Увійдіть в програму Webex як один із користувачів організації клієнта, а потім створіть простір.

Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюються користувачами, більше не буде доступний після заміни кешованих клієнтом копій ключів шифрування.

2

Надішліть повідомлення до нового простору.

3

Перевірте вивід syslog, щоб переконатися, що запити ключів передаються розгортанню гібридної безпеки даних.

  1. Щоб перевірити, чи користувач спочатку встановив безпечний канал для KMS, виконайте фільтрування на kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Ви повинні знайти запис, наприклад такий (ідентифікатори скорочено для зручності читання):
    21 липня 2020 р. 17:35:34.562 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: // hds2. org5. portun. us/ statickeys/ 3[~]0 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2. org5. portun. us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data. uri=kms://hds2. org5. portun. us/ecdhe, kms.data.userId=0[~]2

  2. Щоб перевірити, чи користувач запитує наявний ключ із KMS, виконайте фільтрування у розділі kms.data.method=retrieve і kms.data.type=KEY:

    Необхідно знайти запис, наприклад:
    21 липня 2020 р. 17:44:19.889 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-31] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms. data. method=retrieve, kms. merc.id=c[~]7, kms. merc.sync=false, kms. data. uriHost=ciscospark. com, kms. data. type=KEY, kms. data. requestId=9[~]3, kms. data. uri=kms://ciscospark. com/keys/ d[~]2, kms. data. userId=1[~]b

  3. Щоб перевірити, чи користувач запитує створення нового ключа KMS, виконайте фільтрування у розділі kms.data.method=create і kms.data.type=KEY_COLLECTION:

    Необхідно знайти запис, наприклад:
    21 липня 2020 р. 17:44:21.975 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-33] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data. uri=/keys, kms.data.userId=1[~]b

  4. Щоб перевірити, чи користувача, який запитує створення нового ресурсного об’єкта KMS (KRO) під час створення простору або іншого захищеного ресурсу, виконайте фільтрування у розділі kms.data.method=create та kms.data.type=RESOURCE_COLLECTION:

    Необхідно знайти запис, наприклад: 
    21 липня 2020 р. 17:44:22.808 (+0000) ІНФОРМАЦІЯ KMS [pool-15-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Моніторинг гібридної безпеки даних

Індикатор стану в Партнерському центрі показує, чи все гаразд із розгортанням гібридної безпеки даних для кількох клієнтів. Щоб підвищити активність оповіщень, зареєструйтеся в сповіщеннях електронною поштою. Ви отримаєте сповіщення, якщо з’являться попередження, які впливають на службу, або оновлення версії програмного забезпечення.
1

У Партнерському центрі виберіть Служби в меню зліва екрана.

2

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

З’явиться сторінка параметрів гібридної безпеки даних.
3

У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділених комами, і натисніть Enter.

Керуйте розгортанням HDS

Керування розгортанням HDS

Для керування розгортанням гібридної безпеки даних використовуйте завдання, описані тут.

Установити розклад оновлення кластера.

Оновлення версії програмного забезпечення для гібридної безпеки даних здійснюється автоматично на рівні кластера, завдяки чому всі вузли завжди працюють одну й ту саму версію програмного забезпечення. Оновлення версії здійснюється відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стане доступним, у вас є можливість вручну оновити версію до запланованого часу оновлення версії. Можна встановити конкретний розклад оновлення версії або використовувати розклад за замовчуванням, який становить 3:00 ранку щоденно у США: Америка/Лос-Анджелес. Ви також можете за потреби відкласти майбутні оновлення версії.

Щоб налаштувати розклад оновлення версії, виконайте наведені нижче дії.

1

Увійдіть у партнерський центр.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Налаштувати.

4

На сторінці ресурсів гібридної безпеки даних виберіть кластер.

5

Клацніть вкладку Налаштування кластера .

6

"На сторінці ""Налаштування кластера"" в розділі ""Розклад оновлення версії"" виберіть час і часовий пояс для розкладу оновлення версії."

Примітки У часовому поясі відображено наступну дату й час оновлення версії. Можна відкласти оновлення на наступний день, якщо потрібно, клацнувши Відкласти на 24 години.

Змінити конфігурацію вузла

Іноді вам може знадобитися змінити конфігурацію вузла гібридної безпеки даних з такої причини, як:

  • Зміна сертифікатів x.509 через закінчення терміну дії або інші причини.

    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовується для реєстрації кластера.

  • Оновлення параметрів бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

    Ми не підтримуємо перенесення даних з PostgreSQL до Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, розпочніть нове розгортання гібридної системи захисту даних.

  • Створення нової конфігурації для підготовки нового центру обробки даних.

Крім того, з метою безпеки Hybrid Data Security використовує паролі службових облікових записів, термін дії яких становить дев'ять місяців. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з ваших вузлів HDS у файлі конфігурації ISO. Коли паролі вашої організації наближаються до закінчення терміну дії, ви отримуєте повідомлення від команди Webex про скидання пароля для облікового запису вашого комп'ютера. (Електронний лист містить текст "Використовуйте API облікового запису машини, щоб оновити пароль.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

  • Програмне скидання— старі й нові паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

  • Жорстке скидання— старі паролі негайно припиняють працювати.

Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

Використовуйте цю процедуру, щоб створити новий файл конфігурації ISO і застосувати його до вашого кластера.

Перш ніж почати

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Partner Hub із повними правами адміністратора партнера.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker у 1.e. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Щоб створити нову конфігурацію, вам потрібна копія поточного файла конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. ISO потрібен під час внесення змін у конфігурацію, включаючи облікові дані бази даних, оновлення сертифікатів або зміни в політиці авторизації.

1

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

    У звичайних середовищах:

    docker rmi ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker rmi ciscocitg/ hds- setup- fedramp: stable

    Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

  2. Щоб увійти до реєстру Docker-зображень, введіть наступне:

    docker login - u hdscustomersro

  3. На запиті пароля введіть цей хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Завантажте останнє стабільне зображення для вашого середовища:

    У звичайних середовищах:

    docker pull ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker pull ciscocitg/hds- setup- fedramp: stable

    Обов 'язково потягніть найновіший інструмент налаштування для цієї процедури. Версії інструмента, створені до 22 лютого 2018 року, не мають екранів скидання пароля.

  5. Після завершення витягування введіть відповідну команду для вашого середовища:

    • У звичайних середовищах без проксі-сервера:

      docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

    • У звичайних середовищах з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

    • У звичайних середовищах з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У середовищах FedRAMP без проксі-сервера:

      docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

    • У середовищах FedRAMP з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

    • У середовищах FedRAMP з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Коли контейнер запущений, ви бачите "Експрес-прослуховування сервера на порту 8080".

  6. Використовуйте браузер для підключення до localhost, http://127.0.0.1:8080.

    Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

  7. Коли з’явиться відповідний запит, введіть облікові дані для входу клієнта Partner Hub, а потім клацніть Прийняти , щоб продовжити.

  8. Імпортувати поточний файл конфігурації ISO.

  9. Дотримуйтеся вказівок, щоб завершити роботу інструменту та завантажити оновлений файл.

    Щоб закрити інструмент налаштування, введіть CTRL+C.

  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

2

Якщо у вас працює лише один вузол HDS, створіть новий вузол гібридної безпеки даних VM і зареєструйте його, використовуючи новий файл ISO конфігурації. Докладні інструкції див. в розділі Створення та реєстрація додаткових вузлів.

  1. Встановіть HDS-хост OVA.

  2. Налаштуйте віртуальну машину HDS.

  3. Змонтувати оновлений файл конфігурації.

  4. Зареєструйте новий вузол у партнерському центрі.

3

Для існуючих вузлів HDS, у яких запущено старий файл конфігурації, змонтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

  1. Вимкніть віртуальну машину.

  2. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  3. Натисніть CD /DVD-дисковод 1, виберіть параметр для монтування з файлу ISO та перейдіть до розташування, куди ви завантажили файл ISO нової конфігурації.

  4. Перевірте підключення при увімкненому живленні.

  5. Заощаджуйте зміни та енергію на віртуальній машині.

4

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, який виконує стару конфігурацію.

Вимкнення режиму роздільної здатності заблокованих зовнішніх DNS

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. Якщо DNS-серверу вузла не вдається розпізнати загальнодоступні імена DNS, вузол автоматично переходить у режим блокування зовнішньої роздільної здатності DNS.

Якщо ваші вузли можуть вирішувати загальнодоступні імена DNS через внутрішні DNS-сервери, ви можете вимкнути цей режим, повторивши тест проксі-з'єднання на кожному вузлі.

Перш ніж почати

Переконайтеся, що ваші внутрішні DNS-сервери можуть розпізнавати загальнодоступні імена DNS і що ваші вузли можуть зв'язуватися з ними.
1

У браузері відкрийте інтерфейс вузла гібридної безпеки даних (IP-адреса/налаштування), наприклад, введіть облікові дані адміністратора, https://192.0.2.0/setup), які настроєно для вузла, а потім натисніть кнопку Увійти.

2

Перехід до розділу Огляд (сторінка за замовчуванням).

Якщо ввімкнено, для параметра "Заблокована зовнішня роздільна здатність DNS" встановлено значення "Так".

3

Перейдіть на сторінку Надійний магазин і проксі .

4

Натисніть Перевірити підключенняпроксі-сервера.

Якщо ви бачите повідомлення про те, що зовнішнє дозвіл DNS не було успішним, вузол не зміг дістатися до DNS-сервера і залишиться в цьому режимі. В іншому випадку, після того, як ви перезавантажите вузол і повернетеся на сторінку огляду , заблоковане зовнішнє дозвіл DNS має бути встановлено на "ні".

Що далі

Повторіть тест проксі-з'єднання на кожному вузлі в кластері гібридної безпеки даних.

Видалити вузол

Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi та вимкнути віртуальну машину.

2

Видалити вузол:

  1. Увійдіть до концентратора партнера й виберіть Служби.

  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів гібридної безпеки даних.

  3. Виберіть кластер, щоб відобразити його панель огляду.

  4. Клацніть вузол, який потрібно видалити.

  5. Клацніть Скасувати реєстрацію цього вузла на панелі, що з’явиться справа.

  6. Можна також скасувати реєстрацію вузла, клацнувши … праворуч від вузла й вибравши Видалити цей вузол.

3

У клієнті vSphere видаліть VM. (На панелі навігації ліворуч клацніть правою кнопкою миші VM і клацніть Видалити.)

Якщо ви не видалите VM, не забудьте демонтувати файл ISO конфігурації. Без файлу ISO неможливо використовувати VM для доступу до даних безпеки.

Відновлення після відмови за допомогою центру обробки даних у режимі очікування

Найважливішою службою, яку надає кластер гібридної безпеки даних, є створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, призначеного для гібридної безпеки даних, запити на створення нового ключа маршрутизуються в кластер. Кластер також несе відповідальність за повернення створених ключів будь-яким користувачам, авторизованим для їх отримання, наприклад учасникам простору розмови.

Оскільки кластер виконує критичну функцію надання цих ключів, дуже важливо, щоб кластер продовжував працювати та щоб підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕПОПРАВНОЇ ВТРАТИ контенту клієнта. Для запобігання такої втрати є обов'язковими такі практики:

Якщо внаслідок стихійного лиха розгортання HDS у основному центрі обробки даних стане недоступним, виконайте цю процедуру, щоб вручну виконати аварійне перемикання на центр обробки даних у режимі очікування.

Перед початком

Скасуйте реєстрацію всіх вузлів із Партнерського центру, як зазначено в розділі Видалити вузол. Щоб виконати процедуру аварійного перемикання, згадану нижче, використовуйте останній файл ISO, налаштований проти вузлів кластера, який раніше був активний.
1

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створити ISO конфігурації для хостів HDS.

2

Завершіть процес конфігурації та збережіть файл ISO у зручному для пошуку розташуванні.

3

Зробіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

4

У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

5

Клацніть Змінити налаштування >Диск CD/DVD 1 і виберіть файл ISO Datastore.

Переконайтеся, що встановлено прапорець параметрів Підключено та Connect при увімкненні , щоб оновлені зміни конфігурації набули сили після запуску вузлів.

6

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

7

Зареєструйте вузол у партнерському центрі. Див. розділ Зареєструвати перший вузол у кластері.

8

Повторити процес для кожного вузла в центрі обробки даних у режимі очікування.

Що далі

Після аварійного перемикання, якщо основний центр обробки даних знову стане активним, скасуйте реєстрацію вузлів центру обробки даних у режимі очікування та повторіть процес налаштування ISO та реєстрації вузлів основного центру обробки даних, як зазначено вище.

(Необов’язково) Демонтування ISO після конфігурації HDS

Стандартна конфігурація HDS працює зі змонтованим ISO. Але деякі клієнти воліють не залишати файли ISO постійно змонтовані. Можна демонтувати файл ISO після того, як усі вузли HDS підхопили нову конфігурацію.

Ви все ще використовуєте файли ISO для внесення змін до конфігурації. Під час створення нового ISO або оновлення ISO за допомогою інструмента налаштування потрібно змонтувати оновлене ISO на всіх вузлах HDS. Після того як усі ваші вузли отримають зміни конфігурації, можна знову демонтувати ISO за допомогою цієї процедури.

Перед початком

Оновіть версію всіх вузлів HDS до версії 2021.01.22.4720 або пізнішої.

1

Закрийте один із вузлів HDS.

2

У пристрої vCenter Server Device виберіть вузол HDS.

3

Виберіть Змінити налаштування > Диск CD/DVD і зніміть прапорець файлу ISO Datastore.

4

Увімкніть вузол HDS і переконайтеся, що попередження відсутнє щонайменше 20 хвилин.

5

Повторюйте для кожного вузла HDS по черзі.

Усунення несправностей гібридної безпеки даних

Переглянути сповіщення та усунути несправності

Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що вимагає часу очікування. Якщо користувачі не можуть зв’язатися з кластером гібридної безпеки даних, вони відчувають такі симптоми:

  • Не вдалося створити нові простори (неможливо створити нові ключі).

  • Не вдалося розшифрувати повідомлення та назви просторів для:

    • Нові користувачі додані до простору (неможливо отримати ключі)

    • Наявні користувачі в просторі, що використовують новий клієнт (неможливо отримати ключі).

  • Наявні користувачі в просторі продовжуватимуть успішно запускатися, доки їхні клієнти матимуть кеш ключів шифрування.

Важливо належним чином відстежувати кластер гібридної безпеки даних і швидко надсилати будь-які сповіщення, щоб уникнути порушення роботи служби.

Оповіщення

Якщо виникла проблема з налаштуванням гібридної безпеки даних, Партнерський центр відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато загальних сценаріїв.

Таблиця 1. Загальні проблеми та кроки для їх вирішення

Сповіщення

Дія

Помилка доступу до локальної бази даних.

Перевірте наявність помилок бази даних або проблем локальної мережі.

Помилка підключення до локальної бази даних.

Перевірте доступність сервера бази даних і правильні облікові дані облікового запису служби використано в конфігурації вузла.

Помилка доступу до хмарної служби.

Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього з’єднання.

Поновлення реєстрації хмарної служби.

Реєстрацію в хмарних службах скасовано. Триває подовження реєстрації.

Реєстрацію хмарної служби скасовано.

Реєстрацію в хмарних службах припинено. Роботу служби припиняється.

Службу ще не активовано.

Активуйте HDS у Партнерському центрі.

Налаштований домен не відповідає сертифікату сервера.

Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

Найімовірніша причина полягає в тому, що сертифікат CN нещодавно був змінений і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

Не вдалось автентифікувати в хмарних службах.

Перевірте точність і можливий термін дії облікових даних облікового запису обслуговування.

Не вдалося відкрити локальний файл сховища ключів.

Перевірте цілісність і точність пароля у локальному файлі сховища ключів.

Неприпустимий сертифікат локального сервера.

Перевірте дату закінчення терміну дії сертифіката сервера й упевніться, що він був виданий довіреним центром сертифікації.

Не вдалося опублікувати показники.

Перевірте доступ до локальної мережі до зовнішніх хмарних служб.

Каталогу /media/configdrive/hds не існує.

Перевірте конфігурацію змонтування ISO на віртуальному вузлі. Переконайтеся, що файл ISO існує, що його налаштовано на монтування до перезавантаження та що він успішно монтується.

Налаштування організації клієнта не завершено для доданих організацій

Завершіть налаштування, створивши CMK для нещодавно доданих організацій клієнтів за допомогою інструменту налаштування HDS.

Налаштування організації клієнта не завершено для видалених організацій

Завершіть налаштування, відкликавши CMK організацій клієнтів, які були вилучені за допомогою інструменту налаштування HDS.

Усунення несправностей гібридної безпеки даних

Використовуйте наведені далі загальні інструкції під час виправлення неполадок із службою гібридної безпеки даних.
1

Перегляньте Партнерський центр на наявність будь-яких сповіщень і виправте будь-які знайдені в ньому елементи. Для довідки дивіться зображення нижче.

2

Перегляньте вивід сервера syslog для дій із розгортання гібридної безпеки даних. Щоб допомогти у вирішенні неполадок, виконайте фільтр для таких слів, як "Попередження" та "Помилка".

3

Зверніться до служби підтримки Cisco.

Інші примітки

Відомі проблеми гібридної безпеки даних

  • Якщо закрити кластер гібридної безпеки даних (видалити його в партнерському центрі або закрити всі вузли), втратити файл ISO конфігурації або втратити доступ до бази даних сховища ключів, користувачі програми Webex організацій клієнтів більше не зможуть використовувати простори зі списку осіб, створені за допомогою клавіш із KMS. Зараз у нас немає готового рішення або виправлення цієї проблеми. Ми закликаємо вас не закривати ваші служби HDS після того, як вони обробляють облікові записи активних користувачів.

  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом періоду часу (ймовірно, однієї години).

Використовуйте OpenSSL для створення файлу PKCS12

Перед початком

  • OpenSSL — це інструмент, який можна використовувати для створення файлу PKCS12 у належному форматі для завантаження в інструменті налаштування HDS. Є й інші способи зробити це, і ми не підтримуємо чи не просуваємо один шлях над іншим.

  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, щоб допомогти вам створити файл, який відповідає вимогам сертифіката X.509 у Вимогам до сертифіката X.509. Перш ніж продовжити, ознайомтеся з цими вимогами.

  • Установіть OpenSSL у підтримуваному середовищі. Див. https://www.openssl.org програмне забезпечення та документацію.

  • Створіть закритий ключ.

  • Почніть цю процедуру, коли ви отримаєте сертифікат сервера від Certificate Authority (CA).

1

Отримавши сертифікат сервера від ЦС, збережіть його як hdsnode.pem.

2

Відобразити сертифікат у вигляді тексту та перевірте відомості.

openssl x509 -text -noout -in hdsnode.pem

3

Використовуйте текстовий редактор, щоб створити файл пакету сертифікатів під назвою hdsnode-bundle.pem. Файл пакету повинен містити сертифікат сервера, будь-які проміжні сертифікати ЦС і кореневі сертифікати ЦС у форматі нижче:

----BEGIN CERTIFICATE------- ### Сертифікат сервера. ### -----END CERTIFICATE------------BEGIN CERTIFICATE----- ### Проміжний сертифікат CA. ### -----END CERTIFICATE---------BEGIN CERTIFICATE----- ### Кореневий сертифікат CA. ### -----END CERTIFICATE-----

4

Створіть файл .p12 з дружнім ім’ям kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Перевірте відомості про сертифікат сервера.

  1. openssl pkcs12 - in hdsnode.p12

  2. Введіть пароль у поле запиту, щоб зашифрувати закритий ключ так, щоб його було відображено в виведенні. Потім переконайтеся, що закритий ключ і перший сертифікат містять лінії дружніName: kms- private- key.

    Приклад:

    bash$ openssl pkcs12 -in hdsnode.p12 Введіть пароль імпорту: Перевірені MAC атрибути пакету OK дружніІм’я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключові атрибути:  Введіть фразу передавання PEM: Перевірка – введіть фразу передавання PEM: -----BEGIN ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ-----  -----END ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ------ Атрибути сумки дружніІм'я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------- Bag Attributes friendlyName: CN=Дозволити Encrypt Authority X3,O=Дозволити Encrypt,C=US subject=/C=US/O=Дозволити Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-------

Що далі

Поверніться до завершення обов’язкових умов для гібридної безпеки даних. Файл hdsnode.p12 і налаштований для нього пароль буде використано в Створити ISO конфігурації для хостів HDS.

Можна повторно використовувати ці файли, щоб надіслати запит на новий сертифікат, коли термін дії оригінального сертифіката завершиться.

Трафік між вузлами HDS і хмарою

Трафік збору вихідних показників

Вузли гібридної безпеки даних надсилають певні показники в хмару Webex. До них відносяться системні показники для максимальної кількості ключів, кількості використаних ключів, навантаження ЦП та кількості ланцюжків; показники для синхронізованих і асинхронних потоків; показники для сповіщень, що включають поріг підключень шифрування, затримку або довжину черги запитів; показники на сервері даних; показники підключення шифрування. Вузли надсилають зашифрований матеріал ключа через канал поза смугою (окремо від запиту).

Вхідний трафік

Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

  • Запити на шифрування від клієнтів, маршрутизованих службою шифрування

  • Оновлення версії програмного забезпечення вузла

Налаштувати проксі-сервери Squid для гібридної безпеки даних

Websocket не може підключитися через проксі-сервер Squid

Проксі-сервери, які перевіряють HTTPS-трафік, можуть перешкоджати встановленню з’єднань вебсокетів (wss:), які потребують гібридної безпеки даних. У цих розділах наведено інструкції щодо налаштування різних версій Squid, щоб ігнорувати wss: трафік для належної експлуатації послуг.

Кальмари 4 і 5

Додайте on_unsupported_protocol директиву до squid.conf:

on_unsupported_protocol тунель усі

Кальмари 3.5.27

Ми успішно протестували гібридну безпеку даних за допомогою наступних правил, доданих до squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

acl wssMercuryConnection ssl::Mercury-server_name_regex connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 всі ssl_bump stare step2 всі ssl_bump bump step3 всі

Нова й змінена інформація

Нова й змінена інформація

У цій таблиці наведено нові функції або функції, зміни наявного контенту та будь-які основні помилки, які було виправлено в Посібнику з розгортання гібридної безпеки даних для кількох клієнтів.

Дата

Внесені зміни

08 січня 2025 року

У розділі Виконати початкове налаштування та завантажити файли встановлення додано примітку, у якій зазначено, що натискання Налаштування на картці HDS у Партнерському центрі є важливим кроком процесу встановлення.

07 січня 2025 року

Оновлено вимоги до віртуального хоста, Процес розгортання гібридної безпеки даних та Установіть HDS Host OVA , щоб показати нову вимогу ESXi 7.0.

13 грудня 2024 року

Вперше опубліковано.

Деактивувати безпеку гібридних даних із кількома клієнтами

Потік завдань деактивації HDS для кількох клієнтів

Виконайте наведені дії, щоб повністю деактивувати HDS для кількох клієнтів.

Перед початком

Це завдання має виконувати лише адміністратор партнера з повними правами.
1

Видаліть усіх клієнтів з усіх кластерів, як зазначено в Видалити організації клієнтів.

2

Анулюйте CMK усіх клієнтів, як зазначено в Анулюйте CMK клієнтів, видалених із HDS..

3

Видаліть усі вузли з усіх кластерів, як зазначено в Видалити вузол.

4

Видаліть усі кластери з Партнерського центру за допомогою одного з двох наведених нижче способів.

  • Клацніть кластер, який потрібно видалити, і виберіть Видалити цей кластер у правому верхньому куті сторінки огляду.
  • На сторінці Ресурси клацніть … праворуч від кластера та виберіть Видалити кластер.
5

Клацніть вкладку Налаштування на сторінці огляду гібридної безпеки даних і натисніть Деактивувати HDS на картці стану HDS.

Початок роботи з гібридною безпекою даних для кількох клієнтів

Огляд гібридної безпеки даних для кількох клієнтів

З першого дня безпека даних була основним завданням у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, яке ввімкнено клієнтами програми Webex, які взаємодіють зі службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і дешифрування повідомлень і файлів.

За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS у області безпеки Cisco. Гібридна безпека даних переміщує KMS та інші функції, пов'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не тримає ключі до вашого зашифрованого вмісту.

Багатоклієнтська гібридна безпека даних дозволяє організаціям використовувати HDS через довіреного локального партнера, який може виступати як постачальник послуг і керувати локальним шифруванням та іншими службами безпеки. Це налаштування дозволяє партнерській організації мати повний контроль за розгортанням ключів шифрування та керування ними, а також гарантує безпеку даних користувачів організацій клієнта від зовнішнього доступу. Партнерські організації налаштовують екземпляри HDS і створюють кластери HDS за потреби. Кожен екземпляр може підтримувати кілька організацій клієнта, на відміну від звичайного розгортання HDS, яке обмежується однією організацією.

Хоча партнерські організації мають контроль за розгортанням і керуванням, вони не мають доступу до даних і контенту, що створюються клієнтами. Цей доступ обмежено організаціями клієнта та їхніми користувачами.

Це також дозволяє невеликим організаціям використовувати HDS, оскільки Ключові служби керування та інфраструктура безпеки, як-от центри обробки даних, належать довіреним місцевим партнером.

Як багатоклієнтська гібридна безпека даних забезпечує суверенітет і контроль даних

  • Створений користувачами контент захищено від зовнішнього доступу, як-от постачальники хмарних послуг.
  • Надійні місцеві партнери управляють ключами шифрування клієнтів, з якими вони вже мають налагоджені відносини.
  • Варіант місцевої технічної підтримки, якщо надано партнером.
  • Підтримує контент нарад, обміну повідомленнями й викликів.

Цей документ спрямований на допомогу партнерським організаціям у налаштуванні та керуванні клієнтами в системі гібридної безпеки даних із підтримкою кількох клієнтів.

Ролі в гібридній безпеці даних із кількома клієнтами

  • Повний адміністратор партнера – може керувати налаштуваннями для всіх клієнтів, якими керує партнер. Також може призначати ролі адміністратора наявним користувачам в організації та призначати певних клієнтів, якими керуватимуть адміністратори партнера.
  • Адміністратор партнера – може керувати налаштуваннями клієнтів, підготовленими адміністратором або призначеними користувачу.
  • Повний адміністратор – адміністратор партнерської організації, який має право виконувати такі завдання, як зміна налаштувань організації, керування ліцензіями та призначення ролей.
  • Наскрізне налаштування HDS із підтримкою кількох клієнтів і керування всіма організаціями клієнта – потрібні права повного адміністратора партнера та повного адміністратора.
  • Керування призначеними організаціями клієнта : потрібні права адміністратора партнера та повного адміністратора.

Архітектура області безпеки

Хмарна архітектура Webex розділяє різні типи служб на окремі області або домени довіри, як показано нижче.

Області розділення (без гібридної безпеки даних)

Щоб краще зрозуміти гібридну безпеку даних, спочатку розгляньмо цей випадок у чистому хмарі, де Cisco надає всі функції у своїх хмарних областях. Служба ідентифікації, єдине місце, де користувачі можуть бути безпосередньо пов’язані з їхньою персональною інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зрештою зберігається зашифрований контент, в центрі обробки даних C.

На цій діаграмі клієнтом є програма Webex, що працює на ноутбуці користувача й автентифікувався за допомогою служби ідентифікації. Коли користувач складає повідомлення для надсилання до простору, виконуються такі кроки:

  1. Клієнт встановлює захищене з’єднання зі службою керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Для захищеного з’єднання використовується ECDH, а KMS шифрує ключ за допомогою основного ключа AES-256.

  2. Повідомлення зашифровано перед тим, як воно залишає клієнта. Клієнт надсилає його в службу індексації, яка створює зашифровані пошукові індекси для допомоги в подальшому пошуку контенту.

  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

  4. Зашифроване повідомлення зберігається в області сховища.

Під час розгортання гібридної безпеки даних ви переміщуєте функції області безпеки (KMS, індексація та відповідність) до локального центру обробки даних. Інші хмарні служби, які складають Webex (зокрема, ідентифікаційні дані та сховище контенту), залишаються в області Cisco.

Співпраця з іншими організаціями

Користувачі вашої організації можуть регулярно використовувати програму Webex для співпраці з зовнішніми учасниками в інших організаціях. Коли один із ваших користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), ваш KMS надсилає ключ клієнту через канал, захищений ECDH. Однак, якщо ключ для простору належить іншій організації, ваш KMS надсилає запит в хмару Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в вихідному каналі.

Служба KMS, яку запущено в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Додаткову інформацію про створення сертифіката x.509 для використання з розгортанням багатоклієнтської гібридної безпеки даних див. в розділі Підготовка середовища .

Очікування розгортання гібридної безпеки даних

Розгортання гібридної безпеки даних вимагає значної прихильності та обізнаності про ризики, які виникають при наявності ключів шифрування.

Щоб розгорнути гібридну безпеку даних, необхідно надати:

Повна втрата ISO конфігурації, яку ви створюєте для гібридної безпеки даних, або бази даних, яку ви надаєте, призведе до втрати ключів. Втрата ключа забороняє користувачам розшифрувати контент простору та інші зашифровані дані в програмі Webex. Якщо це станеться, ви зможете створити нове розгортання, але буде відображено лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

  • Керування резервним копіюванням і відновленням бази даних та ISO конфігурації.

  • Будьте готові до швидкого відновлення після відмови в разі виникнення катастрофи, як-от помилка диска бази даних або помилка центру обробки даних.

Відсутній механізм для переміщення ключів назад у хмару після розгортання HDS.

Процес налаштування на високому рівні

Цей документ охоплює налаштування та керування розгортанням гібридної безпеки даних із кількома клієнтами:

  • Налаштування гібридної безпеки даних. Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення гібридної безпеки даних, створення кластера HDS, додавання організацій-клієнтів до кластера та керування їхніми основними ключами клієнта (CMK). Це дозволить усім користувачам в організації клієнта використовувати кластер гібридної безпеки даних для функцій безпеки.

    Етапи налаштування, активації та керування докладно описані в наступних трьох розділах.

  • Підтримуйте розгортання гібридної безпеки даних. Хмара Webex автоматично забезпечує постійні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати сповіщення на екрані та налаштувати сповіщення на основі електронної пошти в Партнерському центрі.

  • Ознайомтеся з поширеними сповіщеннями, кроками усунення несправностей і відомими проблемами. Якщо у вас виникли проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й вирішити цю проблему.

Модель розгортання гібридної безпеки даних

У вашому центрі обробки даних підприємства ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли зв’язуються з хмарою Webex за допомогою захищених вебсокетів і захищеного HTTP.

Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами VM. Ви використовуєте інструмент налаштування HDS для створення користувацького файлу конфігурації ISO кластера, який буде змонтовано на кожному вузлі. Кластер гібридної безпеки даних використовує наданий сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і відомості про підключення до бази даних в інструменті налаштування HDS.)

Модель розгортання гібридної безпеки даних

Мінімальна кількість вузлів, які можна мати в кластері, дорівнює два. Рекомендовано принаймні три для кластера. Наявність кількох вузлів гарантує, що служба не переривається під час оновлення версії програмного забезпечення або іншої діяльності з обслуговування на вузлі. (Хмара Webex оновлює лише один вузол за раз.)

Усі вузли в кластері отримують доступ до одного єдиного сервера системних даних і активності журналу. Самі вузли не мають статусу, і обробляють ключові запити круглим способом, як спрямовано хмарою.

Вузли стають активними, коли їх зареєстровано в Партнерському центрі. Щоб вилучити окремий вузол із експлуатації, його можна скасувати реєстрацію, а в разі потреби повторно зареєструвати.

Центр даних у режимі очікування для відновлення після відмови

Під час розгортання ви налаштували безпечний центр обробки даних у режимі очікування. У разі несправності центру обробки даних ви можете вручну не виконувати перехід до центру обробки даних у режимі очікування.

Перед аварійним переходом центр обробки даних A має активні вузли HDS і основну базу даних PostgreSQL або Microsoft SQL Server, тоді як B має копію файлу ISO з додатковими конфігураціями, зареєстрованими в організації VM, і базу даних у режимі очікування. Після аварійного перемикання центр обробки даних B має активні вузли HDS і основну базу даних, тоді як A має незареєстровані VM і копію файлу ISO, а база даних перебуває в режимі очікування.
Ручне аварійне перемикання на центр обробки даних у режимі очікування

Бази даних активних та резервних центрів обробки даних синхронізуються один з одним, що дозволить мінімізувати час, необхідний для виконання аварійного перемикання.

Активні вузли гібридної безпеки даних завжди мають бути в тому самому центрі обробки даних, що й активний сервер бази даних.

Підтримка проксі

Гібридна безпека даних підтримує явні, прозорі перевірки та неінспектування проксі. Ви можете прив'язати ці проксі до свого розгортання, щоб ви могли захищати та контролювати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для управління сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

Гібридні вузли захисту даних підтримують такі параметри проксі-сервера:

  • Немає проксі— За замовчуванням, якщо для інтеграції проксі не використовується налаштування вузла HDS Store і Proxy. Оновлення сертифіката не потрібне.

  • Прозорий неінспекційний проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін до роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.

  • Прозоре тунелювання чи інспектування проксі— вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах не потрібні зміни конфігурації HTTP або HTTPS. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

  • Явний проксі. За допомогою явного проксі-сервера вузлам HDS слід визначити, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі, необхідно ввести наступну інформацію на кожному вузлі:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

      • HTTP — Перегляд і контроль усіх запитів, які надсилає клієнт.

      • HTTPS — забезпечує канал серверу. Клієнт отримує та перевіряє сертифікат сервера.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно, лише якщо в якості проксі-протоколу вибрано протокол HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

Приклад гібридних вузлів безпеки даних і проксі-сервера

На цій схемі наведено приклад підключення між гібридною безпекою даних, мережею та проксі-сервером. Для прозорої перевірки та явної перевірки параметрів проксі-сервера HTTPS на проксі-сервері та на вузлах гібридної безпеки даних повинен бути встановлений той самий кореневий сертифікат.

Заблокований зовнішній режим роздільної здатності DNS (явні конфігурації проксі)

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. У розгортаннях з явними конфігураціями проксі-сервера, які не дозволяють зовнішню роздільну здатність DNS для внутрішніх клієнтів, якщо вузол не може запитувати DNS-сервери, він автоматично переходить у режим блокування зовнішньої роздільної здатності DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести проксі-підключення.

Підготовка середовища

Вимоги до гібридної безпеки даних із кількома клієнтами

Вимоги до ліцензії Cisco Webex

Щоб розгорнути безпеку гібридних даних із кількома клієнтами, виконайте наведені нижче дії.

  • Партнерські організації: Зверніться до партнера Cisco або менеджера облікового запису й переконайтеся, що функцію кількох клієнтів увімкнено.

  • Організації осередків: Необхідно мати професійний пакет для Cisco Webex Control Hub. (Див. https://www.cisco.com/go/pro-pack.)

Вимоги до робочого стола Docker

Перш ніж установити вузли HDS, необхідно Docker Desktop, щоб запустити програму встановлення. Docker нещодавно оновив свою ліцензійну модель. Ваша організація може вимагати платну підписку на Docker Desktop. Для отримання детальної інформації див. допис у блозі Docker "Docker оновлює та розширює підписку на наш продукт".

Вимоги до сертифіката X.509

Ланцюжок сертифікатів повинен відповідати таким вимогам:

Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

Вимоги

Відомості

  • Підписано довіреним центром сертифікації (CA)

За замовчуванням ми довіряємо ценам у списку Mozilla (за винятком WoSign і StartCom) за адресою https://wiki.mozilla.org/CA:IncludedCAs.

  • Має доменне ім’я (CN), яке ідентифікує розгортання гібридної безпеки даних.

  • Не є сертифікатом узагальнення

CN не обов’язково бути доступним або організатором у режимі реального часу. Ми рекомендуємо використовувати ім’я, що відображає вашу організацію, наприклад hds.company.com.

CN не має містити символ * (узагальнення).

CN використовується для перевірки вузлів гібридної безпеки даних клієнтам програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, визначеного в полях SAN x.509v3.

Після реєстрації вузла з цим сертифікатом зміна доменного імені CN не підтримується.

  • Підпис без SHA1

Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключення до KMS інших організацій.

  • Відформатований як файл PKCS #12 із захищеним паролем

  • Використовуйте дружнє ім’я kms-private-key , щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.

Щоб змінити формат сертифіката, можна використовувати перетворювач, наприклад OpenSSL.

Вам потрібно буде ввести пароль, коли ви запустите інструмент налаштування HDS.

Програмне забезпечення KMS не вимагає використання ключів або розширених обмежень використання ключів. Деякі органи сертифікації вимагають, щоб до кожного сертифіката застосовувалися розширені обмеження використання ключа, як-от автентифікація сервера. Цілком нормально використовувати автентифікацію сервера або інші налаштування.

Вимоги до віртуального організатора

Віртуальні вузли, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері, мають такі вимоги:

  • Принаймні два окремих хоста (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

  • VMware ESXi 7.0 (або пізнішої версії) встановлено та запущено.

    Необхідно оновити версію, якщо у вас попередня версія ESXi.

  • Мінімум 4 вЦП, 8 ГБ основної пам’яті, 30 ГБ локального жорсткого диска на сервер

Вимоги до сервера бази даних

Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

Для сервера бази даних існує два параметри. Вимоги до кожного з них такі:

Таблиця 2. Вимоги до сервера бази даних за типом бази даних

Postgre SQL

Сервер Microsoft SQL

  • PostgreSQL 14, 15 або 16, встановлено та запущено.

  • Встановлено SQL Server 2016, 2017 або 2019 (корпоративний або стандартний).

    SQL Server 2016 вимагає пакета оновлень 2 та кумулятивного оновлення 2 або пізнішої версії.

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Програмне забезпечення HDS зараз установлює такі версії драйверів для зв’язку з сервером бази даних:

Postgre SQL

Сервер Microsoft SQL

Postgres драйвер JDBC 42.2.5

Драйвер JDBC SQL Server 4.6

Ця версія драйвера підтримує SQL Server Always On (Завжди ввімкнені екземпляри аварійного перемикання кластерів і Always On групи доступності).

Додаткові вимоги до автентифікації Windows проти Microsoft SQL Server

Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для доступу до вашої бази даних ключів на Microsoft SQL Server, то у вашому середовищі потрібна така конфігурація:

  • Вузли HDS, інфраструктуру Active Directory і MS SQL Server мають бути синхронізовані з NTP.

  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ до бази даних для читання та запису.

  • DNS-сервери, які ви надаєте вузлам HDS, повинні мати змогу вирішити ваш центр розподілу ключів (KDC).

  • Можна зареєструвати екземпляр бази даних HDS на сервері Microsoft SQL як основне ім’я служби (SPN) в Active Directory. Див. розділ Реєстрація імені головної служби для з’єднань Kerberos.

    Засіб налаштування HDS, засіб запуску HDS та локальний KMS — усі необхідні для використання автентифікації Windows для доступу до бази даних сховища ключів. Вони використовують відомості з конфігурації ISO для побудови SPN під час запиту доступу за допомогою автентифікації Kerberos.

Вимоги до зовнішнього з’єднання

Налаштуйте брандмауер, щоб дозволити таке підключення для програм HDS:

Застосування

Протокол

Порт

Напрямок з програми

Призначення

Вузли гібридної безпеки даних

TCP

443

Вихідні HTTPS і WSS

  • Сервери Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Усі організатори Common Identity

  • Інші URL-адреси, перелічені для гібридної безпеки даних у таблиці «Додаткові URL-адреси для гібридних служб Webex»«Вимоги до мережі для служб Webex»

Інструмент налаштування HDS

TCP

443

Вихідний HTTPS

  • *.wbx2.com

  • Усі організатори Common Identity

  • hub.docker.com

Вузли гібридної безпеки даних працюють із перекладом мережевого доступу (NAT) або за брандмауером, доки NAT або брандмауер дозволяють необхідні вихідні з’єднання з адресами домену, наведеними в попередній таблиці. Для з’єднань, які надходять на вхідні дані до вузлів гібридної безпеки даних, порти не повинні відображатися з інтернету. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

URL-адреси для хостів Common Identity (CI) притаманні регіонам. Це поточні організатори CI:

Регіон

URL-адреси загальних ідентифікаційних ресурсів

Північна та Південна Америки

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Європейський Союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сінгапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Об’єднані Арабські Емірати

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Вимоги до проксі-сервера

  • Ми офіційно підтримуємо наступні проксі-рішення, які можуть інтегруватися з вашими вузлами гібридної безпеки даних.

  • Ми підтримуємо такі комбінації типів автентифікації для явних проксі:

    • Немає автентифікації за допомогою HTTP або HTTPS

    • Базова автентифікація за допомогою HTTP або HTTPS

    • Автентифікація дайджесту лише за допомогою ПРОТОКОЛУ HTTPS

  • Для прозорої перевірки проксі-сервера або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі-сервера. Інструкції з розгортання в цьому посібнику розповідають, як завантажити копію в надійні сховища вузлів гібридної безпеки даних.

  • Мережа, в якій розміщуються вузли HDS, повинна бути налаштована на примусове витіснення TCP-трафіку на порту 443 для маршрутизації через проксі.

  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з'єднанню веб-сокетів. При виникненні даної проблеми проблему вирішить обхід (не огляд) трафіку на wbx2.com і ciscospark.com .

Виконати передумови для гібридної безпеки даних

Використовуйте цей контрольний список, щоб переконатися, що ви готові встановити та налаштувати кластер гібридної безпеки даних.
1

Переконайтеся, що в партнерській організації ввімкнено функцію HDS для кількох клієнтів, і отримайте облікові дані облікового запису з повним адміністратором партнера та повними правами адміністратора. Переконайтеся, що в організації клієнта Webex увімкнено пакет Pro Pack для Cisco Webex Control Hub. Зверніться до партнера Cisco або менеджера облікового запису по допомогу в цьому процесі.

Організації клієнтів не повинні мати наявне розгортання HDS.

2

Виберіть доменне ім’я для розгортання HDS (наприклад, hds.company.com) і отримайте ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ та будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам Вимог до сертифіката X.509.

3

Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері. Потрібно принаймні два окремих організатори (рекомендовано 3), розташовані в одному захищеному центрі обробки даних, які відповідають вимогам Вимог до віртуального організатора.

4

Підготуйте сервер бази даних, який діятиме як сховище ключових даних для кластера, відповідно до вимог сервера бази даних. Сервер бази даних має бути розташовано в захищеному центрі обробки даних із віртуальними організаторами.

  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Після встановлення програми HDS створюють схему бази даних.)

  2. Зберіть деталі, які будуть використовувати вузли для зв’язку з сервером бази даних:

    • ім’я хоста або IP-адреса (хост) і порт

    • ім’я бази даних (dbname) для сховища ключів

    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

5

Для швидкого відновлення після відмови налаштуйте резервне середовище в іншому центрі обробки даних. Середовище резервного копіювання відображає середовище виробництва VM і сервер резервної бази даних. Наприклад, якщо у виробництві є 3 VM, які працюють вузли HDS, резервне середовище має мати 3 VM.

6

Налаштуйте хост syslog, щоб збирати журнали з вузлів у кластері. Зберіть його мережеву адресу та порт системного журналу (за замовчуванням — UDP 514).

7

Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста syslog. Як мінімум, щоб запобігти невиправній втраті даних, потрібно створити резервну копію бази даних і файл ISO конфігурації, створений для вузлів гібридної безпеки даних.

Оскільки вузли гібридної безпеки даних зберігають ключі, які використовуються для шифрування та дешифрування контенту, невдача підтримки оперативного розгортання призведе до НЕЗВОРОТНОЇ ВТРАТИ цього контенту.

Клієнти програми Webex ховають свої ключі, тому перебої в роботі можуть бути непомітні, але з часом ставати очевидними. Хоча тимчасові перебої неможливо запобігти, вони можуть бути відновлені. Однак повна втрата (резервних копій відсутні) файлу бази даних або ISO конфігурації призведе до незворотних даних клієнтів. Очікується, що оператори вузлів гібридної безпеки даних підтримуватимуть часті резервні копії бази даних та файлу конфігурації ISO, а також будуть готові відновити центр обробки даних гібридної безпеки даних у разі виникнення катастрофічного відмови.

8

Переконайтеся, що конфігурація брандмауера дозволяє підключення для вузлів гібридної безпеки даних, як описано в розділі Вимоги до зовнішнього з’єднання.

9

Установіть Docker ( https://www.docker.com) на будь-якому локальному комп’ютері, який працює на підтримуваній ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядній версії або Mac OSX Yosemite 10.10.3 або новіша версія) із веббраузером, який може отримати доступ до нього на сторінці http://127.0.0.1:8080.

Екземпляр Docker використовується для завантаження та запуску інструменту налаштування HDS, який збирає інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Можливо, потрібна ліцензія Docker Desktop. Додаткову інформацію див. в розділі Вимоги до робочого стола Docker .

Щоб установити й запустити інструмент налаштування HDS, локальний комп’ютер повинен мати параметр підключення, описаний у розділі Вимоги до зовнішнього підключення.

10

Під час інтеграції проксі з гібридною безпекою даних переконайтеся, що він відповідає вимогам до проксі-сервера.

Налаштувати кластер гібридної безпеки даних

Процес розгортання гібридної безпеки даних

Перш ніж почати

1

Виконати початкове налаштування та завантажити файли інсталяції

Завантажте файл OVA на локальний комп’ютер для подальшого використання.

2

Створити ISO конфігурації для хостів HDS

Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

3

Установити OVA організатора HDS

Створіть віртуальну машину з файлу OVA та виконайте початкову конфігурацію, наприклад налаштування мережі.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 7.0. Цей параметр може бути недоступний у попередніх версіях.

4

Налаштувати VM гібридної безпеки даних

Увійдіть до консолі VM і встановіть облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо їх не було налаштовано на момент розгортання OVA.

5

Вивантажити та змонтувати ISO конфігурації HDS

Налаштуйте VM із файлу конфігурації ISO, який ви створили за допомогою інструменту налаштування HDS.

6

Налаштування вузла HDS для інтеграції проксі

Якщо мережеве середовище потребує конфігурації проксі, укажіть тип проксі, який буде використовуватися для вузла, а в разі потреби додайте проксі-сертифікат до сховища довірених сертифікатів.

7

Зареєструвати перший вузол у кластері.

Зареєструйте VM із хмарою Cisco Webex як вузол гібридної безпеки даних.

8

Створити й зареєструвати більше вузлів

Завершіть налаштування кластера.

9

Активуйте HDS із підтримкою кількох клієнтів у Партнерському центрі.

Активуйте HDS і керуйте організаціями клієнтів у Партнерському центрі.

Виконати початкове налаштування та завантажити файли інсталяції

У цьому завданні ви завантажуєте файл OVA на комп’ютер (не на сервери, налаштовані як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.

1

Увійдіть у Партнерський центр і клацніть Служби.

2

У розділі «Хмарні служби» знайдіть картку гібридної безпеки даних, а потім клацніть Налаштувати.

Натискання Налаштувати в партнерському центрі має критичне значення для процесу розгортання. Не продовжуйте встановлення, не виконавши цей крок.

3

Клацніть Додати ресурс і клацніть Завантажити файл OVA на картці встановлення та налаштування програмного забезпечення .

Старіші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до виникнення проблем під час оновлення версії програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

OVA також можна завантажити будь-коли з розділу Довідка . Клацніть Налаштування > Довідка > Завантажити програмне забезпечення гібридної безпеки даних.

Файл OVA автоматично розпочне завантаження. Збережіть файл у розташуванні на комп’ютері.
4

Додатково клацніть Переглянути посібник із розгортання гібридної безпеки даних , щоб перевірити, чи доступна пізніша версія цього посібника.

Створити ISO конфігурації для хостів HDS

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

Перш ніж почати
1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO ви маєте такі параметри:

  • Ні. Якщо ви створюєте перший вузол HDS, у вас немає файлу ISO для передавання.
  • Так. Якщо ви вже створили вузли HDS, виберіть у браузері файл ISO й передайте його.
10

Переконайтеся, що сертифікат X.509 відповідає вимогам Вимогам до сертифіката X.509.

  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити.
  • Якщо сертифікат OK, клацніть Продовжити.
  • Якщо термін дії сертифіката завершився або ви хочете замінити його, виберіть Ні , щоб Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO?. Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити.
11

Введіть адресу бази даних та обліковий запис HDS, щоб отримати доступ до свого сервера ключових даних:

  1. Виберіть тип бази даних (PostgreSQL або Microsoft SQL Server).

    Якщо вибрати Microsoft SQL Server, буде отримано поле типу автентифікації.

  2. (тільки Microsoft SQL Server ) Виберіть тип автентифікації:

    • Базова автентифікація: Потрібне локальне ім’я облікового запису SQL Server у полі Ім’я користувача .

    • Автентифікація Windows: Потрібен обліковий запис Windows у форматі username@DOMAIN у полі Ім’я користувача .

  3. Введіть адресу сервера бази даних у формі : або :.

    Приклад:
    dbhost.example.org:1433 або 198.51.100.17:1433

    Для базової автентифікації можна використовувати IP-адресу, якщо вузли не можуть використовувати DNS для вирішення імені хоста.

    Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433

  4. Введіть ім’я бази даних.

  5. Введіть ім’я користувача й пароль користувача з усіма правами у базі даних сховища ключів.

12

Виберіть режим підключення до бази даних TLS:

Режим

Опис

Віддавати перевагу TLS (параметр за замовчуванням)

Вузли HDS не потребують TLS для з 'єднання з сервером бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли спробують зашифроване з’єднання.

Вимагати TLS

Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

Вимагати TLS і перевірити підписувача сертифіката

Цей режим не застосовується до баз даних SQL Server.

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Вимагати TLS і перевірити особу, яка підписала сертифікат, і назву вузла

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

  • Вузли також перевіряють, чи ім’я хоста в сертифікаті сервера збігається з ім’ям хоста в полі Хост бази даних і порт . Імена повинні точно збігатися, або вузол скасує з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Коли передано кореневий сертифікат (за потреби) і клацніть Продовжити, інструмент налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє особу, яка підписала сертифікат, і назву вузла, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності здатності до з’єднання вузли HDS зможуть встановити підключення TLS, навіть якщо машина інструмента налаштування HDS не може його успішно перевірити.)

13

На сторінці системних журналів налаштуйте сервер Syslogd:

  1. Введіть URL-адресу сервера syslog.

    Якщо сервер DNS-розв’язний із вузлів для кластера HDS, використайте IP-адресу в URL.

    Приклад:
    udp://10.92.43.23:514 вказує на вхід до хоста Syslogd 10.92.43.23 на порту UDP 514.

  2. Якщо ви налаштували сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер syslog для шифрування SSL?.

    Якщо встановити цей прапорець, обов’язково введіть URL-адресу TCP, наприклад tcp://10.92.43.23:514.

  3. У розкривному списку Вибрати завершення запису syslog виберіть відповідні налаштування для вашого файлу ISO: Виберіть або використовується нова лінія для Graylog і Rsyslog TCP

    • Нульовий байт --\ x00

    • Новий рядок -- \n- Виберіть цей вибір для Graylog і Rsyslog TCP.

  4. Клацніть Продовжити.

14

(Необов’язково) Ви можете змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Додаткові налаштування. Загалом, цей параметр є єдиним, який ви можете змінити:

app_datasource_connection_pool_maxРозмір: 10
15

Клацніть Продовжити на екрані Скинути пароль облікових записів служби .

Паролі облікового запису служби тривають дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів добігає кінця, або ви хочете скинути їх, щоб скасувати попередні файли ISO.

16

Клацніть Завантажити файл ISO. Збережіть файл у зручному для пошуку розташуванні.

17

Зробіть резервну копію файлу ISO у локальній системі.

Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

18

Щоб закрити інструмент налаштування, введіть CTRL+C.

Що далі

Створіть файл ISO конфігурації. Він потрібен для створення більше вузлів для відновлення або для внесення змін до конфігурації. Якщо ви втратите всі копії файлу ISO, ви також втратили основний ключ. Неможливо відновити ключі з бази даних PostgreSQL або Microsoft SQL Server.

У нас ніколи не буде копії цього ключа, і ми не зможемо допомогти, якщо ви його втратите.

Установити OVA організатора HDS

Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi.

2

Виберіть Файл > Розгорнути шаблон OVF.

3

У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі.

4

На сторінці Вибрати ім’я та папку введіть Ім’я віртуальної машини для вузла (наприклад, "HDS_Node_1"), виберіть розташування, де може розміщуватися розгортання вузла віртуальної машини, а потім клацніть Далі.

5

На сторінці Вибрати обчислювальний ресурс , виберіть обчислювальний ресурс призначення, а потім клацніть Далі.

Виконується перевірка перевірки. Після його завершення деталі шаблону з’являться.

6

Перевірте відомості про шаблон, а потім клацніть Далі.

7

Якщо вас попросять вибрати конфігурацію ресурсу на сторінці Конфігурація , клацніть 4 ЦП , а потім клацніть Далі.

8

На сторінці Вибрати сховище клацніть Далі , щоб прийняти формат диска за замовчуванням і політику зберігання VM.

9

На сторінці Вибрати мережі виберіть параметр мережі зі списку записів, щоб забезпечити потрібне підключення до VM.

10

На сторінці Налаштувати шаблон налаштуйте такі налаштування мережі.

  • Ім’я хоста—Введіть повне доменне ім’я (ім’я хоста та домен) або ім’я хоста з одним словом для вузла.

    • Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

    • Щоб забезпечити успішну реєстрацію в хмару, використовуйте лише малі символи в повному домені або імені хоста, налаштованому для вузла. Капіталізація наразі не підтримується.

    • Загальна довжина повного домену не повинна перевищувати 64 символи.

  • IP-адреса— введіть IP-адресу для внутрішнього інтерфейсу вузла.

    Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

  • Маска—Введіть адресу маски підмережі в крапку з комою. Наприклад, 255.255.255.0.
  • Шлюз—Введіть IP-адресу шлюзу. Шлюз – це мережевий вузол, який служить точкою доступу до іншої мережі.
  • Сервери DNS — введіть список, розділений комами, список DNS-серверів, який обробляє перетворення доменних імен на числові IP-адреси. (Дозволено до 4 записів DNS.)
  • Сервери NTP—Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Також можна використовувати список розділених комами, щоб ввести кілька серверів NTP.

  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними від клієнтів у вашій мережі для адміністративних цілей.

За бажанням можна пропустити конфігурацію налаштування мережі та виконати кроки в розділі Налаштування VM гібридної безпеки даних , щоб налаштувати параметри з консолі вузла.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 7.0. Цей параметр може бути недоступний у попередніх версіях.

11

Клацніть правою кнопкою миші вузол VM, а потім виберіть Power > Power On.

Програмне забезпечення гібридної безпеки даних встановлюється як гість на хост VM. Тепер ви готові увійти до консолі й налаштувати вузол.

Поради щодо усунення несправностей

Перед появою контейнерів вузла може знадобитися затримка в кілька хвилин. Під час першого завантаження на консолі з’являється повідомлення брандмауера мосту, під час якого ви не можете ввійти.

Налаштувати VM гібридної безпеки даних

Використовуйте цю процедуру, щоб вперше увійти на консоль вузла гібридної безпеки даних VM і встановити облікові дані для входу. Крім того, можна використовувати консоль для налаштування мережевих параметрів для вузла, якщо їх не було налаштовано під час розгортання OVA.

1

У клієнті VMware vSphere виберіть вузол гібридної безпеки даних VM і перейдіть на вкладку Консоль .

VM завантажується, і з’явиться підказка для входу. Якщо вікно підказки не відображається, натисніть Enter.
2

Щоб увійти й змінити облікові дані, використовуйте наведені нижче дані для входу та пароля за замовчуванням:

  1. Вхід: адміністратор

  2. Пароль: Cisco

Оскільки ви вперше входите в VM, вам потрібно змінити пароль адміністратора.

3

Якщо ви вже налаштували налаштування мережі в Установити OVA хоста HDS, пропустіть решту цієї процедури. В іншому разі в головному меню виберіть параметр Змінити конфігурацію .

4

Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

5

(Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно відповідно до політики мережі.

Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

6

Збережіть конфігурацію мережі та перезавантажте VM, щоб зміни набули сили.

Вивантажити та змонтувати ISO конфігурації HDS

Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою інструмента налаштування HDS.

Перед початком

Оскільки файл ISO має основний ключ, він повинен бути розкритий лише на основі "потрібно знати" для доступу VM гібридної безпеки даних і будь-яких адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

1

Передайте файл ISO зі свого комп’ютера:

  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

  2. На вкладці Конфігурація Список обладнання клацніть Сховище.

  3. У списку Datastors клацніть правою кнопкою миші на станції даних для ваших VM і клацніть Browse Datastore.

  4. Клацніть значок «Передати файли», а потім Передати файл.

  5. Перейдіть до розташування, де ви завантажили файл ISO на свій комп’ютер, і клацніть Відкрити.

  6. Клацніть Так , щоб прийняти попередження операції передавання/завантаження, і закрийте діалогове вікно сховища даних.

2

Змонтувати файл ISO:

  1. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  2. Клацніть ОК , щоб прийняти попередження про обмежені параметри редагування.

  3. Клацніть Диск CD/DVD 1, виберіть параметр для змонтування з файлу ISO зі сховища даних і перейдіть до розташування, де передано файл ISO конфігурації.

  4. Перевірте Підключено та Підключитися при увімкненні живлення.

  5. Збережіть зміни та перезавантажте віртуальну машину.

Що далі

Якщо потрібна ваша політика ІТ, ви можете додатково демонтувати файл ISO після того, як всі вузли дослухаються змін конфігурації. Див. (Необов’язково) Демонтування ISO після конфігурації HDS , щоб отримати додаткові відомості.

Налаштування вузла HDS для інтеграції проксі

Якщо для мережного середовища потрібен проксі-сервер, скористайтеся цією процедурою, щоб указати тип проксі-сервера, який потрібно інтегрувати з hybrid Data Security. Якщо ви виберете прозорий проксі-сервер перевірки або явний проксі-сервер HTTPS, ви можете використовувати інтерфейс вузла для завантаження та встановлення кореневого сертифіката. Ви також можете перевірити проксі-з'єднання з інтерфейсу та усунути будь-які потенційні проблеми.

Перш ніж почати

1

Введіть URL-адресу для настроювання вузла HDS https://[IP-адреса вузла HDS або FQDN]/setup у веб-браузері, введіть облікові дані адміністратора, які ви налаштували для вузла, а потім натисніть кнопку Увійти.

2

Перейдіть до Надійного магазину та проксі-сервера, а потім виберіть параметр:

  • Немає проксі— параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібне.
  • Прозорий неінспекційний проксі—вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін для роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.
  • Прозорий проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних не потрібні зміни конфігурації HTTPS, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі-серверу. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
  • Явний проксі — за допомогою явного проксі-сервера клієнту (вузли HDS) можна вказати, який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести такі відомості:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — виберіть http (переглядає та контролює всі запити, отримані від клієнта) або https (надає канал на сервер, клієнт отримує та перевіряє сертифікат сервера). Виберіть варіант, виходячи з того, що підтримує ваш проксі-сервер.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно для проксі HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно для проксі HTTP або HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно лише для проксі HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

Виконайте наступні кроки для прозорої перевірки проксі-сервера, явного HTTP-проксі з базовою автентифікацією або явного проксі-сервера HTTPS.

3

Клацніть « Завантажити кореневий сертифікат» або «Завершити сертифікатсутності», а потім перейдіть до вибору кореневого сертифіката для проксі-сервера.

Сертифікат завантажено, але ще не інстальовано, оскільки для встановлення сертифіката потрібно перезавантажити вузол. Клацніть стрілку шеврона біля імені емітента сертифіката, щоб отримати докладніші відомості, або натисніть кнопку Видалити , якщо ви припустилися помилки та хочете повторно завантажити файл.

4

Натисніть кнопку Перевірити підключення до проксі, щоб перевірити підключення до мережі між вузлом і проксі-сервером.

Якщо тест підключення не пройшов, ви побачите повідомлення про помилку, у якому вказано причину та способи усунення проблеми.

Якщо ви бачите повідомлення про те, що зовнішня роздільна здатність DNS не була успішною, вузол не зміг дістатися до DNS-сервера. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол буде працювати в режимі роздільної здатності заблокованих зовнішніх DNS. Якщо ви вважаєте, що це помилка, виконайте наведені дії, а потім перегляньте Вимкнути режим роздільної здатності заблокованих зовнішніх DNS.

5

Після того, як тест з'єднання пройде, для явного проксі-сервера, встановленого лише на https, увімкніть перемикач до Маршрутизація всіх запитів порту 443/444 https з цього вузла через явний проксі. Для набрання чинності цим параметром потрібно 15 секунд.

6

Натисніть кнопку Інсталювати всі сертифікати в надійний магазин (відображається для проксі-сервера HTTPS відвертої перевірки або прозорого проксі-сервера для перевірки) або Перезавантажити (відображається для явного проксі-сервера HTTP), прочитайте запит і натисніть кнопку Інсталювати , якщо все готово.

Вузол перезавантажується протягом декількох хвилин.

7

Після перезавантаження вузла увійдіть знову, якщо потрібно, а потім відкрийте сторінку Огляду , щоб перевірити перевірки підключення, щоб переконатися, що всі вони в зеленому стані.

Перевірка проксі-з'єднання лише тестує субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі хмарні домени, перелічені в інструкціях з інсталяції, блокуються на проксі-сервері.

Зареєструвати перший вузол у кластері.

Для цього завдання потрібен універсальний вузол, який ви створили в Налаштування VM гібридної безпеки даних, реєструє вузол із хмарою Webex і перетворює його в вузол гібридної безпеки даних.

Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначений вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Налаштувати.

4

На сторінці, що відкривається, клацніть Додати ресурс.

5

У першому полі Додати вузол введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних.

Рекомендовано назвати кластер залежно від місця географічного розташування вузлів кластера. Приклади: "Сан-Франциско" або "Нью-Йорк" або "Даллас"

6

У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Додати внизу екрана.

Ця IP-адреса або повне доменне ім’я хоста й домен, які використовувалися в Налаштуванні VM гібридної безпеки даних.

З’явиться повідомлення, що вказує на те, що можна зареєструвати свій вузол у Webex.
7

Клацніть Перейти до вузла.

Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації Webex дозволи на доступ до вашого вузла.

8

Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.
9

Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

На сторінці Гібридна безпека даних новий кластер, що містить зареєстрований вами вузол, буде відображено на вкладці Ресурси . Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

Створити й зареєструвати більше вузлів

Щоб додати додаткові вузли до кластера, просто створіть додаткові VM і змонтуйте той самий файл ISO конфігурації, а потім зареєструйте вузол. Рекомендовано мати принаймні 3 вузли.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Створіть нову віртуальну машину з OVA, повторюючи кроки в Установити OVA організатора HDS.

2

Налаштуйте початкову конфігурацію на новому VM, повторюючи кроки в Налаштуванні VM гібридної безпеки даних.

3

У новому VM повторіть кроки в Передати та змонтувати ISO конфігурації HDS.

4

Якщо ви налаштовуєте проксі для розгортання, повторіть кроки в Налаштуйте вузол HDS для інтеграції проксі , як це необхідно для нового вузла.

5

Зареєструйте вузол.

  1. У https://admin.webex.com виберіть Служби в меню ліворуч від екрана.

  2. У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Переглянути всі.

    З’явиться сторінка ресурсів гібридної безпеки даних.

  3. Щойно створений кластер відобразиться на сторінці Ресурси .

  4. Клацніть кластер, щоб переглянути вузли, призначені до кластера.

  5. Клацніть Додати вузол у правій частині екрана.

  6. Введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та натисніть Додати.

    Відкривається сторінка з повідомленням про те, що ви можете зареєструвати свій вузол у хмарі Webex. Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації дозволи на доступ до вашого вузла.

  7. Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

    Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.

  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

    Доданий вузол спливаюче повідомлення також відображається внизу екрана в Партнерському центрі.

    Ваш вузол зареєстровано.

Керування організаціями клієнтів у розділі гібридної безпеки даних із підтримкою кількох клієнтів

Активувати HDS із підтримкою кількох клієнтів у Партнерському центрі

Це завдання гарантує, що всі користувачі в організації клієнта зможуть почати використовувати HDS для локальних ключів шифрування та інших служб безпеки.

Перед початком

Переконайтеся, що ви завершили налаштування кластера HDS із кількома клієнтами з необхідною кількістю вузлів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

4

Клацніть Активувати HDS на картці стану HDS .

Додати організації осередків у партнерський центр

У цьому завданні призначаються організації клієнтів до кластера гібридної безпеки даних.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

Клацніть кластер, до якого ви хочете призначити клієнта.

5

Перейдіть на вкладку Призначені клієнти .

6

Клацніть Додати клієнтів.

7

Виберіть клієнта, якого потрібно додати з розкривного меню.

8

Клацніть Додати, клієнта буде додано до кластера.

9

Повторіть кроки 6–8, щоб додати декілька клієнтів до кластера.

10

Клацніть Готово внизу екрана після додавання клієнтів.

Що далі

Запустіть інструмент налаштування HDS, як докладніше описано в розділі Створити головні ключі клієнта (CMK), використовуючи інструмент налаштування HDS , щоб завершити процес налаштування.

Створити головні ключі клієнта (CMK) за допомогою інструмента налаштування HDS

Перед початком

Призначте клієнтів до відповідного кластера, як детально описано в Додати організації клієнтів у Партнерському центрі. Запустіть інструмент налаштування HDS, щоб завершити процес налаштування для нещодавно доданих клієнтських організацій.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

Переконайтеся, що підключення до бази даних для виконання керування CMK.
11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Створити CMK для всіх організацій або Створити CMK . Натисніть цю кнопку на банері вгорі екрана, щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Створити CMK , щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть … біля керування CMK, що очікує стан конкретної організації в таблиці, і клацніть Створити CMK , щоб створити CMK для цієї організації.
12

Після успішного створення CMK стан у таблиці буде змінено з очікування керування CMK на кероване CMK.

13

Якщо не вдалося створити CMK, буде відображено помилку.

Видалити організації осередків

Перед початком

Після видалення користувачі організацій клієнтів не зможуть використовувати HDS для потреб шифрування та втратять усі наявні простори. Перш ніж видалити організації клієнтів, зверніться до партнера Cisco або менеджера облікових записів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

На вкладці Ресурси клацніть кластер, з якого потрібно видалити організації клієнтів.

5

На сторінці, що відкривається, клацніть Призначені клієнти.

6

У списку відображуваних організацій клієнта клацніть ... праворуч від організації клієнта, яку потрібно видалити, і клацніть Видалити з кластера.

Що далі

Завершіть процес видалення, відкликавши CMK організацій клієнтів, як описано в розділі Відкликання CMK клієнтів, видалених із HDS.

Відкликайте CMK клієнтів, видалених з HDS.

Перед початком

Видаліть клієнтів із відповідного кластера, як описано в розділі Видалити організації клієнтів. Запустіть інструмент налаштування HDS, щоб завершити процес видалення для організацій клієнтів, які були видалені.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Відкликати CMK для всіх організацій або Відкликати CMK . Натисніть цю кнопку на банері вгорі екрана, щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Відкликати CMK , щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть біля CMK, щоб відкликати стан конкретної організації в таблиці, і клацніть Відкликати CMK , щоб відкликати CMK для цієї конкретної організації.
12

Після успішного відкликання CMK організація клієнта більше не відображатиметься в таблиці.

13

Якщо скасування CMK не вдасться, буде відображено помилку.

Протестуйте розгортання гібридної безпеки даних

Перевірити розгортання гібридної безпеки даних

Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних для кількох клієнтів.

Перед початком

  • Налаштуйте розгортання гібридної безпеки даних із кількома клієнтами.

  • Упевніться, що у вас є доступ до syslog, щоб переконатися, що запити ключів передаються до розгортання гібридної безпеки даних із кількома клієнтами.

1

Ключі для певного простору встановлюються його творцем. Увійдіть в програму Webex як один із користувачів організації клієнта, а потім створіть простір.

Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюються користувачами, більше не буде доступний після заміни кешованих клієнтом копій ключів шифрування.

2

Надішліть повідомлення до нового простору.

3

Перевірте вивід syslog, щоб переконатися, що запити ключів передаються розгортанню гібридної безпеки даних.

  1. Щоб перевірити, чи користувач спочатку встановив безпечний канал для KMS, виконайте фільтрування на kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Ви повинні знайти запис, наприклад такий (ідентифікатори скорочено для зручності читання):
    21 липня 2020 р. 17:35:34.562 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: // hds2. org5. portun. us/ statickeys/ 3[~]0 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2. org5. portun. us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data. uri=kms://hds2. org5. portun. us/ecdhe, kms.data.userId=0[~]2

  2. Щоб перевірити, чи користувач запитує наявний ключ із KMS, виконайте фільтрування у розділі kms.data.method=retrieve і kms.data.type=KEY:

    Необхідно знайти запис, наприклад:
    21 липня 2020 р. 17:44:19.889 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-31] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms. data. method=retrieve, kms. merc.id=c[~]7, kms. merc.sync=false, kms. data. uriHost=ciscospark. com, kms. data. type=KEY, kms. data. requestId=9[~]3, kms. data. uri=kms://ciscospark. com/keys/ d[~]2, kms. data. userId=1[~]b

  3. Щоб перевірити, чи користувач запитує створення нового ключа KMS, виконайте фільтрування у розділі kms.data.method=create і kms.data.type=KEY_COLLECTION:

    Необхідно знайти запис, наприклад:
    21 липня 2020 р. 17:44:21.975 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-33] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data. uri=/keys, kms.data.userId=1[~]b

  4. Щоб перевірити, чи користувача, який запитує створення нового ресурсного об’єкта KMS (KRO) під час створення простору або іншого захищеного ресурсу, виконайте фільтрування у розділі kms.data.method=create та kms.data.type=RESOURCE_COLLECTION:

    Необхідно знайти запис, наприклад: 
    21 липня 2020 р. 17:44:22.808 (+0000) ІНФОРМАЦІЯ KMS [pool-15-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Моніторинг гібридної безпеки даних

Індикатор стану в Партнерському центрі показує, чи все гаразд із розгортанням гібридної безпеки даних для кількох клієнтів. Щоб підвищити активність оповіщень, зареєструйтеся в сповіщеннях електронною поштою. Ви отримаєте сповіщення, якщо з’являться попередження, які впливають на службу, або оновлення версії програмного забезпечення.
1

У Партнерському центрі виберіть Служби в меню зліва екрана.

2

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

З’явиться сторінка параметрів гібридної безпеки даних.
3

У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділених комами, і натисніть Enter.

Керуйте розгортанням HDS

Керування розгортанням HDS

Для керування розгортанням гібридної безпеки даних використовуйте завдання, описані тут.

Установити розклад оновлення кластера.

Оновлення версії програмного забезпечення для гібридної безпеки даних здійснюється автоматично на рівні кластера, завдяки чому всі вузли завжди працюють одну й ту саму версію програмного забезпечення. Оновлення версії здійснюється відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стане доступним, у вас є можливість вручну оновити версію до запланованого часу оновлення версії. Можна встановити конкретний розклад оновлення версії або використовувати розклад за замовчуванням, який становить 3:00 ранку щоденно у США: Америка/Лос-Анджелес. Ви також можете за потреби відкласти майбутні оновлення версії.

Щоб налаштувати розклад оновлення версії, виконайте наведені нижче дії.

1

Увійдіть у партнерський центр.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Налаштувати.

4

На сторінці ресурсів гібридної безпеки даних виберіть кластер.

5

Клацніть вкладку Налаштування кластера .

6

"На сторінці ""Налаштування кластера"" в розділі ""Розклад оновлення версії"" виберіть час і часовий пояс для розкладу оновлення версії."

Примітки У часовому поясі відображено наступну дату й час оновлення версії. Можна відкласти оновлення на наступний день, якщо потрібно, клацнувши Відкласти на 24 години.

Змінити конфігурацію вузла

Іноді вам може знадобитися змінити конфігурацію вузла гібридної безпеки даних з такої причини, як:

  • Зміна сертифікатів x.509 через закінчення терміну дії або інші причини.

    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовується для реєстрації кластера.

  • Оновлення параметрів бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

    Ми не підтримуємо перенесення даних з PostgreSQL до Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, розпочніть нове розгортання гібридної системи захисту даних.

  • Створення нової конфігурації для підготовки нового центру обробки даних.

Крім того, з метою безпеки Hybrid Data Security використовує паролі службових облікових записів, термін дії яких становить дев'ять місяців. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з ваших вузлів HDS у файлі конфігурації ISO. Коли паролі вашої організації наближаються до закінчення терміну дії, ви отримуєте повідомлення від команди Webex про скидання пароля для облікового запису вашого комп'ютера. (Електронний лист містить текст "Використовуйте API облікового запису машини, щоб оновити пароль.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

  • Програмне скидання— старі й нові паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

  • Жорстке скидання— старі паролі негайно припиняють працювати.

Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

Використовуйте цю процедуру, щоб створити новий файл конфігурації ISO і застосувати його до вашого кластера.

Перш ніж почати

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Partner Hub із повними правами адміністратора партнера.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker у 1.e. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Щоб створити нову конфігурацію, вам потрібна копія поточного файла конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. ISO потрібен під час внесення змін у конфігурацію, включаючи облікові дані бази даних, оновлення сертифікатів або зміни в політиці авторизації.

1

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

    У звичайних середовищах:

    docker rmi ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker rmi ciscocitg/ hds- setup- fedramp: stable

    Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

  2. Щоб увійти до реєстру Docker-зображень, введіть наступне:

    docker login - u hdscustomersro

  3. На запиті пароля введіть цей хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Завантажте останнє стабільне зображення для вашого середовища:

    У звичайних середовищах:

    docker pull ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker pull ciscocitg/hds- setup- fedramp: stable

    Обов 'язково потягніть найновіший інструмент налаштування для цієї процедури. Версії інструмента, створені до 22 лютого 2018 року, не мають екранів скидання пароля.

  5. Після завершення витягування введіть відповідну команду для вашого середовища:

    • У звичайних середовищах без проксі-сервера:

      docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

    • У звичайних середовищах з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

    • У звичайних середовищах з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У середовищах FedRAMP без проксі-сервера:

      docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

    • У середовищах FedRAMP з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

    • У середовищах FedRAMP з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Коли контейнер запущений, ви бачите "Експрес-прослуховування сервера на порту 8080".

  6. Використовуйте браузер для підключення до localhost, http://127.0.0.1:8080.

    Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

  7. Коли з’явиться відповідний запит, введіть облікові дані для входу клієнта Partner Hub, а потім клацніть Прийняти , щоб продовжити.

  8. Імпортувати поточний файл конфігурації ISO.

  9. Дотримуйтеся вказівок, щоб завершити роботу інструменту та завантажити оновлений файл.

    Щоб закрити інструмент налаштування, введіть CTRL+C.

  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

2

Якщо у вас працює лише один вузол HDS, створіть новий вузол гібридної безпеки даних VM і зареєструйте його, використовуючи новий файл ISO конфігурації. Докладні інструкції див. в розділі Створення та реєстрація додаткових вузлів.

  1. Встановіть HDS-хост OVA.

  2. Налаштуйте віртуальну машину HDS.

  3. Змонтувати оновлений файл конфігурації.

  4. Зареєструйте новий вузол у партнерському центрі.

3

Для існуючих вузлів HDS, у яких запущено старий файл конфігурації, змонтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

  1. Вимкніть віртуальну машину.

  2. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  3. Натисніть CD /DVD-дисковод 1, виберіть параметр для монтування з файлу ISO та перейдіть до розташування, куди ви завантажили файл ISO нової конфігурації.

  4. Перевірте підключення при увімкненому живленні.

  5. Заощаджуйте зміни та енергію на віртуальній машині.

4

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, який виконує стару конфігурацію.

Вимкнення режиму роздільної здатності заблокованих зовнішніх DNS

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. Якщо DNS-серверу вузла не вдається розпізнати загальнодоступні імена DNS, вузол автоматично переходить у режим блокування зовнішньої роздільної здатності DNS.

Якщо ваші вузли можуть вирішувати загальнодоступні імена DNS через внутрішні DNS-сервери, ви можете вимкнути цей режим, повторивши тест проксі-з'єднання на кожному вузлі.

Перш ніж почати

Переконайтеся, що ваші внутрішні DNS-сервери можуть розпізнавати загальнодоступні імена DNS і що ваші вузли можуть зв'язуватися з ними.
1

У браузері відкрийте інтерфейс вузла гібридної безпеки даних (IP-адреса/налаштування), наприклад, введіть облікові дані адміністратора, https://192.0.2.0/setup), які настроєно для вузла, а потім натисніть кнопку Увійти.

2

Перехід до розділу Огляд (сторінка за замовчуванням).

Якщо ввімкнено, для параметра "Заблокована зовнішня роздільна здатність DNS" встановлено значення "Так".

3

Перейдіть на сторінку Надійний магазин і проксі .

4

Натисніть Перевірити підключенняпроксі-сервера.

Якщо ви бачите повідомлення про те, що зовнішнє дозвіл DNS не було успішним, вузол не зміг дістатися до DNS-сервера і залишиться в цьому режимі. В іншому випадку, після того, як ви перезавантажите вузол і повернетеся на сторінку огляду , заблоковане зовнішнє дозвіл DNS має бути встановлено на "ні".

Що далі

Повторіть тест проксі-з'єднання на кожному вузлі в кластері гібридної безпеки даних.

Видалити вузол

Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi та вимкнути віртуальну машину.

2

Видалити вузол:

  1. Увійдіть до концентратора партнера й виберіть Служби.

  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів гібридної безпеки даних.

  3. Виберіть кластер, щоб відобразити його панель огляду.

  4. Клацніть вузол, який потрібно видалити.

  5. Клацніть Скасувати реєстрацію цього вузла на панелі, що з’явиться справа.

  6. Можна також скасувати реєстрацію вузла, клацнувши … праворуч від вузла й вибравши Видалити цей вузол.

3

У клієнті vSphere видаліть VM. (На панелі навігації ліворуч клацніть правою кнопкою миші VM і клацніть Видалити.)

Якщо ви не видалите VM, не забудьте демонтувати файл ISO конфігурації. Без файлу ISO неможливо використовувати VM для доступу до даних безпеки.

Відновлення після відмови за допомогою центру обробки даних у режимі очікування

Найважливішою службою, яку надає кластер гібридної безпеки даних, є створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, призначеного для гібридної безпеки даних, запити на створення нового ключа маршрутизуються в кластер. Кластер також несе відповідальність за повернення створених ключів будь-яким користувачам, авторизованим для їх отримання, наприклад учасникам простору розмови.

Оскільки кластер виконує критичну функцію надання цих ключів, дуже важливо, щоб кластер продовжував працювати та щоб підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕПОПРАВНОЇ ВТРАТИ контенту клієнта. Для запобігання такої втрати є обов'язковими такі практики:

Якщо внаслідок стихійного лиха розгортання HDS у основному центрі обробки даних стане недоступним, виконайте цю процедуру, щоб вручну виконати аварійне перемикання на центр обробки даних у режимі очікування.

Перед початком

Скасуйте реєстрацію всіх вузлів із Партнерського центру, як зазначено в розділі Видалити вузол. Щоб виконати процедуру аварійного перемикання, згадану нижче, використовуйте останній файл ISO, налаштований проти вузлів кластера, який раніше був активний.
1

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створити ISO конфігурації для хостів HDS.

2

Завершіть процес конфігурації та збережіть файл ISO у зручному для пошуку розташуванні.

3

Зробіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

4

У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

5

Клацніть Змінити налаштування >Диск CD/DVD 1 і виберіть файл ISO Datastore.

Переконайтеся, що встановлено прапорець параметрів Підключено та Connect при увімкненні , щоб оновлені зміни конфігурації набули сили після запуску вузлів.

6

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

7

Зареєструйте вузол у партнерському центрі. Див. розділ Зареєструвати перший вузол у кластері.

8

Повторити процес для кожного вузла в центрі обробки даних у режимі очікування.

Що далі

Після аварійного перемикання, якщо основний центр обробки даних знову стане активним, скасуйте реєстрацію вузлів центру обробки даних у режимі очікування та повторіть процес налаштування ISO та реєстрації вузлів основного центру обробки даних, як зазначено вище.

(Необов’язково) Демонтування ISO після конфігурації HDS

Стандартна конфігурація HDS працює зі змонтованим ISO. Але деякі клієнти воліють не залишати файли ISO постійно змонтовані. Можна демонтувати файл ISO після того, як усі вузли HDS підхопили нову конфігурацію.

Ви все ще використовуєте файли ISO для внесення змін до конфігурації. Під час створення нового ISO або оновлення ISO за допомогою інструмента налаштування потрібно змонтувати оновлене ISO на всіх вузлах HDS. Після того як усі ваші вузли отримають зміни конфігурації, можна знову демонтувати ISO за допомогою цієї процедури.

Перед початком

Оновіть версію всіх вузлів HDS до версії 2021.01.22.4720 або пізнішої.

1

Закрийте один із вузлів HDS.

2

У пристрої vCenter Server Device виберіть вузол HDS.

3

Виберіть Змінити налаштування > Диск CD/DVD і зніміть прапорець файлу ISO Datastore.

4

Увімкніть вузол HDS і переконайтеся, що попередження відсутнє щонайменше 20 хвилин.

5

Повторюйте для кожного вузла HDS по черзі.

Усунення несправностей гібридної безпеки даних

Переглянути сповіщення та усунути несправності

Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що вимагає часу очікування. Якщо користувачі не можуть зв’язатися з кластером гібридної безпеки даних, вони відчувають такі симптоми:

  • Не вдалося створити нові простори (неможливо створити нові ключі).

  • Не вдалося розшифрувати повідомлення та назви просторів для:

    • Нові користувачі додані до простору (неможливо отримати ключі)

    • Наявні користувачі в просторі, що використовують новий клієнт (неможливо отримати ключі).

  • Наявні користувачі в просторі продовжуватимуть успішно запускатися, доки їхні клієнти матимуть кеш ключів шифрування.

Важливо належним чином відстежувати кластер гібридної безпеки даних і швидко надсилати будь-які сповіщення, щоб уникнути порушення роботи служби.

Оповіщення

Якщо виникла проблема з налаштуванням гібридної безпеки даних, Партнерський центр відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато загальних сценаріїв.

Таблиця 1. Загальні проблеми та кроки для їх вирішення

Сповіщення

Дія

Помилка доступу до локальної бази даних.

Перевірте наявність помилок бази даних або проблем локальної мережі.

Помилка підключення до локальної бази даних.

Перевірте доступність сервера бази даних і правильні облікові дані облікового запису служби використано в конфігурації вузла.

Помилка доступу до хмарної служби.

Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього з’єднання.

Поновлення реєстрації хмарної служби.

Реєстрацію в хмарних службах скасовано. Триває подовження реєстрації.

Реєстрацію хмарної служби скасовано.

Реєстрацію в хмарних службах припинено. Роботу служби припиняється.

Службу ще не активовано.

Активуйте HDS у Партнерському центрі.

Налаштований домен не відповідає сертифікату сервера.

Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

Найімовірніша причина полягає в тому, що сертифікат CN нещодавно був змінений і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

Не вдалось автентифікувати в хмарних службах.

Перевірте точність і можливий термін дії облікових даних облікового запису обслуговування.

Не вдалося відкрити локальний файл сховища ключів.

Перевірте цілісність і точність пароля у локальному файлі сховища ключів.

Неприпустимий сертифікат локального сервера.

Перевірте дату закінчення терміну дії сертифіката сервера й упевніться, що він був виданий довіреним центром сертифікації.

Не вдалося опублікувати показники.

Перевірте доступ до локальної мережі до зовнішніх хмарних служб.

Каталогу /media/configdrive/hds не існує.

Перевірте конфігурацію змонтування ISO на віртуальному вузлі. Переконайтеся, що файл ISO існує, що його налаштовано на монтування до перезавантаження та що він успішно монтується.

Налаштування організації клієнта не завершено для доданих організацій

Завершіть налаштування, створивши CMK для нещодавно доданих організацій клієнтів за допомогою інструменту налаштування HDS.

Налаштування організації клієнта не завершено для видалених організацій

Завершіть налаштування, відкликавши CMK організацій клієнтів, які були вилучені за допомогою інструменту налаштування HDS.

Усунення несправностей гібридної безпеки даних

Використовуйте наведені далі загальні інструкції під час виправлення неполадок із службою гібридної безпеки даних.
1

Перегляньте Партнерський центр на наявність будь-яких сповіщень і виправте будь-які знайдені в ньому елементи. Для довідки дивіться зображення нижче.

2

Перегляньте вивід сервера syslog для дій із розгортання гібридної безпеки даних. Щоб допомогти у вирішенні неполадок, виконайте фільтр для таких слів, як "Попередження" та "Помилка".

3

Зверніться до служби підтримки Cisco.

Інші примітки

Відомі проблеми гібридної безпеки даних

  • Якщо закрити кластер гібридної безпеки даних (видалити його в партнерському центрі або закрити всі вузли), втратити файл ISO конфігурації або втратити доступ до бази даних сховища ключів, користувачі програми Webex організацій клієнтів більше не зможуть використовувати простори зі списку осіб, створені за допомогою клавіш із KMS. Зараз у нас немає готового рішення або виправлення цієї проблеми. Ми закликаємо вас не закривати ваші служби HDS після того, як вони обробляють облікові записи активних користувачів.

  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом періоду часу (ймовірно, однієї години).

Використовуйте OpenSSL для створення файлу PKCS12

Перед початком

  • OpenSSL — це інструмент, який можна використовувати для створення файлу PKCS12 у належному форматі для завантаження в інструменті налаштування HDS. Є й інші способи зробити це, і ми не підтримуємо чи не просуваємо один шлях над іншим.

  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, щоб допомогти вам створити файл, який відповідає вимогам сертифіката X.509 у Вимогам до сертифіката X.509. Перш ніж продовжити, ознайомтеся з цими вимогами.

  • Установіть OpenSSL у підтримуваному середовищі. Див. https://www.openssl.org програмне забезпечення та документацію.

  • Створіть закритий ключ.

  • Почніть цю процедуру, коли ви отримаєте сертифікат сервера від Certificate Authority (CA).

1

Отримавши сертифікат сервера від ЦС, збережіть його як hdsnode.pem.

2

Відобразити сертифікат у вигляді тексту та перевірте відомості.

openssl x509 -text -noout -in hdsnode.pem

3

Використовуйте текстовий редактор, щоб створити файл пакету сертифікатів під назвою hdsnode-bundle.pem. Файл пакету повинен містити сертифікат сервера, будь-які проміжні сертифікати ЦС і кореневі сертифікати ЦС у форматі нижче:

----BEGIN CERTIFICATE------- ### Сертифікат сервера. ### -----END CERTIFICATE------------BEGIN CERTIFICATE----- ### Проміжний сертифікат CA. ### -----END CERTIFICATE---------BEGIN CERTIFICATE----- ### Кореневий сертифікат CA. ### -----END CERTIFICATE-----

4

Створіть файл .p12 з дружнім ім’ям kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Перевірте відомості про сертифікат сервера.

  1. openssl pkcs12 - in hdsnode.p12

  2. Введіть пароль у поле запиту, щоб зашифрувати закритий ключ так, щоб його було відображено в виведенні. Потім переконайтеся, що закритий ключ і перший сертифікат містять лінії дружніName: kms- private- key.

    Приклад:

    bash$ openssl pkcs12 -in hdsnode.p12 Введіть пароль імпорту: Перевірені MAC атрибути пакету OK дружніІм’я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключові атрибути:  Введіть фразу передавання PEM: Перевірка – введіть фразу передавання PEM: -----BEGIN ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ-----  -----END ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ------ Атрибути сумки дружніІм'я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------- Bag Attributes friendlyName: CN=Дозволити Encrypt Authority X3,O=Дозволити Encrypt,C=US subject=/C=US/O=Дозволити Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-------

Що далі

Поверніться до завершення обов’язкових умов для гібридної безпеки даних. Файл hdsnode.p12 і налаштований для нього пароль буде використано в Створити ISO конфігурації для хостів HDS.

Можна повторно використовувати ці файли, щоб надіслати запит на новий сертифікат, коли термін дії оригінального сертифіката завершиться.

Трафік між вузлами HDS і хмарою

Трафік збору вихідних показників

Вузли гібридної безпеки даних надсилають певні показники в хмару Webex. До них відносяться системні показники для максимальної кількості ключів, кількості використаних ключів, навантаження ЦП та кількості ланцюжків; показники для синхронізованих і асинхронних потоків; показники для сповіщень, що включають поріг підключень шифрування, затримку або довжину черги запитів; показники на сервері даних; показники підключення шифрування. Вузли надсилають зашифрований матеріал ключа через канал поза смугою (окремо від запиту).

Вхідний трафік

Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

  • Запити на шифрування від клієнтів, маршрутизованих службою шифрування

  • Оновлення версії програмного забезпечення вузла

Налаштувати проксі-сервери Squid для гібридної безпеки даних

Websocket не може підключитися через проксі-сервер Squid

Проксі-сервери, які перевіряють HTTPS-трафік, можуть перешкоджати встановленню з’єднань вебсокетів (wss:), які потребують гібридної безпеки даних. У цих розділах наведено інструкції щодо налаштування різних версій Squid, щоб ігнорувати wss: трафік для належної експлуатації послуг.

Кальмари 4 і 5

Додайте on_unsupported_protocol директиву до squid.conf:

on_unsupported_protocol тунель усі

Кальмари 3.5.27

Ми успішно протестували гібридну безпеку даних за допомогою наступних правил, доданих до squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

acl wssMercuryConnection ssl::Mercury-server_name_regex connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 всі ssl_bump stare step2 всі ssl_bump bump step3 всі

Нова й змінена інформація

Нова й змінена інформація

У цій таблиці наведено нові функції або функції, зміни наявного контенту та будь-які основні помилки, які було виправлено в Посібнику з розгортання гібридної безпеки даних для кількох клієнтів.

Дата

Внесені зміни

08 січня 2025 року

У розділі Виконати початкове налаштування та завантажити файли встановлення додано примітку, у якій зазначено, що натискання Налаштування на картці HDS у Партнерському центрі є важливим кроком процесу встановлення.

07 січня 2025 року

Оновлено вимоги до віртуального хоста, Процес розгортання гібридної безпеки даних та Установіть HDS Host OVA , щоб показати нову вимогу ESXi 7.0.

13 грудня 2024 року

Вперше опубліковано.

Деактивувати безпеку гібридних даних із кількома клієнтами

Потік завдань деактивації HDS для кількох клієнтів

Виконайте наведені дії, щоб повністю деактивувати HDS для кількох клієнтів.

Перед початком

Це завдання має виконувати лише адміністратор партнера з повними правами.
1

Видаліть усіх клієнтів з усіх кластерів, як зазначено в Видалити організації клієнтів.

2

Анулюйте CMK усіх клієнтів, як зазначено в Анулюйте CMK клієнтів, видалених із HDS..

3

Видаліть усі вузли з усіх кластерів, як зазначено в Видалити вузол.

4

Видаліть усі кластери з Партнерського центру за допомогою одного з двох наведених нижче способів.

  • Клацніть кластер, який потрібно видалити, і виберіть Видалити цей кластер у правому верхньому куті сторінки огляду.
  • На сторінці Ресурси клацніть … праворуч від кластера та виберіть Видалити кластер.
5

Клацніть вкладку Налаштування на сторінці огляду гібридної безпеки даних і натисніть Деактивувати HDS на картці стану HDS.

Початок роботи з гібридною безпекою даних для кількох клієнтів

Огляд гібридної безпеки даних для кількох клієнтів

З першого дня безпека даних була основним завданням у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, яке ввімкнено клієнтами програми Webex, які взаємодіють зі службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і дешифрування повідомлень і файлів.

За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS у області безпеки Cisco. Гібридна безпека даних переміщує KMS та інші функції, пов'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не тримає ключі до вашого зашифрованого вмісту.

Багатоклієнтська гібридна безпека даних дозволяє організаціям використовувати HDS через довіреного локального партнера, який може виступати як постачальник послуг і керувати локальним шифруванням та іншими службами безпеки. Це налаштування дозволяє партнерській організації мати повний контроль за розгортанням ключів шифрування та керування ними, а також гарантує безпеку даних користувачів організацій клієнта від зовнішнього доступу. Партнерські організації налаштовують екземпляри HDS і створюють кластери HDS за потреби. Кожен екземпляр може підтримувати кілька організацій клієнта, на відміну від звичайного розгортання HDS, яке обмежується однією організацією.

Хоча партнерські організації мають контроль за розгортанням і керуванням, вони не мають доступу до даних і контенту, що створюються клієнтами. Цей доступ обмежено організаціями клієнта та їхніми користувачами.

Це також дозволяє невеликим організаціям використовувати HDS, оскільки Ключові служби керування та інфраструктура безпеки, як-от центри обробки даних, належать довіреним місцевим партнером.

Як багатоклієнтська гібридна безпека даних забезпечує суверенітет і контроль даних

  • Створений користувачами контент захищено від зовнішнього доступу, як-от постачальники хмарних послуг.
  • Надійні місцеві партнери управляють ключами шифрування клієнтів, з якими вони вже мають налагоджені відносини.
  • Варіант місцевої технічної підтримки, якщо надано партнером.
  • Підтримує контент нарад, обміну повідомленнями й викликів.

Цей документ спрямований на допомогу партнерським організаціям у налаштуванні та керуванні клієнтами в системі гібридної безпеки даних із підтримкою кількох клієнтів.

Ролі в гібридній безпеці даних із кількома клієнтами

  • Повний адміністратор партнера – може керувати налаштуваннями для всіх клієнтів, якими керує партнер. Також може призначати ролі адміністратора наявним користувачам в організації та призначати певних клієнтів, якими керуватимуть адміністратори партнера.
  • Адміністратор партнера – може керувати налаштуваннями клієнтів, підготовленими адміністратором або призначеними користувачу.
  • Повний адміністратор – адміністратор партнерської організації, який має право виконувати такі завдання, як зміна налаштувань організації, керування ліцензіями та призначення ролей.
  • Наскрізне налаштування HDS із підтримкою кількох клієнтів і керування всіма організаціями клієнта – потрібні права повного адміністратора партнера та повного адміністратора.
  • Керування призначеними організаціями клієнта : потрібні права адміністратора партнера та повного адміністратора.

Архітектура області безпеки

Хмарна архітектура Webex розділяє різні типи служб на окремі області або домени довіри, як показано нижче.

Області розділення (без гібридної безпеки даних)

Щоб краще зрозуміти гібридну безпеку даних, спочатку розгляньмо цей випадок у чистому хмарі, де Cisco надає всі функції у своїх хмарних областях. Служба ідентифікації, єдине місце, де користувачі можуть бути безпосередньо пов’язані з їхньою персональною інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зрештою зберігається зашифрований контент, в центрі обробки даних C.

На цій діаграмі клієнтом є програма Webex, що працює на ноутбуці користувача й автентифікувався за допомогою служби ідентифікації. Коли користувач складає повідомлення для надсилання до простору, виконуються такі кроки:

  1. Клієнт встановлює захищене з’єднання зі службою керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Для захищеного з’єднання використовується ECDH, а KMS шифрує ключ за допомогою основного ключа AES-256.

  2. Повідомлення зашифровано перед тим, як воно залишає клієнта. Клієнт надсилає його в службу індексації, яка створює зашифровані пошукові індекси для допомоги в подальшому пошуку контенту.

  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

  4. Зашифроване повідомлення зберігається в області сховища.

Під час розгортання гібридної безпеки даних ви переміщуєте функції області безпеки (KMS, індексація та відповідність) до локального центру обробки даних. Інші хмарні служби, які складають Webex (зокрема, ідентифікаційні дані та сховище контенту), залишаються в області Cisco.

Співпраця з іншими організаціями

Користувачі вашої організації можуть регулярно використовувати програму Webex для співпраці з зовнішніми учасниками в інших організаціях. Коли один із ваших користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), ваш KMS надсилає ключ клієнту через канал, захищений ECDH. Однак, якщо ключ для простору належить іншій організації, ваш KMS надсилає запит в хмару Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в вихідному каналі.

Служба KMS, яку запущено в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Додаткову інформацію про створення сертифіката x.509 для використання з розгортанням багатоклієнтської гібридної безпеки даних див. в розділі Підготовка середовища .

Очікування розгортання гібридної безпеки даних

Розгортання гібридної безпеки даних вимагає значної прихильності та обізнаності про ризики, які виникають при наявності ключів шифрування.

Щоб розгорнути гібридну безпеку даних, необхідно надати:

Повна втрата ISO конфігурації, яку ви створюєте для гібридної безпеки даних, або бази даних, яку ви надаєте, призведе до втрати ключів. Втрата ключа забороняє користувачам розшифрувати контент простору та інші зашифровані дані в програмі Webex. Якщо це станеться, ви зможете створити нове розгортання, але буде відображено лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

  • Керування резервним копіюванням і відновленням бази даних та ISO конфігурації.

  • Будьте готові до швидкого відновлення після відмови в разі виникнення катастрофи, як-от помилка диска бази даних або помилка центру обробки даних.

Відсутній механізм для переміщення ключів назад у хмару після розгортання HDS.

Процес налаштування на високому рівні

Цей документ охоплює налаштування та керування розгортанням гібридної безпеки даних із кількома клієнтами:

  • Налаштування гібридної безпеки даних. Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення гібридної безпеки даних, створення кластера HDS, додавання організацій-клієнтів до кластера та керування їхніми основними ключами клієнта (CMK). Це дозволить усім користувачам в організації клієнта використовувати кластер гібридної безпеки даних для функцій безпеки.

    Етапи налаштування, активації та керування докладно описані в наступних трьох розділах.

  • Підтримуйте розгортання гібридної безпеки даних. Хмара Webex автоматично забезпечує постійні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати сповіщення на екрані та налаштувати сповіщення на основі електронної пошти в Партнерському центрі.

  • Ознайомтеся з поширеними сповіщеннями, кроками усунення несправностей і відомими проблемами. Якщо у вас виникли проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й вирішити цю проблему.

Модель розгортання гібридної безпеки даних

У вашому центрі обробки даних підприємства ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли зв’язуються з хмарою Webex за допомогою захищених вебсокетів і захищеного HTTP.

Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами VM. Ви використовуєте інструмент налаштування HDS для створення користувацького файлу конфігурації ISO кластера, який буде змонтовано на кожному вузлі. Кластер гібридної безпеки даних використовує наданий сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і відомості про підключення до бази даних в інструменті налаштування HDS.)

Модель розгортання гібридної безпеки даних

Мінімальна кількість вузлів, які можна мати в кластері, дорівнює два. Рекомендовано принаймні три для кластера. Наявність кількох вузлів гарантує, що служба не переривається під час оновлення версії програмного забезпечення або іншої діяльності з обслуговування на вузлі. (Хмара Webex оновлює лише один вузол за раз.)

Усі вузли в кластері отримують доступ до одного єдиного сервера системних даних і активності журналу. Самі вузли не мають статусу, і обробляють ключові запити круглим способом, як спрямовано хмарою.

Вузли стають активними, коли їх зареєстровано в Партнерському центрі. Щоб вилучити окремий вузол із експлуатації, його можна скасувати реєстрацію, а в разі потреби повторно зареєструвати.

Центр даних у режимі очікування для відновлення після відмови

Під час розгортання ви налаштували безпечний центр обробки даних у режимі очікування. У разі несправності центру обробки даних ви можете вручну не виконувати перехід до центру обробки даних у режимі очікування.

Перед аварійним переходом центр обробки даних A має активні вузли HDS і основну базу даних PostgreSQL або Microsoft SQL Server, тоді як B має копію файлу ISO з додатковими конфігураціями, зареєстрованими в організації VM, і базу даних у режимі очікування. Після аварійного перемикання центр обробки даних B має активні вузли HDS і основну базу даних, тоді як A має незареєстровані VM і копію файлу ISO, а база даних перебуває в режимі очікування.
Ручне аварійне перемикання на центр обробки даних у режимі очікування

Бази даних активних та резервних центрів обробки даних синхронізуються один з одним, що дозволить мінімізувати час, необхідний для виконання аварійного перемикання.

Активні вузли гібридної безпеки даних завжди мають бути в тому самому центрі обробки даних, що й активний сервер бази даних.

Підтримка проксі

Гібридна безпека даних підтримує явні, прозорі перевірки та неінспектування проксі. Ви можете прив'язати ці проксі до свого розгортання, щоб ви могли захищати та контролювати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для управління сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

Гібридні вузли захисту даних підтримують такі параметри проксі-сервера:

  • Немає проксі— За замовчуванням, якщо для інтеграції проксі не використовується налаштування вузла HDS Store і Proxy. Оновлення сертифіката не потрібне.

  • Прозорий неінспекційний проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін до роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.

  • Прозоре тунелювання чи інспектування проксі— вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах не потрібні зміни конфігурації HTTP або HTTPS. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

  • Явний проксі. За допомогою явного проксі-сервера вузлам HDS слід визначити, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі, необхідно ввести наступну інформацію на кожному вузлі:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

      • HTTP — Перегляд і контроль усіх запитів, які надсилає клієнт.

      • HTTPS — забезпечує канал серверу. Клієнт отримує та перевіряє сертифікат сервера.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно, лише якщо в якості проксі-протоколу вибрано протокол HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

Приклад гібридних вузлів безпеки даних і проксі-сервера

На цій схемі наведено приклад підключення між гібридною безпекою даних, мережею та проксі-сервером. Для прозорої перевірки та явної перевірки параметрів проксі-сервера HTTPS на проксі-сервері та на вузлах гібридної безпеки даних повинен бути встановлений той самий кореневий сертифікат.

Заблокований зовнішній режим роздільної здатності DNS (явні конфігурації проксі)

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. У розгортаннях з явними конфігураціями проксі-сервера, які не дозволяють зовнішню роздільну здатність DNS для внутрішніх клієнтів, якщо вузол не може запитувати DNS-сервери, він автоматично переходить у режим блокування зовнішньої роздільної здатності DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести проксі-підключення.

Підготовка середовища

Вимоги до гібридної безпеки даних із кількома клієнтами

Вимоги до ліцензії Cisco Webex

Щоб розгорнути безпеку гібридних даних із кількома клієнтами, виконайте наведені нижче дії.

  • Партнерські організації: Зверніться до партнера Cisco або менеджера облікового запису й переконайтеся, що функцію кількох клієнтів увімкнено.

  • Організації осередків: Необхідно мати професійний пакет для Cisco Webex Control Hub. (Див. https://www.cisco.com/go/pro-pack.)

Вимоги до робочого стола Docker

Перш ніж установити вузли HDS, необхідно Docker Desktop, щоб запустити програму встановлення. Docker нещодавно оновив свою ліцензійну модель. Ваша організація може вимагати платну підписку на Docker Desktop. Для отримання детальної інформації див. допис у блозі Docker "Docker оновлює та розширює підписку на наш продукт".

Вимоги до сертифіката X.509

Ланцюжок сертифікатів повинен відповідати таким вимогам:

Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

Вимоги

Відомості

  • Підписано довіреним центром сертифікації (CA)

За замовчуванням ми довіряємо ценам у списку Mozilla (за винятком WoSign і StartCom) за адресою https://wiki.mozilla.org/CA:IncludedCAs.

  • Має доменне ім’я (CN), яке ідентифікує розгортання гібридної безпеки даних.

  • Не є сертифікатом узагальнення

CN не обов’язково бути доступним або організатором у режимі реального часу. Ми рекомендуємо використовувати ім’я, що відображає вашу організацію, наприклад hds.company.com.

CN не має містити символ * (узагальнення).

CN використовується для перевірки вузлів гібридної безпеки даних клієнтам програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, визначеного в полях SAN x.509v3.

Після реєстрації вузла з цим сертифікатом зміна доменного імені CN не підтримується.

  • Підпис без SHA1

Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключення до KMS інших організацій.

  • Відформатований як файл PKCS #12 із захищеним паролем

  • Використовуйте дружнє ім’я kms-private-key , щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.

Щоб змінити формат сертифіката, можна використовувати перетворювач, наприклад OpenSSL.

Вам потрібно буде ввести пароль, коли ви запустите інструмент налаштування HDS.

Програмне забезпечення KMS не вимагає використання ключів або розширених обмежень використання ключів. Деякі органи сертифікації вимагають, щоб до кожного сертифіката застосовувалися розширені обмеження використання ключа, як-от автентифікація сервера. Цілком нормально використовувати автентифікацію сервера або інші налаштування.

Вимоги до віртуального організатора

Віртуальні вузли, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері, мають такі вимоги:

  • Принаймні два окремих хоста (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

  • VMware ESXi 7.0 (або пізнішої версії) встановлено та запущено.

    Необхідно оновити версію, якщо у вас попередня версія ESXi.

  • Мінімум 4 вЦП, 8 ГБ основної пам’яті, 30 ГБ локального жорсткого диска на сервер

Вимоги до сервера бази даних

Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

Для сервера бази даних існує два параметри. Вимоги до кожного з них такі:

Таблиця 2. Вимоги до сервера бази даних за типом бази даних

Postgre SQL

Сервер Microsoft SQL

  • PostgreSQL 14, 15 або 16, встановлено та запущено.

  • Встановлено SQL Server 2016, 2017 або 2019 (корпоративний або стандартний).

    SQL Server 2016 вимагає пакета оновлень 2 та кумулятивного оновлення 2 або пізнішої версії.

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Програмне забезпечення HDS зараз установлює такі версії драйверів для зв’язку з сервером бази даних:

Postgre SQL

Сервер Microsoft SQL

Postgres драйвер JDBC 42.2.5

Драйвер JDBC SQL Server 4.6

Ця версія драйвера підтримує SQL Server Always On (Завжди ввімкнені екземпляри аварійного перемикання кластерів і Always On групи доступності).

Додаткові вимоги до автентифікації Windows проти Microsoft SQL Server

Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для доступу до вашої бази даних ключів на Microsoft SQL Server, то у вашому середовищі потрібна така конфігурація:

  • Вузли HDS, інфраструктуру Active Directory і MS SQL Server мають бути синхронізовані з NTP.

  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ до бази даних для читання та запису.

  • DNS-сервери, які ви надаєте вузлам HDS, повинні мати змогу вирішити ваш центр розподілу ключів (KDC).

  • Можна зареєструвати екземпляр бази даних HDS на сервері Microsoft SQL як основне ім’я служби (SPN) в Active Directory. Див. розділ Реєстрація імені головної служби для з’єднань Kerberos.

    Засіб налаштування HDS, засіб запуску HDS та локальний KMS — усі необхідні для використання автентифікації Windows для доступу до бази даних сховища ключів. Вони використовують відомості з конфігурації ISO для побудови SPN під час запиту доступу за допомогою автентифікації Kerberos.

Вимоги до зовнішнього з’єднання

Налаштуйте брандмауер, щоб дозволити таке підключення для програм HDS:

Застосування

Протокол

Порт

Напрямок з програми

Призначення

Вузли гібридної безпеки даних

TCP

443

Вихідні HTTPS і WSS

  • Сервери Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Усі організатори Common Identity

  • Інші URL-адреси, перелічені для гібридної безпеки даних у таблиці «Додаткові URL-адреси для гібридних служб Webex»«Вимоги до мережі для служб Webex»

Інструмент налаштування HDS

TCP

443

Вихідний HTTPS

  • *.wbx2.com

  • Усі організатори Common Identity

  • hub.docker.com

Вузли гібридної безпеки даних працюють із перекладом мережевого доступу (NAT) або за брандмауером, доки NAT або брандмауер дозволяють необхідні вихідні з’єднання з адресами домену, наведеними в попередній таблиці. Для з’єднань, які надходять на вхідні дані до вузлів гібридної безпеки даних, порти не повинні відображатися з інтернету. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

URL-адреси для хостів Common Identity (CI) притаманні регіонам. Це поточні організатори CI:

Регіон

URL-адреси загальних ідентифікаційних ресурсів

Північна та Південна Америки

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Європейський Союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сінгапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Об’єднані Арабські Емірати

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Вимоги до проксі-сервера

  • Ми офіційно підтримуємо наступні проксі-рішення, які можуть інтегруватися з вашими вузлами гібридної безпеки даних.

  • Ми підтримуємо такі комбінації типів автентифікації для явних проксі:

    • Немає автентифікації за допомогою HTTP або HTTPS

    • Базова автентифікація за допомогою HTTP або HTTPS

    • Автентифікація дайджесту лише за допомогою ПРОТОКОЛУ HTTPS

  • Для прозорої перевірки проксі-сервера або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі-сервера. Інструкції з розгортання в цьому посібнику розповідають, як завантажити копію в надійні сховища вузлів гібридної безпеки даних.

  • Мережа, в якій розміщуються вузли HDS, повинна бути налаштована на примусове витіснення TCP-трафіку на порту 443 для маршрутизації через проксі.

  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з'єднанню веб-сокетів. При виникненні даної проблеми проблему вирішить обхід (не огляд) трафіку на wbx2.com і ciscospark.com .

Виконати передумови для гібридної безпеки даних

Використовуйте цей контрольний список, щоб переконатися, що ви готові встановити та налаштувати кластер гібридної безпеки даних.
1

Переконайтеся, що в партнерській організації ввімкнено функцію HDS для кількох клієнтів, і отримайте облікові дані облікового запису з повним адміністратором партнера та повними правами адміністратора. Переконайтеся, що в організації клієнта Webex увімкнено пакет Pro Pack для Cisco Webex Control Hub. Зверніться до партнера Cisco або менеджера облікового запису по допомогу в цьому процесі.

Організації клієнтів не повинні мати наявне розгортання HDS.

2

Виберіть доменне ім’я для розгортання HDS (наприклад, hds.company.com) і отримайте ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ та будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам Вимог до сертифіката X.509.

3

Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері. Потрібно принаймні два окремих організатори (рекомендовано 3), розташовані в одному захищеному центрі обробки даних, які відповідають вимогам Вимог до віртуального організатора.

4

Підготуйте сервер бази даних, який діятиме як сховище ключових даних для кластера, відповідно до вимог сервера бази даних. Сервер бази даних має бути розташовано в захищеному центрі обробки даних із віртуальними організаторами.

  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Після встановлення програми HDS створюють схему бази даних.)

  2. Зберіть деталі, які будуть використовувати вузли для зв’язку з сервером бази даних:

    • ім’я хоста або IP-адреса (хост) і порт

    • ім’я бази даних (dbname) для сховища ключів

    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

5

Для швидкого відновлення після відмови налаштуйте резервне середовище в іншому центрі обробки даних. Середовище резервного копіювання відображає середовище виробництва VM і сервер резервної бази даних. Наприклад, якщо у виробництві є 3 VM, які працюють вузли HDS, резервне середовище має мати 3 VM.

6

Налаштуйте хост syslog, щоб збирати журнали з вузлів у кластері. Зберіть його мережеву адресу та порт системного журналу (за замовчуванням — UDP 514).

7

Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста syslog. Як мінімум, щоб запобігти невиправній втраті даних, потрібно створити резервну копію бази даних і файл ISO конфігурації, створений для вузлів гібридної безпеки даних.

Оскільки вузли гібридної безпеки даних зберігають ключі, які використовуються для шифрування та дешифрування контенту, невдача підтримки оперативного розгортання призведе до НЕЗВОРОТНОЇ ВТРАТИ цього контенту.

Клієнти програми Webex ховають свої ключі, тому перебої в роботі можуть бути непомітні, але з часом ставати очевидними. Хоча тимчасові перебої неможливо запобігти, вони можуть бути відновлені. Однак повна втрата (резервних копій відсутні) файлу бази даних або ISO конфігурації призведе до незворотних даних клієнтів. Очікується, що оператори вузлів гібридної безпеки даних підтримуватимуть часті резервні копії бази даних та файлу конфігурації ISO, а також будуть готові відновити центр обробки даних гібридної безпеки даних у разі виникнення катастрофічного відмови.

8

Переконайтеся, що конфігурація брандмауера дозволяє підключення для вузлів гібридної безпеки даних, як описано в розділі Вимоги до зовнішнього з’єднання.

9

Установіть Docker ( https://www.docker.com) на будь-якому локальному комп’ютері, який працює на підтримуваній ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядній версії або Mac OSX Yosemite 10.10.3 або новіша версія) із веббраузером, який може отримати доступ до нього на сторінці http://127.0.0.1:8080.

Екземпляр Docker використовується для завантаження та запуску інструменту налаштування HDS, який збирає інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Можливо, потрібна ліцензія Docker Desktop. Додаткову інформацію див. в розділі Вимоги до робочого стола Docker .

Щоб установити й запустити інструмент налаштування HDS, локальний комп’ютер повинен мати параметр підключення, описаний у розділі Вимоги до зовнішнього підключення.

10

Під час інтеграції проксі з гібридною безпекою даних переконайтеся, що він відповідає вимогам до проксі-сервера.

Налаштувати кластер гібридної безпеки даних

Процес розгортання гібридної безпеки даних

Перш ніж почати

1

Виконати початкове налаштування та завантажити файли інсталяції

Завантажте файл OVA на локальний комп’ютер для подальшого використання.

2

Створити ISO конфігурації для хостів HDS

Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

3

Установити OVA організатора HDS

Створіть віртуальну машину з файлу OVA та виконайте початкову конфігурацію, наприклад налаштування мережі.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 7.0. Цей параметр може бути недоступний у попередніх версіях.

4

Налаштувати VM гібридної безпеки даних

Увійдіть до консолі VM і встановіть облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо їх не було налаштовано на момент розгортання OVA.

5

Вивантажити та змонтувати ISO конфігурації HDS

Налаштуйте VM із файлу конфігурації ISO, який ви створили за допомогою інструменту налаштування HDS.

6

Налаштування вузла HDS для інтеграції проксі

Якщо мережеве середовище потребує конфігурації проксі, укажіть тип проксі, який буде використовуватися для вузла, а в разі потреби додайте проксі-сертифікат до сховища довірених сертифікатів.

7

Зареєструвати перший вузол у кластері.

Зареєструйте VM із хмарою Cisco Webex як вузол гібридної безпеки даних.

8

Створити й зареєструвати більше вузлів

Завершіть налаштування кластера.

9

Активуйте HDS із підтримкою кількох клієнтів у Партнерському центрі.

Активуйте HDS і керуйте організаціями клієнтів у Партнерському центрі.

Виконати початкове налаштування та завантажити файли інсталяції

У цьому завданні ви завантажуєте файл OVA на комп’ютер (не на сервери, налаштовані як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.

1

Увійдіть у Партнерський центр і клацніть Служби.

2

У розділі «Хмарні служби» знайдіть картку гібридної безпеки даних, а потім клацніть Налаштувати.

Натискання Налаштувати в партнерському центрі має критичне значення для процесу розгортання. Не продовжуйте встановлення, не виконавши цей крок.

3

Клацніть Додати ресурс і клацніть Завантажити файл OVA на картці встановлення та налаштування програмного забезпечення .

Старіші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до виникнення проблем під час оновлення версії програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

OVA також можна завантажити будь-коли з розділу Довідка . Клацніть Налаштування > Довідка > Завантажити програмне забезпечення гібридної безпеки даних.

Файл OVA автоматично розпочне завантаження. Збережіть файл у розташуванні на комп’ютері.
4

Додатково клацніть Переглянути посібник із розгортання гібридної безпеки даних , щоб перевірити, чи доступна пізніша версія цього посібника.

Створити ISO конфігурації для хостів HDS

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

Перш ніж почати
1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO ви маєте такі параметри:

  • Ні. Якщо ви створюєте перший вузол HDS, у вас немає файлу ISO для передавання.
  • Так. Якщо ви вже створили вузли HDS, виберіть у браузері файл ISO й передайте його.
10

Переконайтеся, що сертифікат X.509 відповідає вимогам Вимогам до сертифіката X.509.

  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити.
  • Якщо сертифікат OK, клацніть Продовжити.
  • Якщо термін дії сертифіката завершився або ви хочете замінити його, виберіть Ні , щоб Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO?. Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити.
11

Введіть адресу бази даних та обліковий запис HDS, щоб отримати доступ до свого сервера ключових даних:

  1. Виберіть тип бази даних (PostgreSQL або Microsoft SQL Server).

    Якщо вибрати Microsoft SQL Server, буде отримано поле типу автентифікації.

  2. (тільки Microsoft SQL Server ) Виберіть тип автентифікації:

    • Базова автентифікація: Потрібне локальне ім’я облікового запису SQL Server у полі Ім’я користувача .

    • Автентифікація Windows: Потрібен обліковий запис Windows у форматі username@DOMAIN у полі Ім’я користувача .

  3. Введіть адресу сервера бази даних у формі : або :.

    Приклад:
    dbhost.example.org:1433 або 198.51.100.17:1433

    Для базової автентифікації можна використовувати IP-адресу, якщо вузли не можуть використовувати DNS для вирішення імені хоста.

    Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433

  4. Введіть ім’я бази даних.

  5. Введіть ім’я користувача й пароль користувача з усіма правами у базі даних сховища ключів.

12

Виберіть режим підключення до бази даних TLS:

Режим

Опис

Віддавати перевагу TLS (параметр за замовчуванням)

Вузли HDS не потребують TLS для з 'єднання з сервером бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли спробують зашифроване з’єднання.

Вимагати TLS

Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

Вимагати TLS і перевірити підписувача сертифіката

Цей режим не застосовується до баз даних SQL Server.

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Вимагати TLS і перевірити особу, яка підписала сертифікат, і назву вузла

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

  • Вузли також перевіряють, чи ім’я хоста в сертифікаті сервера збігається з ім’ям хоста в полі Хост бази даних і порт . Імена повинні точно збігатися, або вузол скасує з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Коли передано кореневий сертифікат (за потреби) і клацніть Продовжити, інструмент налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє особу, яка підписала сертифікат, і назву вузла, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності здатності до з’єднання вузли HDS зможуть встановити підключення TLS, навіть якщо машина інструмента налаштування HDS не може його успішно перевірити.)

13

На сторінці системних журналів налаштуйте сервер Syslogd:

  1. Введіть URL-адресу сервера syslog.

    Якщо сервер DNS-розв’язний із вузлів для кластера HDS, використайте IP-адресу в URL.

    Приклад:
    udp://10.92.43.23:514 вказує на вхід до хоста Syslogd 10.92.43.23 на порту UDP 514.

  2. Якщо ви налаштували сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер syslog для шифрування SSL?.

    Якщо встановити цей прапорець, обов’язково введіть URL-адресу TCP, наприклад tcp://10.92.43.23:514.

  3. У розкривному списку Вибрати завершення запису syslog виберіть відповідні налаштування для вашого файлу ISO: Виберіть або використовується нова лінія для Graylog і Rsyslog TCP

    • Нульовий байт --\ x00

    • Новий рядок -- \n- Виберіть цей вибір для Graylog і Rsyslog TCP.

  4. Клацніть Продовжити.

14

(Необов’язково) Ви можете змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Додаткові налаштування. Загалом, цей параметр є єдиним, який ви можете змінити:

app_datasource_connection_pool_maxРозмір: 10
15

Клацніть Продовжити на екрані Скинути пароль облікових записів служби .

Паролі облікового запису служби тривають дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів добігає кінця, або ви хочете скинути їх, щоб скасувати попередні файли ISO.

16

Клацніть Завантажити файл ISO. Збережіть файл у зручному для пошуку розташуванні.

17

Зробіть резервну копію файлу ISO у локальній системі.

Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

18

Щоб закрити інструмент налаштування, введіть CTRL+C.

Що далі

Створіть файл ISO конфігурації. Він потрібен для створення більше вузлів для відновлення або для внесення змін до конфігурації. Якщо ви втратите всі копії файлу ISO, ви також втратили основний ключ. Неможливо відновити ключі з бази даних PostgreSQL або Microsoft SQL Server.

У нас ніколи не буде копії цього ключа, і ми не зможемо допомогти, якщо ви його втратите.

Установити OVA організатора HDS

Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi.

2

Виберіть Файл > Розгорнути шаблон OVF.

3

У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі.

4

На сторінці Вибрати ім’я та папку введіть Ім’я віртуальної машини для вузла (наприклад, "HDS_Node_1"), виберіть розташування, де може розміщуватися розгортання вузла віртуальної машини, а потім клацніть Далі.

5

На сторінці Вибрати обчислювальний ресурс , виберіть обчислювальний ресурс призначення, а потім клацніть Далі.

Виконується перевірка перевірки. Після його завершення деталі шаблону з’являться.

6

Перевірте відомості про шаблон, а потім клацніть Далі.

7

Якщо вас попросять вибрати конфігурацію ресурсу на сторінці Конфігурація , клацніть 4 ЦП , а потім клацніть Далі.

8

На сторінці Вибрати сховище клацніть Далі , щоб прийняти формат диска за замовчуванням і політику зберігання VM.

9

На сторінці Вибрати мережі виберіть параметр мережі зі списку записів, щоб забезпечити потрібне підключення до VM.

10

На сторінці Налаштувати шаблон налаштуйте такі налаштування мережі.

  • Ім’я хоста—Введіть повне доменне ім’я (ім’я хоста та домен) або ім’я хоста з одним словом для вузла.

    • Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

    • Щоб забезпечити успішну реєстрацію в хмару, використовуйте лише малі символи в повному домені або імені хоста, налаштованому для вузла. Капіталізація наразі не підтримується.

    • Загальна довжина повного домену не повинна перевищувати 64 символи.

  • IP-адреса— введіть IP-адресу для внутрішнього інтерфейсу вузла.

    Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

  • Маска—Введіть адресу маски підмережі в крапку з комою. Наприклад, 255.255.255.0.
  • Шлюз—Введіть IP-адресу шлюзу. Шлюз – це мережевий вузол, який служить точкою доступу до іншої мережі.
  • Сервери DNS — введіть список, розділений комами, список DNS-серверів, який обробляє перетворення доменних імен на числові IP-адреси. (Дозволено до 4 записів DNS.)
  • Сервери NTP—Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Також можна використовувати список розділених комами, щоб ввести кілька серверів NTP.

  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними від клієнтів у вашій мережі для адміністративних цілей.

За бажанням можна пропустити конфігурацію налаштування мережі та виконати кроки в розділі Налаштування VM гібридної безпеки даних , щоб налаштувати параметри з консолі вузла.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 7.0. Цей параметр може бути недоступний у попередніх версіях.

11

Клацніть правою кнопкою миші вузол VM, а потім виберіть Power > Power On.

Програмне забезпечення гібридної безпеки даних встановлюється як гість на хост VM. Тепер ви готові увійти до консолі й налаштувати вузол.

Поради щодо усунення несправностей

Перед появою контейнерів вузла може знадобитися затримка в кілька хвилин. Під час першого завантаження на консолі з’являється повідомлення брандмауера мосту, під час якого ви не можете ввійти.

Налаштувати VM гібридної безпеки даних

Використовуйте цю процедуру, щоб вперше увійти на консоль вузла гібридної безпеки даних VM і встановити облікові дані для входу. Крім того, можна використовувати консоль для налаштування мережевих параметрів для вузла, якщо їх не було налаштовано під час розгортання OVA.

1

У клієнті VMware vSphere виберіть вузол гібридної безпеки даних VM і перейдіть на вкладку Консоль .

VM завантажується, і з’явиться підказка для входу. Якщо вікно підказки не відображається, натисніть Enter.
2

Щоб увійти й змінити облікові дані, використовуйте наведені нижче дані для входу та пароля за замовчуванням:

  1. Вхід: адміністратор

  2. Пароль: Cisco

Оскільки ви вперше входите в VM, вам потрібно змінити пароль адміністратора.

3

Якщо ви вже налаштували налаштування мережі в Установити OVA хоста HDS, пропустіть решту цієї процедури. В іншому разі в головному меню виберіть параметр Змінити конфігурацію .

4

Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

5

(Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно відповідно до політики мережі.

Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

6

Збережіть конфігурацію мережі та перезавантажте VM, щоб зміни набули сили.

Вивантажити та змонтувати ISO конфігурації HDS

Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою інструмента налаштування HDS.

Перед початком

Оскільки файл ISO має основний ключ, він повинен бути розкритий лише на основі "потрібно знати" для доступу VM гібридної безпеки даних і будь-яких адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

1

Передайте файл ISO зі свого комп’ютера:

  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

  2. На вкладці Конфігурація Список обладнання клацніть Сховище.

  3. У списку Datastors клацніть правою кнопкою миші на станції даних для ваших VM і клацніть Browse Datastore.

  4. Клацніть значок «Передати файли», а потім Передати файл.

  5. Перейдіть до розташування, де ви завантажили файл ISO на свій комп’ютер, і клацніть Відкрити.

  6. Клацніть Так , щоб прийняти попередження операції передавання/завантаження, і закрийте діалогове вікно сховища даних.

2

Змонтувати файл ISO:

  1. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  2. Клацніть ОК , щоб прийняти попередження про обмежені параметри редагування.

  3. Клацніть Диск CD/DVD 1, виберіть параметр для змонтування з файлу ISO зі сховища даних і перейдіть до розташування, де передано файл ISO конфігурації.

  4. Перевірте Підключено та Підключитися при увімкненні живлення.

  5. Збережіть зміни та перезавантажте віртуальну машину.

Що далі

Якщо потрібна ваша політика ІТ, ви можете додатково демонтувати файл ISO після того, як всі вузли дослухаються змін конфігурації. Див. (Необов’язково) Демонтування ISO після конфігурації HDS , щоб отримати додаткові відомості.

Налаштування вузла HDS для інтеграції проксі

Якщо для мережного середовища потрібен проксі-сервер, скористайтеся цією процедурою, щоб указати тип проксі-сервера, який потрібно інтегрувати з hybrid Data Security. Якщо ви виберете прозорий проксі-сервер перевірки або явний проксі-сервер HTTPS, ви можете використовувати інтерфейс вузла для завантаження та встановлення кореневого сертифіката. Ви також можете перевірити проксі-з'єднання з інтерфейсу та усунути будь-які потенційні проблеми.

Перш ніж почати

1

Введіть URL-адресу для настроювання вузла HDS https://[IP-адреса вузла HDS або FQDN]/setup у веб-браузері, введіть облікові дані адміністратора, які ви налаштували для вузла, а потім натисніть кнопку Увійти.

2

Перейдіть до Надійного магазину та проксі-сервера, а потім виберіть параметр:

  • Немає проксі— параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібне.
  • Прозорий неінспекційний проксі—вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін для роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.
  • Прозорий проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних не потрібні зміни конфігурації HTTPS, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі-серверу. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
  • Явний проксі — за допомогою явного проксі-сервера клієнту (вузли HDS) можна вказати, який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести такі відомості:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — виберіть http (переглядає та контролює всі запити, отримані від клієнта) або https (надає канал на сервер, клієнт отримує та перевіряє сертифікат сервера). Виберіть варіант, виходячи з того, що підтримує ваш проксі-сервер.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно для проксі HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно для проксі HTTP або HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно лише для проксі HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

Виконайте наступні кроки для прозорої перевірки проксі-сервера, явного HTTP-проксі з базовою автентифікацією або явного проксі-сервера HTTPS.

3

Клацніть « Завантажити кореневий сертифікат» або «Завершити сертифікатсутності», а потім перейдіть до вибору кореневого сертифіката для проксі-сервера.

Сертифікат завантажено, але ще не інстальовано, оскільки для встановлення сертифіката потрібно перезавантажити вузол. Клацніть стрілку шеврона біля імені емітента сертифіката, щоб отримати докладніші відомості, або натисніть кнопку Видалити , якщо ви припустилися помилки та хочете повторно завантажити файл.

4

Натисніть кнопку Перевірити підключення до проксі, щоб перевірити підключення до мережі між вузлом і проксі-сервером.

Якщо тест підключення не пройшов, ви побачите повідомлення про помилку, у якому вказано причину та способи усунення проблеми.

Якщо ви бачите повідомлення про те, що зовнішня роздільна здатність DNS не була успішною, вузол не зміг дістатися до DNS-сервера. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол буде працювати в режимі роздільної здатності заблокованих зовнішніх DNS. Якщо ви вважаєте, що це помилка, виконайте наведені дії, а потім перегляньте Вимкнути режим роздільної здатності заблокованих зовнішніх DNS.

5

Після того, як тест з'єднання пройде, для явного проксі-сервера, встановленого лише на https, увімкніть перемикач до Маршрутизація всіх запитів порту 443/444 https з цього вузла через явний проксі. Для набрання чинності цим параметром потрібно 15 секунд.

6

Натисніть кнопку Інсталювати всі сертифікати в надійний магазин (відображається для проксі-сервера HTTPS відвертої перевірки або прозорого проксі-сервера для перевірки) або Перезавантажити (відображається для явного проксі-сервера HTTP), прочитайте запит і натисніть кнопку Інсталювати , якщо все готово.

Вузол перезавантажується протягом декількох хвилин.

7

Після перезавантаження вузла увійдіть знову, якщо потрібно, а потім відкрийте сторінку Огляду , щоб перевірити перевірки підключення, щоб переконатися, що всі вони в зеленому стані.

Перевірка проксі-з'єднання лише тестує субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі хмарні домени, перелічені в інструкціях з інсталяції, блокуються на проксі-сервері.

Зареєструвати перший вузол у кластері.

Для цього завдання потрібен універсальний вузол, який ви створили в Налаштування VM гібридної безпеки даних, реєструє вузол із хмарою Webex і перетворює його в вузол гібридної безпеки даних.

Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначений вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Налаштувати.

4

На сторінці, що відкривається, клацніть Додати ресурс.

5

У першому полі Додати вузол введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних.

Рекомендовано назвати кластер залежно від місця географічного розташування вузлів кластера. Приклади: "Сан-Франциско" або "Нью-Йорк" або "Даллас"

6

У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Додати внизу екрана.

Ця IP-адреса або повне доменне ім’я хоста й домен, які використовувалися в Налаштуванні VM гібридної безпеки даних.

З’явиться повідомлення, що вказує на те, що можна зареєструвати свій вузол у Webex.
7

Клацніть Перейти до вузла.

Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації Webex дозволи на доступ до вашого вузла.

8

Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.
9

Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

На сторінці Гібридна безпека даних новий кластер, що містить зареєстрований вами вузол, буде відображено на вкладці Ресурси . Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

Створити й зареєструвати більше вузлів

Щоб додати додаткові вузли до кластера, просто створіть додаткові VM і змонтуйте той самий файл ISO конфігурації, а потім зареєструйте вузол. Рекомендовано мати принаймні 3 вузли.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Створіть нову віртуальну машину з OVA, повторюючи кроки в Установити OVA організатора HDS.

2

Налаштуйте початкову конфігурацію на новому VM, повторюючи кроки в Налаштуванні VM гібридної безпеки даних.

3

У новому VM повторіть кроки в Передати та змонтувати ISO конфігурації HDS.

4

Якщо ви налаштовуєте проксі для розгортання, повторіть кроки в Налаштуйте вузол HDS для інтеграції проксі , як це необхідно для нового вузла.

5

Зареєструйте вузол.

  1. У https://admin.webex.com виберіть Служби в меню ліворуч від екрана.

  2. У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Переглянути всі.

    З’явиться сторінка ресурсів гібридної безпеки даних.

  3. Щойно створений кластер відобразиться на сторінці Ресурси .

  4. Клацніть кластер, щоб переглянути вузли, призначені до кластера.

  5. Клацніть Додати вузол у правій частині екрана.

  6. Введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та натисніть Додати.

    Відкривається сторінка з повідомленням про те, що ви можете зареєструвати свій вузол у хмарі Webex. Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації дозволи на доступ до вашого вузла.

  7. Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

    Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.

  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

    Доданий вузол спливаюче повідомлення також відображається внизу екрана в Партнерському центрі.

    Ваш вузол зареєстровано.

Керування організаціями клієнтів у розділі гібридної безпеки даних із підтримкою кількох клієнтів

Активувати HDS із підтримкою кількох клієнтів у Партнерському центрі

Це завдання гарантує, що всі користувачі в організації клієнта зможуть почати використовувати HDS для локальних ключів шифрування та інших служб безпеки.

Перед початком

Переконайтеся, що ви завершили налаштування кластера HDS із кількома клієнтами з необхідною кількістю вузлів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

4

Клацніть Активувати HDS на картці стану HDS .

Додати організації осередків у партнерський центр

У цьому завданні призначаються організації клієнтів до кластера гібридної безпеки даних.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

Клацніть кластер, до якого ви хочете призначити клієнта.

5

Перейдіть на вкладку Призначені клієнти .

6

Клацніть Додати клієнтів.

7

Виберіть клієнта, якого потрібно додати з розкривного меню.

8

Клацніть Додати, клієнта буде додано до кластера.

9

Повторіть кроки 6–8, щоб додати декілька клієнтів до кластера.

10

Клацніть Готово внизу екрана після додавання клієнтів.

Що далі

Запустіть інструмент налаштування HDS, як докладніше описано в розділі Створити головні ключі клієнта (CMK), використовуючи інструмент налаштування HDS , щоб завершити процес налаштування.

Створити головні ключі клієнта (CMK) за допомогою інструмента налаштування HDS

Перед початком

Призначте клієнтів до відповідного кластера, як детально описано в Додати організації клієнтів у Партнерському центрі. Запустіть інструмент налаштування HDS, щоб завершити процес налаштування для нещодавно доданих клієнтських організацій.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

Переконайтеся, що підключення до бази даних для виконання керування CMK.
11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Створити CMK для всіх організацій або Створити CMK . Натисніть цю кнопку на банері вгорі екрана, щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Створити CMK , щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть … біля керування CMK, що очікує стан конкретної організації в таблиці, і клацніть Створити CMK , щоб створити CMK для цієї організації.
12

Після успішного створення CMK стан у таблиці буде змінено з очікування керування CMK на кероване CMK.

13

Якщо не вдалося створити CMK, буде відображено помилку.

Видалити організації осередків

Перед початком

Після видалення користувачі організацій клієнтів не зможуть використовувати HDS для потреб шифрування та втратять усі наявні простори. Перш ніж видалити організації клієнтів, зверніться до партнера Cisco або менеджера облікових записів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

На вкладці Ресурси клацніть кластер, з якого потрібно видалити організації клієнтів.

5

На сторінці, що відкривається, клацніть Призначені клієнти.

6

У списку відображуваних організацій клієнта клацніть ... праворуч від організації клієнта, яку потрібно видалити, і клацніть Видалити з кластера.

Що далі

Завершіть процес видалення, відкликавши CMK організацій клієнтів, як описано в розділі Відкликання CMK клієнтів, видалених із HDS.

Відкликайте CMK клієнтів, видалених з HDS.

Перед початком

Видаліть клієнтів із відповідного кластера, як описано в розділі Видалити організації клієнтів. Запустіть інструмент налаштування HDS, щоб завершити процес видалення для організацій клієнтів, які були видалені.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Відкликати CMK для всіх організацій або Відкликати CMK . Натисніть цю кнопку на банері вгорі екрана, щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Відкликати CMK , щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть біля CMK, щоб відкликати стан конкретної організації в таблиці, і клацніть Відкликати CMK , щоб відкликати CMK для цієї конкретної організації.
12

Після успішного відкликання CMK організація клієнта більше не відображатиметься в таблиці.

13

Якщо скасування CMK не вдасться, буде відображено помилку.

Протестуйте розгортання гібридної безпеки даних

Перевірити розгортання гібридної безпеки даних

Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних для кількох клієнтів.

Перед початком

  • Налаштуйте розгортання гібридної безпеки даних із кількома клієнтами.

  • Упевніться, що у вас є доступ до syslog, щоб переконатися, що запити ключів передаються до розгортання гібридної безпеки даних із кількома клієнтами.

1

Ключі для певного простору встановлюються його творцем. Увійдіть в програму Webex як один із користувачів організації клієнта, а потім створіть простір.

Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюються користувачами, більше не буде доступний після заміни кешованих клієнтом копій ключів шифрування.

2

Надішліть повідомлення до нового простору.

3

Перевірте вивід syslog, щоб переконатися, що запити ключів передаються розгортанню гібридної безпеки даних.

  1. Щоб перевірити, чи користувач спочатку встановив безпечний канал для KMS, виконайте фільтрування на kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Ви повинні знайти запис, наприклад такий (ідентифікатори скорочено для зручності читання):
    21 липня 2020 р. 17:35:34.562 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: // hds2. org5. portun. us/ statickeys/ 3[~]0 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2. org5. portun. us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data. uri=kms://hds2. org5. portun. us/ecdhe, kms.data.userId=0[~]2

  2. Щоб перевірити, чи користувач запитує наявний ключ із KMS, виконайте фільтрування у розділі kms.data.method=retrieve і kms.data.type=KEY:

    Необхідно знайти запис, наприклад:
    21 липня 2020 р. 17:44:19.889 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-31] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms. data. method=retrieve, kms. merc.id=c[~]7, kms. merc.sync=false, kms. data. uriHost=ciscospark. com, kms. data. type=KEY, kms. data. requestId=9[~]3, kms. data. uri=kms://ciscospark. com/keys/ d[~]2, kms. data. userId=1[~]b

  3. Щоб перевірити, чи користувач запитує створення нового ключа KMS, виконайте фільтрування у розділі kms.data.method=create і kms.data.type=KEY_COLLECTION:

    Необхідно знайти запис, наприклад:
    21 липня 2020 р. 17:44:21.975 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-33] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data. uri=/keys, kms.data.userId=1[~]b

  4. Щоб перевірити, чи користувача, який запитує створення нового ресурсного об’єкта KMS (KRO) під час створення простору або іншого захищеного ресурсу, виконайте фільтрування у розділі kms.data.method=create та kms.data.type=RESOURCE_COLLECTION:

    Необхідно знайти запис, наприклад: 
    21 липня 2020 р. 17:44:22.808 (+0000) ІНФОРМАЦІЯ KMS [pool-15-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Моніторинг гібридної безпеки даних

Індикатор стану в Партнерському центрі показує, чи все гаразд із розгортанням гібридної безпеки даних для кількох клієнтів. Щоб підвищити активність оповіщень, зареєструйтеся в сповіщеннях електронною поштою. Ви отримаєте сповіщення, якщо з’являться попередження, які впливають на службу, або оновлення версії програмного забезпечення.
1

У Партнерському центрі виберіть Служби в меню зліва екрана.

2

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

З’явиться сторінка параметрів гібридної безпеки даних.
3

У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділених комами, і натисніть Enter.

Керуйте розгортанням HDS

Керування розгортанням HDS

Для керування розгортанням гібридної безпеки даних використовуйте завдання, описані тут.

Установити розклад оновлення кластера.

Оновлення версії програмного забезпечення для гібридної безпеки даних здійснюється автоматично на рівні кластера, завдяки чому всі вузли завжди працюють одну й ту саму версію програмного забезпечення. Оновлення версії здійснюється відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стане доступним, у вас є можливість вручну оновити версію до запланованого часу оновлення версії. Можна встановити конкретний розклад оновлення версії або використовувати розклад за замовчуванням, який становить 3:00 ранку щоденно у США: Америка/Лос-Анджелес. Ви також можете за потреби відкласти майбутні оновлення версії.

Щоб налаштувати розклад оновлення версії, виконайте наведені нижче дії.

1

Увійдіть у партнерський центр.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Налаштувати.

4

На сторінці ресурсів гібридної безпеки даних виберіть кластер.

5

Клацніть вкладку Налаштування кластера .

6

"На сторінці ""Налаштування кластера"" в розділі ""Розклад оновлення версії"" виберіть час і часовий пояс для розкладу оновлення версії."

Примітки У часовому поясі відображено наступну дату й час оновлення версії. Можна відкласти оновлення на наступний день, якщо потрібно, клацнувши Відкласти на 24 години.

Змінити конфігурацію вузла

Іноді вам може знадобитися змінити конфігурацію вузла гібридної безпеки даних з такої причини, як:

  • Зміна сертифікатів x.509 через закінчення терміну дії або інші причини.

    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовується для реєстрації кластера.

  • Оновлення параметрів бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

    Ми не підтримуємо перенесення даних з PostgreSQL до Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, розпочніть нове розгортання гібридної системи захисту даних.

  • Створення нової конфігурації для підготовки нового центру обробки даних.

Крім того, з метою безпеки Hybrid Data Security використовує паролі службових облікових записів, термін дії яких становить дев'ять місяців. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з ваших вузлів HDS у файлі конфігурації ISO. Коли паролі вашої організації наближаються до закінчення терміну дії, ви отримуєте повідомлення від команди Webex про скидання пароля для облікового запису вашого комп'ютера. (Електронний лист містить текст "Використовуйте API облікового запису машини, щоб оновити пароль.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

  • Програмне скидання— старі й нові паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

  • Жорстке скидання— старі паролі негайно припиняють працювати.

Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

Використовуйте цю процедуру, щоб створити новий файл конфігурації ISO і застосувати його до вашого кластера.

Перш ніж почати

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Partner Hub із повними правами адміністратора партнера.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker у 1.e. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Щоб створити нову конфігурацію, вам потрібна копія поточного файла конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. ISO потрібен під час внесення змін у конфігурацію, включаючи облікові дані бази даних, оновлення сертифікатів або зміни в політиці авторизації.

1

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

    У звичайних середовищах:

    docker rmi ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker rmi ciscocitg/ hds- setup- fedramp: stable

    Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

  2. Щоб увійти до реєстру Docker-зображень, введіть наступне:

    docker login - u hdscustomersro

  3. На запиті пароля введіть цей хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Завантажте останнє стабільне зображення для вашого середовища:

    У звичайних середовищах:

    docker pull ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker pull ciscocitg/hds- setup- fedramp: stable

    Обов 'язково потягніть найновіший інструмент налаштування для цієї процедури. Версії інструмента, створені до 22 лютого 2018 року, не мають екранів скидання пароля.

  5. Після завершення витягування введіть відповідну команду для вашого середовища:

    • У звичайних середовищах без проксі-сервера:

      docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

    • У звичайних середовищах з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

    • У звичайних середовищах з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У середовищах FedRAMP без проксі-сервера:

      docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

    • У середовищах FedRAMP з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

    • У середовищах FedRAMP з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Коли контейнер запущений, ви бачите "Експрес-прослуховування сервера на порту 8080".

  6. Використовуйте браузер для підключення до localhost, http://127.0.0.1:8080.

    Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

  7. Коли з’явиться відповідний запит, введіть облікові дані для входу клієнта Partner Hub, а потім клацніть Прийняти , щоб продовжити.

  8. Імпортувати поточний файл конфігурації ISO.

  9. Дотримуйтеся вказівок, щоб завершити роботу інструменту та завантажити оновлений файл.

    Щоб закрити інструмент налаштування, введіть CTRL+C.

  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

2

Якщо у вас працює лише один вузол HDS, створіть новий вузол гібридної безпеки даних VM і зареєструйте його, використовуючи новий файл ISO конфігурації. Докладні інструкції див. в розділі Створення та реєстрація додаткових вузлів.

  1. Встановіть HDS-хост OVA.

  2. Налаштуйте віртуальну машину HDS.

  3. Змонтувати оновлений файл конфігурації.

  4. Зареєструйте новий вузол у партнерському центрі.

3

Для існуючих вузлів HDS, у яких запущено старий файл конфігурації, змонтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

  1. Вимкніть віртуальну машину.

  2. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  3. Натисніть CD /DVD-дисковод 1, виберіть параметр для монтування з файлу ISO та перейдіть до розташування, куди ви завантажили файл ISO нової конфігурації.

  4. Перевірте підключення при увімкненому живленні.

  5. Заощаджуйте зміни та енергію на віртуальній машині.

4

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, який виконує стару конфігурацію.

Вимкнення режиму роздільної здатності заблокованих зовнішніх DNS

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. Якщо DNS-серверу вузла не вдається розпізнати загальнодоступні імена DNS, вузол автоматично переходить у режим блокування зовнішньої роздільної здатності DNS.

Якщо ваші вузли можуть вирішувати загальнодоступні імена DNS через внутрішні DNS-сервери, ви можете вимкнути цей режим, повторивши тест проксі-з'єднання на кожному вузлі.

Перш ніж почати

Переконайтеся, що ваші внутрішні DNS-сервери можуть розпізнавати загальнодоступні імена DNS і що ваші вузли можуть зв'язуватися з ними.
1

У браузері відкрийте інтерфейс вузла гібридної безпеки даних (IP-адреса/налаштування), наприклад, введіть облікові дані адміністратора, https://192.0.2.0/setup), які настроєно для вузла, а потім натисніть кнопку Увійти.

2

Перехід до розділу Огляд (сторінка за замовчуванням).

Якщо ввімкнено, для параметра "Заблокована зовнішня роздільна здатність DNS" встановлено значення "Так".

3

Перейдіть на сторінку Надійний магазин і проксі .

4

Натисніть Перевірити підключенняпроксі-сервера.

Якщо ви бачите повідомлення про те, що зовнішнє дозвіл DNS не було успішним, вузол не зміг дістатися до DNS-сервера і залишиться в цьому режимі. В іншому випадку, після того, як ви перезавантажите вузол і повернетеся на сторінку огляду , заблоковане зовнішнє дозвіл DNS має бути встановлено на "ні".

Що далі

Повторіть тест проксі-з'єднання на кожному вузлі в кластері гібридної безпеки даних.

Видалити вузол

Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi та вимкнути віртуальну машину.

2

Видалити вузол:

  1. Увійдіть до концентратора партнера й виберіть Служби.

  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів гібридної безпеки даних.

  3. Виберіть кластер, щоб відобразити його панель огляду.

  4. Клацніть вузол, який потрібно видалити.

  5. Клацніть Скасувати реєстрацію цього вузла на панелі, що з’явиться справа.

  6. Можна також скасувати реєстрацію вузла, клацнувши … праворуч від вузла й вибравши Видалити цей вузол.

3

У клієнті vSphere видаліть VM. (На панелі навігації ліворуч клацніть правою кнопкою миші VM і клацніть Видалити.)

Якщо ви не видалите VM, не забудьте демонтувати файл ISO конфігурації. Без файлу ISO неможливо використовувати VM для доступу до даних безпеки.

Відновлення після відмови за допомогою центру обробки даних у режимі очікування

Найважливішою службою, яку надає кластер гібридної безпеки даних, є створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, призначеного для гібридної безпеки даних, запити на створення нового ключа маршрутизуються в кластер. Кластер також несе відповідальність за повернення створених ключів будь-яким користувачам, авторизованим для їх отримання, наприклад учасникам простору розмови.

Оскільки кластер виконує критичну функцію надання цих ключів, дуже важливо, щоб кластер продовжував працювати та щоб підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕПОПРАВНОЇ ВТРАТИ контенту клієнта. Для запобігання такої втрати є обов'язковими такі практики:

Якщо внаслідок стихійного лиха розгортання HDS у основному центрі обробки даних стане недоступним, виконайте цю процедуру, щоб вручну виконати аварійне перемикання на центр обробки даних у режимі очікування.

Перед початком

Скасуйте реєстрацію всіх вузлів із Партнерського центру, як зазначено в розділі Видалити вузол. Щоб виконати процедуру аварійного перемикання, згадану нижче, використовуйте останній файл ISO, налаштований проти вузлів кластера, який раніше був активний.
1

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створити ISO конфігурації для хостів HDS.

2

Завершіть процес конфігурації та збережіть файл ISO у зручному для пошуку розташуванні.

3

Зробіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

4

У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

5

Клацніть Змінити налаштування >Диск CD/DVD 1 і виберіть файл ISO Datastore.

Переконайтеся, що встановлено прапорець параметрів Підключено та Connect при увімкненні , щоб оновлені зміни конфігурації набули сили після запуску вузлів.

6

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

7

Зареєструйте вузол у партнерському центрі. Див. розділ Зареєструвати перший вузол у кластері.

8

Повторити процес для кожного вузла в центрі обробки даних у режимі очікування.

Що далі

Після аварійного перемикання, якщо основний центр обробки даних знову стане активним, скасуйте реєстрацію вузлів центру обробки даних у режимі очікування та повторіть процес налаштування ISO та реєстрації вузлів основного центру обробки даних, як зазначено вище.

(Необов’язково) Демонтування ISO після конфігурації HDS

Стандартна конфігурація HDS працює зі змонтованим ISO. Але деякі клієнти воліють не залишати файли ISO постійно змонтовані. Можна демонтувати файл ISO після того, як усі вузли HDS підхопили нову конфігурацію.

Ви все ще використовуєте файли ISO для внесення змін до конфігурації. Під час створення нового ISO або оновлення ISO за допомогою інструмента налаштування потрібно змонтувати оновлене ISO на всіх вузлах HDS. Після того як усі ваші вузли отримають зміни конфігурації, можна знову демонтувати ISO за допомогою цієї процедури.

Перед початком

Оновіть версію всіх вузлів HDS до версії 2021.01.22.4720 або пізнішої.

1

Закрийте один із вузлів HDS.

2

У пристрої vCenter Server Device виберіть вузол HDS.

3

Виберіть Змінити налаштування > Диск CD/DVD і зніміть прапорець файлу ISO Datastore.

4

Увімкніть вузол HDS і переконайтеся, що попередження відсутнє щонайменше 20 хвилин.

5

Повторюйте для кожного вузла HDS по черзі.

Усунення несправностей гібридної безпеки даних

Переглянути сповіщення та усунути несправності

Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що вимагає часу очікування. Якщо користувачі не можуть зв’язатися з кластером гібридної безпеки даних, вони відчувають такі симптоми:

  • Не вдалося створити нові простори (неможливо створити нові ключі).

  • Не вдалося розшифрувати повідомлення та назви просторів для:

    • Нові користувачі додані до простору (неможливо отримати ключі)

    • Наявні користувачі в просторі, що використовують новий клієнт (неможливо отримати ключі).

  • Наявні користувачі в просторі продовжуватимуть успішно запускатися, доки їхні клієнти матимуть кеш ключів шифрування.

Важливо належним чином відстежувати кластер гібридної безпеки даних і швидко надсилати будь-які сповіщення, щоб уникнути порушення роботи служби.

Оповіщення

Якщо виникла проблема з налаштуванням гібридної безпеки даних, Партнерський центр відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато загальних сценаріїв.

Таблиця 1. Загальні проблеми та кроки для їх вирішення

Сповіщення

Дія

Помилка доступу до локальної бази даних.

Перевірте наявність помилок бази даних або проблем локальної мережі.

Помилка підключення до локальної бази даних.

Перевірте доступність сервера бази даних і правильні облікові дані облікового запису служби використано в конфігурації вузла.

Помилка доступу до хмарної служби.

Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього з’єднання.

Поновлення реєстрації хмарної служби.

Реєстрацію в хмарних службах скасовано. Триває подовження реєстрації.

Реєстрацію хмарної служби скасовано.

Реєстрацію в хмарних службах припинено. Роботу служби припиняється.

Службу ще не активовано.

Активуйте HDS у Партнерському центрі.

Налаштований домен не відповідає сертифікату сервера.

Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

Найімовірніша причина полягає в тому, що сертифікат CN нещодавно був змінений і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

Не вдалось автентифікувати в хмарних службах.

Перевірте точність і можливий термін дії облікових даних облікового запису обслуговування.

Не вдалося відкрити локальний файл сховища ключів.

Перевірте цілісність і точність пароля у локальному файлі сховища ключів.

Неприпустимий сертифікат локального сервера.

Перевірте дату закінчення терміну дії сертифіката сервера й упевніться, що він був виданий довіреним центром сертифікації.

Не вдалося опублікувати показники.

Перевірте доступ до локальної мережі до зовнішніх хмарних служб.

Каталогу /media/configdrive/hds не існує.

Перевірте конфігурацію змонтування ISO на віртуальному вузлі. Переконайтеся, що файл ISO існує, що його налаштовано на монтування до перезавантаження та що він успішно монтується.

Налаштування організації клієнта не завершено для доданих організацій

Завершіть налаштування, створивши CMK для нещодавно доданих організацій клієнтів за допомогою інструменту налаштування HDS.

Налаштування організації клієнта не завершено для видалених організацій

Завершіть налаштування, відкликавши CMK організацій клієнтів, які були вилучені за допомогою інструменту налаштування HDS.

Усунення несправностей гібридної безпеки даних

Використовуйте наведені далі загальні інструкції під час виправлення неполадок із службою гібридної безпеки даних.
1

Перегляньте Партнерський центр на наявність будь-яких сповіщень і виправте будь-які знайдені в ньому елементи. Для довідки дивіться зображення нижче.

2

Перегляньте вивід сервера syslog для дій із розгортання гібридної безпеки даних. Щоб допомогти у вирішенні неполадок, виконайте фільтр для таких слів, як "Попередження" та "Помилка".

3

Зверніться до служби підтримки Cisco.

Інші примітки

Відомі проблеми гібридної безпеки даних

  • Якщо закрити кластер гібридної безпеки даних (видалити його в партнерському центрі або закрити всі вузли), втратити файл ISO конфігурації або втратити доступ до бази даних сховища ключів, користувачі програми Webex організацій клієнтів більше не зможуть використовувати простори зі списку осіб, створені за допомогою клавіш із KMS. Зараз у нас немає готового рішення або виправлення цієї проблеми. Ми закликаємо вас не закривати ваші служби HDS після того, як вони обробляють облікові записи активних користувачів.

  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом періоду часу (ймовірно, однієї години).

Використовуйте OpenSSL для створення файлу PKCS12

Перед початком

  • OpenSSL — це інструмент, який можна використовувати для створення файлу PKCS12 у належному форматі для завантаження в інструменті налаштування HDS. Є й інші способи зробити це, і ми не підтримуємо чи не просуваємо один шлях над іншим.

  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, щоб допомогти вам створити файл, який відповідає вимогам сертифіката X.509 у Вимогам до сертифіката X.509. Перш ніж продовжити, ознайомтеся з цими вимогами.

  • Установіть OpenSSL у підтримуваному середовищі. Див. https://www.openssl.org програмне забезпечення та документацію.

  • Створіть закритий ключ.

  • Почніть цю процедуру, коли ви отримаєте сертифікат сервера від Certificate Authority (CA).

1

Отримавши сертифікат сервера від ЦС, збережіть його як hdsnode.pem.

2

Відобразити сертифікат у вигляді тексту та перевірте відомості.

openssl x509 -text -noout -in hdsnode.pem

3

Використовуйте текстовий редактор, щоб створити файл пакету сертифікатів під назвою hdsnode-bundle.pem. Файл пакету повинен містити сертифікат сервера, будь-які проміжні сертифікати ЦС і кореневі сертифікати ЦС у форматі нижче:

----BEGIN CERTIFICATE------- ### Сертифікат сервера. ### -----END CERTIFICATE------------BEGIN CERTIFICATE----- ### Проміжний сертифікат CA. ### -----END CERTIFICATE---------BEGIN CERTIFICATE----- ### Кореневий сертифікат CA. ### -----END CERTIFICATE-----

4

Створіть файл .p12 з дружнім ім’ям kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Перевірте відомості про сертифікат сервера.

  1. openssl pkcs12 - in hdsnode.p12

  2. Введіть пароль у поле запиту, щоб зашифрувати закритий ключ так, щоб його було відображено в виведенні. Потім переконайтеся, що закритий ключ і перший сертифікат містять лінії дружніName: kms- private- key.

    Приклад:

    bash$ openssl pkcs12 -in hdsnode.p12 Введіть пароль імпорту: Перевірені MAC атрибути пакету OK дружніІм’я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключові атрибути:  Введіть фразу передавання PEM: Перевірка – введіть фразу передавання PEM: -----BEGIN ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ-----  -----END ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ------ Атрибути сумки дружніІм'я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------- Bag Attributes friendlyName: CN=Дозволити Encrypt Authority X3,O=Дозволити Encrypt,C=US subject=/C=US/O=Дозволити Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-------

Що далі

Поверніться до завершення обов’язкових умов для гібридної безпеки даних. Файл hdsnode.p12 і налаштований для нього пароль буде використано в Створити ISO конфігурації для хостів HDS.

Можна повторно використовувати ці файли, щоб надіслати запит на новий сертифікат, коли термін дії оригінального сертифіката завершиться.

Трафік між вузлами HDS і хмарою

Трафік збору вихідних показників

Вузли гібридної безпеки даних надсилають певні показники в хмару Webex. До них відносяться системні показники для максимальної кількості ключів, кількості використаних ключів, навантаження ЦП та кількості ланцюжків; показники для синхронізованих і асинхронних потоків; показники для сповіщень, що включають поріг підключень шифрування, затримку або довжину черги запитів; показники на сервері даних; показники підключення шифрування. Вузли надсилають зашифрований матеріал ключа через канал поза смугою (окремо від запиту).

Вхідний трафік

Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

  • Запити на шифрування від клієнтів, маршрутизованих службою шифрування

  • Оновлення версії програмного забезпечення вузла

Налаштувати проксі-сервери Squid для гібридної безпеки даних

Websocket не може підключитися через проксі-сервер Squid

Проксі-сервери, які перевіряють HTTPS-трафік, можуть перешкоджати встановленню з’єднань вебсокетів (wss:), які потребують гібридної безпеки даних. У цих розділах наведено інструкції щодо налаштування різних версій Squid, щоб ігнорувати wss: трафік для належної експлуатації послуг.

Кальмари 4 і 5

Додайте on_unsupported_protocol директиву до squid.conf:

on_unsupported_protocol тунель усі

Кальмари 3.5.27

Ми успішно протестували гібридну безпеку даних за допомогою наступних правил, доданих до squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

acl wssMercuryConnection ssl::Mercury-server_name_regex connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 всі ssl_bump stare step2 всі ssl_bump bump step3 всі

Нова й змінена інформація

Нова й змінена інформація

У цій таблиці наведено нові функції або функції, зміни наявного контенту та будь-які основні помилки, які було виправлено в Посібнику з розгортання гібридної безпеки даних для кількох клієнтів.

Дата

Внесені зміни

08 січня 2025 року

У розділі Виконати початкове налаштування та завантажити файли встановлення додано примітку, у якій зазначено, що натискання Налаштування на картці HDS у Партнерському центрі є важливим кроком процесу встановлення.

07 січня 2025 року

Оновлено вимоги до віртуального хоста, Процес розгортання гібридної безпеки даних та Установіть HDS Host OVA , щоб показати нову вимогу ESXi 7.0.

13 грудня 2024 року

Вперше опубліковано.

Деактивувати безпеку гібридних даних із кількома клієнтами

Потік завдань деактивації HDS для кількох клієнтів

Виконайте наведені дії, щоб повністю деактивувати HDS для кількох клієнтів.

Перед початком

Це завдання має виконувати лише адміністратор партнера з повними правами.
1

Видаліть усіх клієнтів з усіх кластерів, як зазначено в Видалити організації клієнтів.

2

Анулюйте CMK усіх клієнтів, як зазначено в Анулюйте CMK клієнтів, видалених із HDS..

3

Видаліть усі вузли з усіх кластерів, як зазначено в Видалити вузол.

4

Видаліть усі кластери з Партнерського центру за допомогою одного з двох наведених нижче способів.

  • Клацніть кластер, який потрібно видалити, і виберіть Видалити цей кластер у правому верхньому куті сторінки огляду.
  • На сторінці Ресурси клацніть … праворуч від кластера та виберіть Видалити кластер.
5

Клацніть вкладку Налаштування на сторінці огляду гібридної безпеки даних і натисніть Деактивувати HDS на картці стану HDS.

Початок роботи з гібридною безпекою даних для кількох клієнтів

Огляд гібридної безпеки даних для кількох клієнтів

З першого дня безпека даних була основним завданням у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, яке ввімкнено клієнтами програми Webex, які взаємодіють зі службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і дешифрування повідомлень і файлів.

За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS у області безпеки Cisco. Гібридна безпека даних переміщує KMS та інші функції, пов'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не тримає ключі до вашого зашифрованого вмісту.

Багатоклієнтська гібридна безпека даних дозволяє організаціям використовувати HDS через довіреного локального партнера, який може виступати як постачальник послуг і керувати локальним шифруванням та іншими службами безпеки. Це налаштування дозволяє партнерській організації мати повний контроль за розгортанням ключів шифрування та керування ними, а також гарантує безпеку даних користувачів організацій клієнта від зовнішнього доступу. Партнерські організації налаштовують екземпляри HDS і створюють кластери HDS за потреби. Кожен екземпляр може підтримувати кілька організацій клієнта, на відміну від звичайного розгортання HDS, яке обмежується однією організацією.

Хоча партнерські організації мають контроль за розгортанням і керуванням, вони не мають доступу до даних і контенту, що створюються клієнтами. Цей доступ обмежено організаціями клієнта та їхніми користувачами.

Це також дозволяє невеликим організаціям використовувати HDS, оскільки Ключові служби керування та інфраструктура безпеки, як-от центри обробки даних, належать довіреним місцевим партнером.

Як багатоклієнтська гібридна безпека даних забезпечує суверенітет і контроль даних

  • Створений користувачами контент захищено від зовнішнього доступу, як-от постачальники хмарних послуг.
  • Надійні місцеві партнери управляють ключами шифрування клієнтів, з якими вони вже мають налагоджені відносини.
  • Варіант місцевої технічної підтримки, якщо надано партнером.
  • Підтримує контент нарад, обміну повідомленнями й викликів.

Цей документ спрямований на допомогу партнерським організаціям у налаштуванні та керуванні клієнтами в системі гібридної безпеки даних із підтримкою кількох клієнтів.

Ролі в гібридній безпеці даних із кількома клієнтами

  • Повний адміністратор партнера – може керувати налаштуваннями для всіх клієнтів, якими керує партнер. Також може призначати ролі адміністратора наявним користувачам в організації та призначати певних клієнтів, якими керуватимуть адміністратори партнера.
  • Адміністратор партнера – може керувати налаштуваннями клієнтів, підготовленими адміністратором або призначеними користувачу.
  • Повний адміністратор – адміністратор партнерської організації, який має право виконувати такі завдання, як зміна налаштувань організації, керування ліцензіями та призначення ролей.
  • Наскрізне налаштування HDS із підтримкою кількох клієнтів і керування всіма організаціями клієнта – потрібні права повного адміністратора партнера та повного адміністратора.
  • Керування призначеними організаціями клієнта : потрібні права адміністратора партнера та повного адміністратора.

Архітектура області безпеки

Хмарна архітектура Webex розділяє різні типи служб на окремі області або домени довіри, як показано нижче.

Області розділення (без гібридної безпеки даних)

Щоб краще зрозуміти гібридну безпеку даних, спочатку розгляньмо цей випадок у чистому хмарі, де Cisco надає всі функції у своїх хмарних областях. Служба ідентифікації, єдине місце, де користувачі можуть бути безпосередньо пов’язані з їхньою персональною інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зрештою зберігається зашифрований контент, в центрі обробки даних C.

На цій діаграмі клієнтом є програма Webex, що працює на ноутбуці користувача й автентифікувався за допомогою служби ідентифікації. Коли користувач складає повідомлення для надсилання до простору, виконуються такі кроки:

  1. Клієнт встановлює захищене з’єднання зі службою керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Для захищеного з’єднання використовується ECDH, а KMS шифрує ключ за допомогою основного ключа AES-256.

  2. Повідомлення зашифровано перед тим, як воно залишає клієнта. Клієнт надсилає його в службу індексації, яка створює зашифровані пошукові індекси для допомоги в подальшому пошуку контенту.

  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

  4. Зашифроване повідомлення зберігається в області сховища.

Під час розгортання гібридної безпеки даних ви переміщуєте функції області безпеки (KMS, індексація та відповідність) до локального центру обробки даних. Інші хмарні служби, які складають Webex (зокрема, ідентифікаційні дані та сховище контенту), залишаються в області Cisco.

Співпраця з іншими організаціями

Користувачі вашої організації можуть регулярно використовувати програму Webex для співпраці з зовнішніми учасниками в інших організаціях. Коли один із ваших користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), ваш KMS надсилає ключ клієнту через канал, захищений ECDH. Однак, якщо ключ для простору належить іншій організації, ваш KMS надсилає запит в хмару Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в вихідному каналі.

Служба KMS, яку запущено в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Додаткову інформацію про створення сертифіката x.509 для використання з розгортанням багатоклієнтської гібридної безпеки даних див. в розділі Підготовка середовища .

Очікування розгортання гібридної безпеки даних

Розгортання гібридної безпеки даних вимагає значної прихильності та обізнаності про ризики, які виникають при наявності ключів шифрування.

Щоб розгорнути гібридну безпеку даних, необхідно надати:

Повна втрата ISO конфігурації, яку ви створюєте для гібридної безпеки даних, або бази даних, яку ви надаєте, призведе до втрати ключів. Втрата ключа забороняє користувачам розшифрувати контент простору та інші зашифровані дані в програмі Webex. Якщо це станеться, ви зможете створити нове розгортання, але буде відображено лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

  • Керування резервним копіюванням і відновленням бази даних та ISO конфігурації.

  • Будьте готові до швидкого відновлення після відмови в разі виникнення катастрофи, як-от помилка диска бази даних або помилка центру обробки даних.

Відсутній механізм для переміщення ключів назад у хмару після розгортання HDS.

Процес налаштування на високому рівні

Цей документ охоплює налаштування та керування розгортанням гібридної безпеки даних із кількома клієнтами:

  • Налаштування гібридної безпеки даних. Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення гібридної безпеки даних, створення кластера HDS, додавання організацій-клієнтів до кластера та керування їхніми основними ключами клієнта (CMK). Це дозволить усім користувачам в організації клієнта використовувати кластер гібридної безпеки даних для функцій безпеки.

    Етапи налаштування, активації та керування докладно описані в наступних трьох розділах.

  • Підтримуйте розгортання гібридної безпеки даних. Хмара Webex автоматично забезпечує постійні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати сповіщення на екрані та налаштувати сповіщення на основі електронної пошти в Партнерському центрі.

  • Ознайомтеся з поширеними сповіщеннями, кроками усунення несправностей і відомими проблемами. Якщо у вас виникли проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й вирішити цю проблему.

Модель розгортання гібридної безпеки даних

У вашому центрі обробки даних підприємства ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли зв’язуються з хмарою Webex за допомогою захищених вебсокетів і захищеного HTTP.

Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами VM. Ви використовуєте інструмент налаштування HDS для створення користувацького файлу конфігурації ISO кластера, який буде змонтовано на кожному вузлі. Кластер гібридної безпеки даних використовує наданий сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і відомості про підключення до бази даних в інструменті налаштування HDS.)

Модель розгортання гібридної безпеки даних

Мінімальна кількість вузлів, які можна мати в кластері, дорівнює два. Рекомендовано принаймні три для кластера. Наявність кількох вузлів гарантує, що служба не переривається під час оновлення версії програмного забезпечення або іншої діяльності з обслуговування на вузлі. (Хмара Webex оновлює лише один вузол за раз.)

Усі вузли в кластері отримують доступ до одного єдиного сервера системних даних і активності журналу. Самі вузли не мають статусу, і обробляють ключові запити круглим способом, як спрямовано хмарою.

Вузли стають активними, коли їх зареєстровано в Партнерському центрі. Щоб вилучити окремий вузол із експлуатації, його можна скасувати реєстрацію, а в разі потреби повторно зареєструвати.

Центр даних у режимі очікування для відновлення після відмови

Під час розгортання ви налаштували безпечний центр обробки даних у режимі очікування. У разі несправності центру обробки даних ви можете вручну не виконувати перехід до центру обробки даних у режимі очікування.

Перед аварійним переходом центр обробки даних A має активні вузли HDS і основну базу даних PostgreSQL або Microsoft SQL Server, тоді як B має копію файлу ISO з додатковими конфігураціями, зареєстрованими в організації VM, і базу даних у режимі очікування. Після аварійного перемикання центр обробки даних B має активні вузли HDS і основну базу даних, тоді як A має незареєстровані VM і копію файлу ISO, а база даних перебуває в режимі очікування.
Ручне аварійне перемикання на центр обробки даних у режимі очікування

Бази даних активних та резервних центрів обробки даних синхронізуються один з одним, що дозволить мінімізувати час, необхідний для виконання аварійного перемикання.

Активні вузли гібридної безпеки даних завжди мають бути в тому самому центрі обробки даних, що й активний сервер бази даних.

Підтримка проксі

Гібридна безпека даних підтримує явні, прозорі перевірки та неінспектування проксі. Ви можете прив'язати ці проксі до свого розгортання, щоб ви могли захищати та контролювати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для управління сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

Гібридні вузли захисту даних підтримують такі параметри проксі-сервера:

  • Немає проксі— За замовчуванням, якщо для інтеграції проксі не використовується налаштування вузла HDS Store і Proxy. Оновлення сертифіката не потрібне.

  • Прозорий неінспекційний проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін до роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.

  • Прозоре тунелювання чи інспектування проксі— вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах не потрібні зміни конфігурації HTTP або HTTPS. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

  • Явний проксі. За допомогою явного проксі-сервера вузлам HDS слід визначити, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі, необхідно ввести наступну інформацію на кожному вузлі:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

      • HTTP — Перегляд і контроль усіх запитів, які надсилає клієнт.

      • HTTPS — забезпечує канал серверу. Клієнт отримує та перевіряє сертифікат сервера.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно, лише якщо в якості проксі-протоколу вибрано протокол HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

Приклад гібридних вузлів безпеки даних і проксі-сервера

На цій схемі наведено приклад підключення між гібридною безпекою даних, мережею та проксі-сервером. Для прозорої перевірки та явної перевірки параметрів проксі-сервера HTTPS на проксі-сервері та на вузлах гібридної безпеки даних повинен бути встановлений той самий кореневий сертифікат.

Заблокований зовнішній режим роздільної здатності DNS (явні конфігурації проксі)

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. У розгортаннях з явними конфігураціями проксі-сервера, які не дозволяють зовнішню роздільну здатність DNS для внутрішніх клієнтів, якщо вузол не може запитувати DNS-сервери, він автоматично переходить у режим блокування зовнішньої роздільної здатності DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести проксі-підключення.

Підготовка середовища

Вимоги до гібридної безпеки даних із кількома клієнтами

Вимоги до ліцензії Cisco Webex

Щоб розгорнути безпеку гібридних даних із кількома клієнтами, виконайте наведені нижче дії.

  • Партнерські організації: Зверніться до партнера Cisco або менеджера облікового запису й переконайтеся, що функцію кількох клієнтів увімкнено.

  • Організації осередків: Необхідно мати професійний пакет для Cisco Webex Control Hub. (Див. https://www.cisco.com/go/pro-pack.)

Вимоги до робочого стола Docker

Перш ніж установити вузли HDS, необхідно Docker Desktop, щоб запустити програму встановлення. Docker нещодавно оновив свою ліцензійну модель. Ваша організація може вимагати платну підписку на Docker Desktop. Для отримання детальної інформації див. допис у блозі Docker "Docker оновлює та розширює підписку на наш продукт".

Вимоги до сертифіката X.509

Ланцюжок сертифікатів повинен відповідати таким вимогам:

Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

Вимоги

Відомості

  • Підписано довіреним центром сертифікації (CA)

За замовчуванням ми довіряємо ценам у списку Mozilla (за винятком WoSign і StartCom) за адресою https://wiki.mozilla.org/CA:IncludedCAs.

  • Має доменне ім’я (CN), яке ідентифікує розгортання гібридної безпеки даних.

  • Не є сертифікатом узагальнення

CN не обов’язково бути доступним або організатором у режимі реального часу. Ми рекомендуємо використовувати ім’я, що відображає вашу організацію, наприклад hds.company.com.

CN не має містити символ * (узагальнення).

CN використовується для перевірки вузлів гібридної безпеки даних клієнтам програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, визначеного в полях SAN x.509v3.

Після реєстрації вузла з цим сертифікатом зміна доменного імені CN не підтримується.

  • Підпис без SHA1

Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключення до KMS інших організацій.

  • Відформатований як файл PKCS #12 із захищеним паролем

  • Використовуйте дружнє ім’я kms-private-key , щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.

Щоб змінити формат сертифіката, можна використовувати перетворювач, наприклад OpenSSL.

Вам потрібно буде ввести пароль, коли ви запустите інструмент налаштування HDS.

Програмне забезпечення KMS не вимагає використання ключів або розширених обмежень використання ключів. Деякі органи сертифікації вимагають, щоб до кожного сертифіката застосовувалися розширені обмеження використання ключа, як-от автентифікація сервера. Цілком нормально використовувати автентифікацію сервера або інші налаштування.

Вимоги до віртуального організатора

Віртуальні вузли, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері, мають такі вимоги:

  • Принаймні два окремих хоста (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

  • VMware ESXi 7.0 (або пізнішої версії) встановлено та запущено.

    Необхідно оновити версію, якщо у вас попередня версія ESXi.

  • Мінімум 4 вЦП, 8 ГБ основної пам’яті, 30 ГБ локального жорсткого диска на сервер

Вимоги до сервера бази даних

Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

Для сервера бази даних існує два параметри. Вимоги до кожного з них такі:

Таблиця 2. Вимоги до сервера бази даних за типом бази даних

Postgre SQL

Сервер Microsoft SQL

  • PostgreSQL 14, 15 або 16, встановлено та запущено.

  • Встановлено SQL Server 2016, 2017 або 2019 (корпоративний або стандартний).

    SQL Server 2016 вимагає пакета оновлень 2 та кумулятивного оновлення 2 або пізнішої версії.

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Програмне забезпечення HDS зараз установлює такі версії драйверів для зв’язку з сервером бази даних:

Postgre SQL

Сервер Microsoft SQL

Postgres драйвер JDBC 42.2.5

Драйвер JDBC SQL Server 4.6

Ця версія драйвера підтримує SQL Server Always On (Завжди ввімкнені екземпляри аварійного перемикання кластерів і Always On групи доступності).

Додаткові вимоги до автентифікації Windows проти Microsoft SQL Server

Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для доступу до вашої бази даних ключів на Microsoft SQL Server, то у вашому середовищі потрібна така конфігурація:

  • Вузли HDS, інфраструктуру Active Directory і MS SQL Server мають бути синхронізовані з NTP.

  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ до бази даних для читання та запису.

  • DNS-сервери, які ви надаєте вузлам HDS, повинні мати змогу вирішити ваш центр розподілу ключів (KDC).

  • Можна зареєструвати екземпляр бази даних HDS на сервері Microsoft SQL як основне ім’я служби (SPN) в Active Directory. Див. розділ Реєстрація імені головної служби для з’єднань Kerberos.

    Засіб налаштування HDS, засіб запуску HDS та локальний KMS — усі необхідні для використання автентифікації Windows для доступу до бази даних сховища ключів. Вони використовують відомості з конфігурації ISO для побудови SPN під час запиту доступу за допомогою автентифікації Kerberos.

Вимоги до зовнішнього з’єднання

Налаштуйте брандмауер, щоб дозволити таке підключення для програм HDS:

Застосування

Протокол

Порт

Напрямок з програми

Призначення

Вузли гібридної безпеки даних

TCP

443

Вихідні HTTPS і WSS

  • Сервери Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Усі організатори Common Identity

  • Інші URL-адреси, перелічені для гібридної безпеки даних у таблиці «Додаткові URL-адреси для гібридних служб Webex»«Вимоги до мережі для служб Webex»

Інструмент налаштування HDS

TCP

443

Вихідний HTTPS

  • *.wbx2.com

  • Усі організатори Common Identity

  • hub.docker.com

Вузли гібридної безпеки даних працюють із перекладом мережевого доступу (NAT) або за брандмауером, доки NAT або брандмауер дозволяють необхідні вихідні з’єднання з адресами домену, наведеними в попередній таблиці. Для з’єднань, які надходять на вхідні дані до вузлів гібридної безпеки даних, порти не повинні відображатися з інтернету. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

URL-адреси для хостів Common Identity (CI) притаманні регіонам. Це поточні організатори CI:

Регіон

URL-адреси загальних ідентифікаційних ресурсів

Північна та Південна Америки

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Європейський Союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сінгапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Об’єднані Арабські Емірати

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Вимоги до проксі-сервера

  • Ми офіційно підтримуємо наступні проксі-рішення, які можуть інтегруватися з вашими вузлами гібридної безпеки даних.

  • Ми підтримуємо такі комбінації типів автентифікації для явних проксі:

    • Немає автентифікації за допомогою HTTP або HTTPS

    • Базова автентифікація за допомогою HTTP або HTTPS

    • Автентифікація дайджесту лише за допомогою ПРОТОКОЛУ HTTPS

  • Для прозорої перевірки проксі-сервера або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі-сервера. Інструкції з розгортання в цьому посібнику розповідають, як завантажити копію в надійні сховища вузлів гібридної безпеки даних.

  • Мережа, в якій розміщуються вузли HDS, повинна бути налаштована на примусове витіснення TCP-трафіку на порту 443 для маршрутизації через проксі.

  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з'єднанню веб-сокетів. При виникненні даної проблеми проблему вирішить обхід (не огляд) трафіку на wbx2.com і ciscospark.com .

Виконати передумови для гібридної безпеки даних

Використовуйте цей контрольний список, щоб переконатися, що ви готові встановити та налаштувати кластер гібридної безпеки даних.
1

Переконайтеся, що в партнерській організації ввімкнено функцію HDS для кількох клієнтів, і отримайте облікові дані облікового запису з повним адміністратором партнера та повними правами адміністратора. Переконайтеся, що в організації клієнта Webex увімкнено пакет Pro Pack для Cisco Webex Control Hub. Зверніться до партнера Cisco або менеджера облікового запису по допомогу в цьому процесі.

Організації клієнтів не повинні мати наявне розгортання HDS.

2

Виберіть доменне ім’я для розгортання HDS (наприклад, hds.company.com) і отримайте ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ та будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам Вимог до сертифіката X.509.

3

Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері. Потрібно принаймні два окремих організатори (рекомендовано 3), розташовані в одному захищеному центрі обробки даних, які відповідають вимогам Вимог до віртуального організатора.

4

Підготуйте сервер бази даних, який діятиме як сховище ключових даних для кластера, відповідно до вимог сервера бази даних. Сервер бази даних має бути розташовано в захищеному центрі обробки даних із віртуальними організаторами.

  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Після встановлення програми HDS створюють схему бази даних.)

  2. Зберіть деталі, які будуть використовувати вузли для зв’язку з сервером бази даних:

    • ім’я хоста або IP-адреса (хост) і порт

    • ім’я бази даних (dbname) для сховища ключів

    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

5

Для швидкого відновлення після відмови налаштуйте резервне середовище в іншому центрі обробки даних. Середовище резервного копіювання відображає середовище виробництва VM і сервер резервної бази даних. Наприклад, якщо у виробництві є 3 VM, які працюють вузли HDS, резервне середовище має мати 3 VM.

6

Налаштуйте хост syslog, щоб збирати журнали з вузлів у кластері. Зберіть його мережеву адресу та порт системного журналу (за замовчуванням — UDP 514).

7

Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста syslog. Як мінімум, щоб запобігти невиправній втраті даних, потрібно створити резервну копію бази даних і файл ISO конфігурації, створений для вузлів гібридної безпеки даних.

Оскільки вузли гібридної безпеки даних зберігають ключі, які використовуються для шифрування та дешифрування контенту, невдача підтримки оперативного розгортання призведе до НЕЗВОРОТНОЇ ВТРАТИ цього контенту.

Клієнти програми Webex ховають свої ключі, тому перебої в роботі можуть бути непомітні, але з часом ставати очевидними. Хоча тимчасові перебої неможливо запобігти, вони можуть бути відновлені. Однак повна втрата (резервних копій відсутні) файлу бази даних або ISO конфігурації призведе до незворотних даних клієнтів. Очікується, що оператори вузлів гібридної безпеки даних підтримуватимуть часті резервні копії бази даних та файлу конфігурації ISO, а також будуть готові відновити центр обробки даних гібридної безпеки даних у разі виникнення катастрофічного відмови.

8

Переконайтеся, що конфігурація брандмауера дозволяє підключення для вузлів гібридної безпеки даних, як описано в розділі Вимоги до зовнішнього з’єднання.

9

Установіть Docker ( https://www.docker.com) на будь-якому локальному комп’ютері, який працює на підтримуваній ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядній версії або Mac OSX Yosemite 10.10.3 або новіша версія) із веббраузером, який може отримати доступ до нього на сторінці http://127.0.0.1:8080.

Екземпляр Docker використовується для завантаження та запуску інструменту налаштування HDS, який збирає інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Можливо, потрібна ліцензія Docker Desktop. Додаткову інформацію див. в розділі Вимоги до робочого стола Docker .

Щоб установити й запустити інструмент налаштування HDS, локальний комп’ютер повинен мати параметр підключення, описаний у розділі Вимоги до зовнішнього підключення.

10

Під час інтеграції проксі з гібридною безпекою даних переконайтеся, що він відповідає вимогам до проксі-сервера.

Налаштувати кластер гібридної безпеки даних

Процес розгортання гібридної безпеки даних

Перш ніж почати

1

Виконати початкове налаштування та завантажити файли інсталяції

Завантажте файл OVA на локальний комп’ютер для подальшого використання.

2

Створити ISO конфігурації для хостів HDS

Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

3

Установити OVA організатора HDS

Створіть віртуальну машину з файлу OVA та виконайте початкову конфігурацію, наприклад налаштування мережі.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 7.0. Цей параметр може бути недоступний у попередніх версіях.

4

Налаштувати VM гібридної безпеки даних

Увійдіть до консолі VM і встановіть облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо їх не було налаштовано на момент розгортання OVA.

5

Вивантажити та змонтувати ISO конфігурації HDS

Налаштуйте VM із файлу конфігурації ISO, який ви створили за допомогою інструменту налаштування HDS.

6

Налаштування вузла HDS для інтеграції проксі

Якщо мережеве середовище потребує конфігурації проксі, укажіть тип проксі, який буде використовуватися для вузла, а в разі потреби додайте проксі-сертифікат до сховища довірених сертифікатів.

7

Зареєструвати перший вузол у кластері.

Зареєструйте VM із хмарою Cisco Webex як вузол гібридної безпеки даних.

8

Створити й зареєструвати більше вузлів

Завершіть налаштування кластера.

9

Активуйте HDS із підтримкою кількох клієнтів у Партнерському центрі.

Активуйте HDS і керуйте організаціями клієнтів у Партнерському центрі.

Виконати початкове налаштування та завантажити файли інсталяції

У цьому завданні ви завантажуєте файл OVA на комп’ютер (не на сервери, налаштовані як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.

1

Увійдіть у Партнерський центр і клацніть Служби.

2

У розділі «Хмарні служби» знайдіть картку гібридної безпеки даних, а потім клацніть Налаштувати.

Натискання Налаштувати в партнерському центрі має критичне значення для процесу розгортання. Не продовжуйте встановлення, не виконавши цей крок.

3

Клацніть Додати ресурс і клацніть Завантажити файл OVA на картці встановлення та налаштування програмного забезпечення .

Старіші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до виникнення проблем під час оновлення версії програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

OVA також можна завантажити будь-коли з розділу Довідка . Клацніть Налаштування > Довідка > Завантажити програмне забезпечення гібридної безпеки даних.

Файл OVA автоматично розпочне завантаження. Збережіть файл у розташуванні на комп’ютері.
4

Додатково клацніть Переглянути посібник із розгортання гібридної безпеки даних , щоб перевірити, чи доступна пізніша версія цього посібника.

Створити ISO конфігурації для хостів HDS

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

Перш ніж почати
1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO ви маєте такі параметри:

  • Ні. Якщо ви створюєте перший вузол HDS, у вас немає файлу ISO для передавання.
  • Так. Якщо ви вже створили вузли HDS, виберіть у браузері файл ISO й передайте його.
10

Переконайтеся, що сертифікат X.509 відповідає вимогам Вимогам до сертифіката X.509.

  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити.
  • Якщо сертифікат OK, клацніть Продовжити.
  • Якщо термін дії сертифіката завершився або ви хочете замінити його, виберіть Ні , щоб Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO?. Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити.
11

Введіть адресу бази даних та обліковий запис HDS, щоб отримати доступ до свого сервера ключових даних:

  1. Виберіть тип бази даних (PostgreSQL або Microsoft SQL Server).

    Якщо вибрати Microsoft SQL Server, буде отримано поле типу автентифікації.

  2. (тільки Microsoft SQL Server ) Виберіть тип автентифікації:

    • Базова автентифікація: Потрібне локальне ім’я облікового запису SQL Server у полі Ім’я користувача .

    • Автентифікація Windows: Потрібен обліковий запис Windows у форматі username@DOMAIN у полі Ім’я користувача .

  3. Введіть адресу сервера бази даних у формі : або :.

    Приклад:
    dbhost.example.org:1433 або 198.51.100.17:1433

    Для базової автентифікації можна використовувати IP-адресу, якщо вузли не можуть використовувати DNS для вирішення імені хоста.

    Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433

  4. Введіть ім’я бази даних.

  5. Введіть ім’я користувача й пароль користувача з усіма правами у базі даних сховища ключів.

12

Виберіть режим підключення до бази даних TLS:

Режим

Опис

Віддавати перевагу TLS (параметр за замовчуванням)

Вузли HDS не потребують TLS для з 'єднання з сервером бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли спробують зашифроване з’єднання.

Вимагати TLS

Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

Вимагати TLS і перевірити підписувача сертифіката

Цей режим не застосовується до баз даних SQL Server.

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Вимагати TLS і перевірити особу, яка підписала сертифікат, і назву вузла

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

  • Вузли також перевіряють, чи ім’я хоста в сертифікаті сервера збігається з ім’ям хоста в полі Хост бази даних і порт . Імена повинні точно збігатися, або вузол скасує з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Коли передано кореневий сертифікат (за потреби) і клацніть Продовжити, інструмент налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє особу, яка підписала сертифікат, і назву вузла, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності здатності до з’єднання вузли HDS зможуть встановити підключення TLS, навіть якщо машина інструмента налаштування HDS не може його успішно перевірити.)

13

На сторінці системних журналів налаштуйте сервер Syslogd:

  1. Введіть URL-адресу сервера syslog.

    Якщо сервер DNS-розв’язний із вузлів для кластера HDS, використайте IP-адресу в URL.

    Приклад:
    udp://10.92.43.23:514 вказує на вхід до хоста Syslogd 10.92.43.23 на порту UDP 514.

  2. Якщо ви налаштували сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер syslog для шифрування SSL?.

    Якщо встановити цей прапорець, обов’язково введіть URL-адресу TCP, наприклад tcp://10.92.43.23:514.

  3. У розкривному списку Вибрати завершення запису syslog виберіть відповідні налаштування для вашого файлу ISO: Виберіть або використовується нова лінія для Graylog і Rsyslog TCP

    • Нульовий байт --\ x00

    • Новий рядок -- \n- Виберіть цей вибір для Graylog і Rsyslog TCP.

  4. Клацніть Продовжити.

14

(Необов’язково) Ви можете змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Додаткові налаштування. Загалом, цей параметр є єдиним, який ви можете змінити:

app_datasource_connection_pool_maxРозмір: 10
15

Клацніть Продовжити на екрані Скинути пароль облікових записів служби .

Паролі облікового запису служби тривають дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів добігає кінця, або ви хочете скинути їх, щоб скасувати попередні файли ISO.

16

Клацніть Завантажити файл ISO. Збережіть файл у зручному для пошуку розташуванні.

17

Зробіть резервну копію файлу ISO у локальній системі.

Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

18

Щоб закрити інструмент налаштування, введіть CTRL+C.

Що далі

Створіть файл ISO конфігурації. Він потрібен для створення більше вузлів для відновлення або для внесення змін до конфігурації. Якщо ви втратите всі копії файлу ISO, ви також втратили основний ключ. Неможливо відновити ключі з бази даних PostgreSQL або Microsoft SQL Server.

У нас ніколи не буде копії цього ключа, і ми не зможемо допомогти, якщо ви його втратите.

Установити OVA організатора HDS

Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi.

2

Виберіть Файл > Розгорнути шаблон OVF.

3

У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі.

4

На сторінці Вибрати ім’я та папку введіть Ім’я віртуальної машини для вузла (наприклад, "HDS_Node_1"), виберіть розташування, де може розміщуватися розгортання вузла віртуальної машини, а потім клацніть Далі.

5

На сторінці Вибрати обчислювальний ресурс , виберіть обчислювальний ресурс призначення, а потім клацніть Далі.

Виконується перевірка перевірки. Після його завершення деталі шаблону з’являться.

6

Перевірте відомості про шаблон, а потім клацніть Далі.

7

Якщо вас попросять вибрати конфігурацію ресурсу на сторінці Конфігурація , клацніть 4 ЦП , а потім клацніть Далі.

8

На сторінці Вибрати сховище клацніть Далі , щоб прийняти формат диска за замовчуванням і політику зберігання VM.

9

На сторінці Вибрати мережі виберіть параметр мережі зі списку записів, щоб забезпечити потрібне підключення до VM.

10

На сторінці Налаштувати шаблон налаштуйте такі налаштування мережі.

  • Ім’я хоста—Введіть повне доменне ім’я (ім’я хоста та домен) або ім’я хоста з одним словом для вузла.

    • Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

    • Щоб забезпечити успішну реєстрацію в хмару, використовуйте лише малі символи в повному домені або імені хоста, налаштованому для вузла. Капіталізація наразі не підтримується.

    • Загальна довжина повного домену не повинна перевищувати 64 символи.

  • IP-адреса— введіть IP-адресу для внутрішнього інтерфейсу вузла.

    Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

  • Маска—Введіть адресу маски підмережі в крапку з комою. Наприклад, 255.255.255.0.
  • Шлюз—Введіть IP-адресу шлюзу. Шлюз – це мережевий вузол, який служить точкою доступу до іншої мережі.
  • Сервери DNS — введіть список, розділений комами, список DNS-серверів, який обробляє перетворення доменних імен на числові IP-адреси. (Дозволено до 4 записів DNS.)
  • Сервери NTP—Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Також можна використовувати список розділених комами, щоб ввести кілька серверів NTP.

  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними від клієнтів у вашій мережі для адміністративних цілей.

За бажанням можна пропустити конфігурацію налаштування мережі та виконати кроки в розділі Налаштування VM гібридної безпеки даних , щоб налаштувати параметри з консолі вузла.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 7.0. Цей параметр може бути недоступний у попередніх версіях.

11

Клацніть правою кнопкою миші вузол VM, а потім виберіть Power > Power On.

Програмне забезпечення гібридної безпеки даних встановлюється як гість на хост VM. Тепер ви готові увійти до консолі й налаштувати вузол.

Поради щодо усунення несправностей

Перед появою контейнерів вузла може знадобитися затримка в кілька хвилин. Під час першого завантаження на консолі з’являється повідомлення брандмауера мосту, під час якого ви не можете ввійти.

Налаштувати VM гібридної безпеки даних

Використовуйте цю процедуру, щоб вперше увійти на консоль вузла гібридної безпеки даних VM і встановити облікові дані для входу. Крім того, можна використовувати консоль для налаштування мережевих параметрів для вузла, якщо їх не було налаштовано під час розгортання OVA.

1

У клієнті VMware vSphere виберіть вузол гібридної безпеки даних VM і перейдіть на вкладку Консоль .

VM завантажується, і з’явиться підказка для входу. Якщо вікно підказки не відображається, натисніть Enter.
2

Щоб увійти й змінити облікові дані, використовуйте наведені нижче дані для входу та пароля за замовчуванням:

  1. Вхід: адміністратор

  2. Пароль: Cisco

Оскільки ви вперше входите в VM, вам потрібно змінити пароль адміністратора.

3

Якщо ви вже налаштували налаштування мережі в Установити OVA хоста HDS, пропустіть решту цієї процедури. В іншому разі в головному меню виберіть параметр Змінити конфігурацію .

4

Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

5

(Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно відповідно до політики мережі.

Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

6

Збережіть конфігурацію мережі та перезавантажте VM, щоб зміни набули сили.

Вивантажити та змонтувати ISO конфігурації HDS

Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою інструмента налаштування HDS.

Перед початком

Оскільки файл ISO має основний ключ, він повинен бути розкритий лише на основі "потрібно знати" для доступу VM гібридної безпеки даних і будь-яких адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

1

Передайте файл ISO зі свого комп’ютера:

  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

  2. На вкладці Конфігурація Список обладнання клацніть Сховище.

  3. У списку Datastors клацніть правою кнопкою миші на станції даних для ваших VM і клацніть Browse Datastore.

  4. Клацніть значок «Передати файли», а потім Передати файл.

  5. Перейдіть до розташування, де ви завантажили файл ISO на свій комп’ютер, і клацніть Відкрити.

  6. Клацніть Так , щоб прийняти попередження операції передавання/завантаження, і закрийте діалогове вікно сховища даних.

2

Змонтувати файл ISO:

  1. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  2. Клацніть ОК , щоб прийняти попередження про обмежені параметри редагування.

  3. Клацніть Диск CD/DVD 1, виберіть параметр для змонтування з файлу ISO зі сховища даних і перейдіть до розташування, де передано файл ISO конфігурації.

  4. Перевірте Підключено та Підключитися при увімкненні живлення.

  5. Збережіть зміни та перезавантажте віртуальну машину.

Що далі

Якщо потрібна ваша політика ІТ, ви можете додатково демонтувати файл ISO після того, як всі вузли дослухаються змін конфігурації. Див. (Необов’язково) Демонтування ISO після конфігурації HDS , щоб отримати додаткові відомості.

Налаштування вузла HDS для інтеграції проксі

Якщо для мережного середовища потрібен проксі-сервер, скористайтеся цією процедурою, щоб указати тип проксі-сервера, який потрібно інтегрувати з hybrid Data Security. Якщо ви виберете прозорий проксі-сервер перевірки або явний проксі-сервер HTTPS, ви можете використовувати інтерфейс вузла для завантаження та встановлення кореневого сертифіката. Ви також можете перевірити проксі-з'єднання з інтерфейсу та усунути будь-які потенційні проблеми.

Перш ніж почати

1

Введіть URL-адресу для настроювання вузла HDS https://[IP-адреса вузла HDS або FQDN]/setup у веб-браузері, введіть облікові дані адміністратора, які ви налаштували для вузла, а потім натисніть кнопку Увійти.

2

Перейдіть до Надійного магазину та проксі-сервера, а потім виберіть параметр:

  • Немає проксі— параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібне.
  • Прозорий неінспекційний проксі—вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін для роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.
  • Прозорий проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних не потрібні зміни конфігурації HTTPS, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі-серверу. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
  • Явний проксі — за допомогою явного проксі-сервера клієнту (вузли HDS) можна вказати, який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести такі відомості:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — виберіть http (переглядає та контролює всі запити, отримані від клієнта) або https (надає канал на сервер, клієнт отримує та перевіряє сертифікат сервера). Виберіть варіант, виходячи з того, що підтримує ваш проксі-сервер.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно для проксі HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно для проксі HTTP або HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно лише для проксі HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

Виконайте наступні кроки для прозорої перевірки проксі-сервера, явного HTTP-проксі з базовою автентифікацією або явного проксі-сервера HTTPS.

3

Клацніть « Завантажити кореневий сертифікат» або «Завершити сертифікатсутності», а потім перейдіть до вибору кореневого сертифіката для проксі-сервера.

Сертифікат завантажено, але ще не інстальовано, оскільки для встановлення сертифіката потрібно перезавантажити вузол. Клацніть стрілку шеврона біля імені емітента сертифіката, щоб отримати докладніші відомості, або натисніть кнопку Видалити , якщо ви припустилися помилки та хочете повторно завантажити файл.

4

Натисніть кнопку Перевірити підключення до проксі, щоб перевірити підключення до мережі між вузлом і проксі-сервером.

Якщо тест підключення не пройшов, ви побачите повідомлення про помилку, у якому вказано причину та способи усунення проблеми.

Якщо ви бачите повідомлення про те, що зовнішня роздільна здатність DNS не була успішною, вузол не зміг дістатися до DNS-сервера. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол буде працювати в режимі роздільної здатності заблокованих зовнішніх DNS. Якщо ви вважаєте, що це помилка, виконайте наведені дії, а потім перегляньте Вимкнути режим роздільної здатності заблокованих зовнішніх DNS.

5

Після того, як тест з'єднання пройде, для явного проксі-сервера, встановленого лише на https, увімкніть перемикач до Маршрутизація всіх запитів порту 443/444 https з цього вузла через явний проксі. Для набрання чинності цим параметром потрібно 15 секунд.

6

Натисніть кнопку Інсталювати всі сертифікати в надійний магазин (відображається для проксі-сервера HTTPS відвертої перевірки або прозорого проксі-сервера для перевірки) або Перезавантажити (відображається для явного проксі-сервера HTTP), прочитайте запит і натисніть кнопку Інсталювати , якщо все готово.

Вузол перезавантажується протягом декількох хвилин.

7

Після перезавантаження вузла увійдіть знову, якщо потрібно, а потім відкрийте сторінку Огляду , щоб перевірити перевірки підключення, щоб переконатися, що всі вони в зеленому стані.

Перевірка проксі-з'єднання лише тестує субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі хмарні домени, перелічені в інструкціях з інсталяції, блокуються на проксі-сервері.

Зареєструвати перший вузол у кластері.

Для цього завдання потрібен універсальний вузол, який ви створили в Налаштування VM гібридної безпеки даних, реєструє вузол із хмарою Webex і перетворює його в вузол гібридної безпеки даних.

Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначений вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Налаштувати.

4

На сторінці, що відкривається, клацніть Додати ресурс.

5

У першому полі Додати вузол введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних.

Рекомендовано назвати кластер залежно від місця географічного розташування вузлів кластера. Приклади: "Сан-Франциско" або "Нью-Йорк" або "Даллас"

6

У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Додати внизу екрана.

Ця IP-адреса або повне доменне ім’я хоста й домен, які використовувалися в Налаштуванні VM гібридної безпеки даних.

З’явиться повідомлення, що вказує на те, що можна зареєструвати свій вузол у Webex.
7

Клацніть Перейти до вузла.

Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації Webex дозволи на доступ до вашого вузла.

8

Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.
9

Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

На сторінці Гібридна безпека даних новий кластер, що містить зареєстрований вами вузол, буде відображено на вкладці Ресурси . Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

Створити й зареєструвати більше вузлів

Щоб додати додаткові вузли до кластера, просто створіть додаткові VM і змонтуйте той самий файл ISO конфігурації, а потім зареєструйте вузол. Рекомендовано мати принаймні 3 вузли.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Створіть нову віртуальну машину з OVA, повторюючи кроки в Установити OVA організатора HDS.

2

Налаштуйте початкову конфігурацію на новому VM, повторюючи кроки в Налаштуванні VM гібридної безпеки даних.

3

У новому VM повторіть кроки в Передати та змонтувати ISO конфігурації HDS.

4

Якщо ви налаштовуєте проксі для розгортання, повторіть кроки в Налаштуйте вузол HDS для інтеграції проксі , як це необхідно для нового вузла.

5

Зареєструйте вузол.

  1. У https://admin.webex.com виберіть Служби в меню ліворуч від екрана.

  2. У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Переглянути всі.

    З’явиться сторінка ресурсів гібридної безпеки даних.

  3. Щойно створений кластер відобразиться на сторінці Ресурси .

  4. Клацніть кластер, щоб переглянути вузли, призначені до кластера.

  5. Клацніть Додати вузол у правій частині екрана.

  6. Введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та натисніть Додати.

    Відкривається сторінка з повідомленням про те, що ви можете зареєструвати свій вузол у хмарі Webex. Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації дозволи на доступ до вашого вузла.

  7. Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

    Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.

  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

    Доданий вузол спливаюче повідомлення також відображається внизу екрана в Партнерському центрі.

    Ваш вузол зареєстровано.

Керування організаціями клієнтів у розділі гібридної безпеки даних із підтримкою кількох клієнтів

Активувати HDS із підтримкою кількох клієнтів у Партнерському центрі

Це завдання гарантує, що всі користувачі в організації клієнта зможуть почати використовувати HDS для локальних ключів шифрування та інших служб безпеки.

Перед початком

Переконайтеся, що ви завершили налаштування кластера HDS із кількома клієнтами з необхідною кількістю вузлів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

4

Клацніть Активувати HDS на картці стану HDS .

Додати організації осередків у партнерський центр

У цьому завданні призначаються організації клієнтів до кластера гібридної безпеки даних.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

Клацніть кластер, до якого ви хочете призначити клієнта.

5

Перейдіть на вкладку Призначені клієнти .

6

Клацніть Додати клієнтів.

7

Виберіть клієнта, якого потрібно додати з розкривного меню.

8

Клацніть Додати, клієнта буде додано до кластера.

9

Повторіть кроки 6–8, щоб додати декілька клієнтів до кластера.

10

Клацніть Готово внизу екрана після додавання клієнтів.

Що далі

Запустіть інструмент налаштування HDS, як докладніше описано в розділі Створити головні ключі клієнта (CMK), використовуючи інструмент налаштування HDS , щоб завершити процес налаштування.

Створити головні ключі клієнта (CMK) за допомогою інструмента налаштування HDS

Перед початком

Призначте клієнтів до відповідного кластера, як детально описано в Додати організації клієнтів у Партнерському центрі. Запустіть інструмент налаштування HDS, щоб завершити процес налаштування для нещодавно доданих клієнтських організацій.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

Переконайтеся, що підключення до бази даних для виконання керування CMK.
11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Створити CMK для всіх організацій або Створити CMK . Натисніть цю кнопку на банері вгорі екрана, щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Створити CMK , щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть … біля керування CMK, що очікує стан конкретної організації в таблиці, і клацніть Створити CMK , щоб створити CMK для цієї організації.
12

Після успішного створення CMK стан у таблиці буде змінено з очікування керування CMK на кероване CMK.

13

Якщо не вдалося створити CMK, буде відображено помилку.

Видалити організації осередків

Перед початком

Після видалення користувачі організацій клієнтів не зможуть використовувати HDS для потреб шифрування та втратять усі наявні простори. Перш ніж видалити організації клієнтів, зверніться до партнера Cisco або менеджера облікових записів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

На вкладці Ресурси клацніть кластер, з якого потрібно видалити організації клієнтів.

5

На сторінці, що відкривається, клацніть Призначені клієнти.

6

У списку відображуваних організацій клієнта клацніть ... праворуч від організації клієнта, яку потрібно видалити, і клацніть Видалити з кластера.

Що далі

Завершіть процес видалення, відкликавши CMK організацій клієнтів, як описано в розділі Відкликання CMK клієнтів, видалених із HDS.

Відкликайте CMK клієнтів, видалених з HDS.

Перед початком

Видаліть клієнтів із відповідного кластера, як описано в розділі Видалити організації клієнтів. Запустіть інструмент налаштування HDS, щоб завершити процес видалення для організацій клієнтів, які були видалені.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Відкликати CMK для всіх організацій або Відкликати CMK . Натисніть цю кнопку на банері вгорі екрана, щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Відкликати CMK , щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть біля CMK, щоб відкликати стан конкретної організації в таблиці, і клацніть Відкликати CMK , щоб відкликати CMK для цієї конкретної організації.
12

Після успішного відкликання CMK організація клієнта більше не відображатиметься в таблиці.

13

Якщо скасування CMK не вдасться, буде відображено помилку.

Протестуйте розгортання гібридної безпеки даних

Перевірити розгортання гібридної безпеки даних

Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних для кількох клієнтів.

Перед початком

  • Налаштуйте розгортання гібридної безпеки даних із кількома клієнтами.

  • Упевніться, що у вас є доступ до syslog, щоб переконатися, що запити ключів передаються до розгортання гібридної безпеки даних із кількома клієнтами.

1

Ключі для певного простору встановлюються його творцем. Увійдіть в програму Webex як один із користувачів організації клієнта, а потім створіть простір.

Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюються користувачами, більше не буде доступний після заміни кешованих клієнтом копій ключів шифрування.

2

Надішліть повідомлення до нового простору.

3

Перевірте вивід syslog, щоб переконатися, що запити ключів передаються розгортанню гібридної безпеки даних.

  1. Щоб перевірити, чи користувач спочатку встановив безпечний канал для KMS, виконайте фільтрування на kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Ви повинні знайти запис, наприклад такий (ідентифікатори скорочено для зручності читання):
    21 липня 2020 р. 17:35:34.562 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: // hds2. org5. portun. us/ statickeys/ 3[~]0 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2. org5. portun. us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data. uri=kms://hds2. org5. portun. us/ecdhe, kms.data.userId=0[~]2

  2. Щоб перевірити, чи користувач запитує наявний ключ із KMS, виконайте фільтрування у розділі kms.data.method=retrieve і kms.data.type=KEY:

    Необхідно знайти запис, наприклад:
    21 липня 2020 р. 17:44:19.889 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-31] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms. data. method=retrieve, kms. merc.id=c[~]7, kms. merc.sync=false, kms. data. uriHost=ciscospark. com, kms. data. type=KEY, kms. data. requestId=9[~]3, kms. data. uri=kms://ciscospark. com/keys/ d[~]2, kms. data. userId=1[~]b

  3. Щоб перевірити, чи користувач запитує створення нового ключа KMS, виконайте фільтрування у розділі kms.data.method=create і kms.data.type=KEY_COLLECTION:

    Необхідно знайти запис, наприклад:
    21 липня 2020 р. 17:44:21.975 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-33] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data. uri=/keys, kms.data.userId=1[~]b

  4. Щоб перевірити, чи користувача, який запитує створення нового ресурсного об’єкта KMS (KRO) під час створення простору або іншого захищеного ресурсу, виконайте фільтрування у розділі kms.data.method=create та kms.data.type=RESOURCE_COLLECTION:

    Необхідно знайти запис, наприклад: 
    21 липня 2020 р. 17:44:22.808 (+0000) ІНФОРМАЦІЯ KMS [pool-15-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Моніторинг гібридної безпеки даних

Індикатор стану в Партнерському центрі показує, чи все гаразд із розгортанням гібридної безпеки даних для кількох клієнтів. Щоб підвищити активність оповіщень, зареєструйтеся в сповіщеннях електронною поштою. Ви отримаєте сповіщення, якщо з’являться попередження, які впливають на службу, або оновлення версії програмного забезпечення.
1

У Партнерському центрі виберіть Служби в меню зліва екрана.

2

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

З’явиться сторінка параметрів гібридної безпеки даних.
3

У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділених комами, і натисніть Enter.

Керуйте розгортанням HDS

Керування розгортанням HDS

Для керування розгортанням гібридної безпеки даних використовуйте завдання, описані тут.

Установити розклад оновлення кластера.

Оновлення версії програмного забезпечення для гібридної безпеки даних здійснюється автоматично на рівні кластера, завдяки чому всі вузли завжди працюють одну й ту саму версію програмного забезпечення. Оновлення версії здійснюється відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стане доступним, у вас є можливість вручну оновити версію до запланованого часу оновлення версії. Можна встановити конкретний розклад оновлення версії або використовувати розклад за замовчуванням, який становить 3:00 ранку щоденно у США: Америка/Лос-Анджелес. Ви також можете за потреби відкласти майбутні оновлення версії.

Щоб налаштувати розклад оновлення версії, виконайте наведені нижче дії.

1

Увійдіть у партнерський центр.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Налаштувати.

4

На сторінці ресурсів гібридної безпеки даних виберіть кластер.

5

Клацніть вкладку Налаштування кластера .

6

"На сторінці ""Налаштування кластера"" в розділі ""Розклад оновлення версії"" виберіть час і часовий пояс для розкладу оновлення версії."

Примітки У часовому поясі відображено наступну дату й час оновлення версії. Можна відкласти оновлення на наступний день, якщо потрібно, клацнувши Відкласти на 24 години.

Змінити конфігурацію вузла

Іноді вам може знадобитися змінити конфігурацію вузла гібридної безпеки даних з такої причини, як:

  • Зміна сертифікатів x.509 через закінчення терміну дії або інші причини.

    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовується для реєстрації кластера.

  • Оновлення параметрів бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

    Ми не підтримуємо перенесення даних з PostgreSQL до Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, розпочніть нове розгортання гібридної системи захисту даних.

  • Створення нової конфігурації для підготовки нового центру обробки даних.

Крім того, з метою безпеки Hybrid Data Security використовує паролі службових облікових записів, термін дії яких становить дев'ять місяців. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з ваших вузлів HDS у файлі конфігурації ISO. Коли паролі вашої організації наближаються до закінчення терміну дії, ви отримуєте повідомлення від команди Webex про скидання пароля для облікового запису вашого комп'ютера. (Електронний лист містить текст "Використовуйте API облікового запису машини, щоб оновити пароль.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

  • Програмне скидання— старі й нові паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

  • Жорстке скидання— старі паролі негайно припиняють працювати.

Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

Використовуйте цю процедуру, щоб створити новий файл конфігурації ISO і застосувати його до вашого кластера.

Перш ніж почати

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Partner Hub із повними правами адміністратора партнера.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker у 1.e. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Щоб створити нову конфігурацію, вам потрібна копія поточного файла конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. ISO потрібен під час внесення змін у конфігурацію, включаючи облікові дані бази даних, оновлення сертифікатів або зміни в політиці авторизації.

1

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

    У звичайних середовищах:

    docker rmi ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker rmi ciscocitg/ hds- setup- fedramp: stable

    Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

  2. Щоб увійти до реєстру Docker-зображень, введіть наступне:

    docker login - u hdscustomersro

  3. На запиті пароля введіть цей хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Завантажте останнє стабільне зображення для вашого середовища:

    У звичайних середовищах:

    docker pull ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker pull ciscocitg/hds- setup- fedramp: stable

    Обов 'язково потягніть найновіший інструмент налаштування для цієї процедури. Версії інструмента, створені до 22 лютого 2018 року, не мають екранів скидання пароля.

  5. Після завершення витягування введіть відповідну команду для вашого середовища:

    • У звичайних середовищах без проксі-сервера:

      docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

    • У звичайних середовищах з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

    • У звичайних середовищах з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У середовищах FedRAMP без проксі-сервера:

      docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

    • У середовищах FedRAMP з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

    • У середовищах FedRAMP з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Коли контейнер запущений, ви бачите "Експрес-прослуховування сервера на порту 8080".

  6. Використовуйте браузер для підключення до localhost, http://127.0.0.1:8080.

    Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

  7. Коли з’явиться відповідний запит, введіть облікові дані для входу клієнта Partner Hub, а потім клацніть Прийняти , щоб продовжити.

  8. Імпортувати поточний файл конфігурації ISO.

  9. Дотримуйтеся вказівок, щоб завершити роботу інструменту та завантажити оновлений файл.

    Щоб закрити інструмент налаштування, введіть CTRL+C.

  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

2

Якщо у вас працює лише один вузол HDS, створіть новий вузол гібридної безпеки даних VM і зареєструйте його, використовуючи новий файл ISO конфігурації. Докладні інструкції див. в розділі Створення та реєстрація додаткових вузлів.

  1. Встановіть HDS-хост OVA.

  2. Налаштуйте віртуальну машину HDS.

  3. Змонтувати оновлений файл конфігурації.

  4. Зареєструйте новий вузол у партнерському центрі.

3

Для існуючих вузлів HDS, у яких запущено старий файл конфігурації, змонтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

  1. Вимкніть віртуальну машину.

  2. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  3. Натисніть CD /DVD-дисковод 1, виберіть параметр для монтування з файлу ISO та перейдіть до розташування, куди ви завантажили файл ISO нової конфігурації.

  4. Перевірте підключення при увімкненому живленні.

  5. Заощаджуйте зміни та енергію на віртуальній машині.

4

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, який виконує стару конфігурацію.

Вимкнення режиму роздільної здатності заблокованих зовнішніх DNS

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. Якщо DNS-серверу вузла не вдається розпізнати загальнодоступні імена DNS, вузол автоматично переходить у режим блокування зовнішньої роздільної здатності DNS.

Якщо ваші вузли можуть вирішувати загальнодоступні імена DNS через внутрішні DNS-сервери, ви можете вимкнути цей режим, повторивши тест проксі-з'єднання на кожному вузлі.

Перш ніж почати

Переконайтеся, що ваші внутрішні DNS-сервери можуть розпізнавати загальнодоступні імена DNS і що ваші вузли можуть зв'язуватися з ними.
1

У браузері відкрийте інтерфейс вузла гібридної безпеки даних (IP-адреса/налаштування), наприклад, введіть облікові дані адміністратора, https://192.0.2.0/setup), які настроєно для вузла, а потім натисніть кнопку Увійти.

2

Перехід до розділу Огляд (сторінка за замовчуванням).

Якщо ввімкнено, для параметра "Заблокована зовнішня роздільна здатність DNS" встановлено значення "Так".

3

Перейдіть на сторінку Надійний магазин і проксі .

4

Натисніть Перевірити підключенняпроксі-сервера.

Якщо ви бачите повідомлення про те, що зовнішнє дозвіл DNS не було успішним, вузол не зміг дістатися до DNS-сервера і залишиться в цьому режимі. В іншому випадку, після того, як ви перезавантажите вузол і повернетеся на сторінку огляду , заблоковане зовнішнє дозвіл DNS має бути встановлено на "ні".

Що далі

Повторіть тест проксі-з'єднання на кожному вузлі в кластері гібридної безпеки даних.

Видалити вузол

Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi та вимкнути віртуальну машину.

2

Видалити вузол:

  1. Увійдіть до концентратора партнера й виберіть Служби.

  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів гібридної безпеки даних.

  3. Виберіть кластер, щоб відобразити його панель огляду.

  4. Клацніть вузол, який потрібно видалити.

  5. Клацніть Скасувати реєстрацію цього вузла на панелі, що з’явиться справа.

  6. Можна також скасувати реєстрацію вузла, клацнувши … праворуч від вузла й вибравши Видалити цей вузол.

3

У клієнті vSphere видаліть VM. (На панелі навігації ліворуч клацніть правою кнопкою миші VM і клацніть Видалити.)

Якщо ви не видалите VM, не забудьте демонтувати файл ISO конфігурації. Без файлу ISO неможливо використовувати VM для доступу до даних безпеки.

Відновлення після відмови за допомогою центру обробки даних у режимі очікування

Найважливішою службою, яку надає кластер гібридної безпеки даних, є створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, призначеного для гібридної безпеки даних, запити на створення нового ключа маршрутизуються в кластер. Кластер також несе відповідальність за повернення створених ключів будь-яким користувачам, авторизованим для їх отримання, наприклад учасникам простору розмови.

Оскільки кластер виконує критичну функцію надання цих ключів, дуже важливо, щоб кластер продовжував працювати та щоб підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕПОПРАВНОЇ ВТРАТИ контенту клієнта. Для запобігання такої втрати є обов'язковими такі практики:

Якщо внаслідок стихійного лиха розгортання HDS у основному центрі обробки даних стане недоступним, виконайте цю процедуру, щоб вручну виконати аварійне перемикання на центр обробки даних у режимі очікування.

Перед початком

Скасуйте реєстрацію всіх вузлів із Партнерського центру, як зазначено в розділі Видалити вузол. Щоб виконати процедуру аварійного перемикання, згадану нижче, використовуйте останній файл ISO, налаштований проти вузлів кластера, який раніше був активний.
1

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створити ISO конфігурації для хостів HDS.

2

Завершіть процес конфігурації та збережіть файл ISO у зручному для пошуку розташуванні.

3

Зробіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

4

У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

5

Клацніть Змінити налаштування >Диск CD/DVD 1 і виберіть файл ISO Datastore.

Переконайтеся, що встановлено прапорець параметрів Підключено та Connect при увімкненні , щоб оновлені зміни конфігурації набули сили після запуску вузлів.

6

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

7

Зареєструйте вузол у партнерському центрі. Див. розділ Зареєструвати перший вузол у кластері.

8

Повторити процес для кожного вузла в центрі обробки даних у режимі очікування.

Що далі

Після аварійного перемикання, якщо основний центр обробки даних знову стане активним, скасуйте реєстрацію вузлів центру обробки даних у режимі очікування та повторіть процес налаштування ISO та реєстрації вузлів основного центру обробки даних, як зазначено вище.

(Необов’язково) Демонтування ISO після конфігурації HDS

Стандартна конфігурація HDS працює зі змонтованим ISO. Але деякі клієнти воліють не залишати файли ISO постійно змонтовані. Можна демонтувати файл ISO після того, як усі вузли HDS підхопили нову конфігурацію.

Ви все ще використовуєте файли ISO для внесення змін до конфігурації. Під час створення нового ISO або оновлення ISO за допомогою інструмента налаштування потрібно змонтувати оновлене ISO на всіх вузлах HDS. Після того як усі ваші вузли отримають зміни конфігурації, можна знову демонтувати ISO за допомогою цієї процедури.

Перед початком

Оновіть версію всіх вузлів HDS до версії 2021.01.22.4720 або пізнішої.

1

Закрийте один із вузлів HDS.

2

У пристрої vCenter Server Device виберіть вузол HDS.

3

Виберіть Змінити налаштування > Диск CD/DVD і зніміть прапорець файлу ISO Datastore.

4

Увімкніть вузол HDS і переконайтеся, що попередження відсутнє щонайменше 20 хвилин.

5

Повторюйте для кожного вузла HDS по черзі.

Усунення несправностей гібридної безпеки даних

Переглянути сповіщення та усунути несправності

Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що вимагає часу очікування. Якщо користувачі не можуть зв’язатися з кластером гібридної безпеки даних, вони відчувають такі симптоми:

  • Не вдалося створити нові простори (неможливо створити нові ключі).

  • Не вдалося розшифрувати повідомлення та назви просторів для:

    • Нові користувачі додані до простору (неможливо отримати ключі)

    • Наявні користувачі в просторі, що використовують новий клієнт (неможливо отримати ключі).

  • Наявні користувачі в просторі продовжуватимуть успішно запускатися, доки їхні клієнти матимуть кеш ключів шифрування.

Важливо належним чином відстежувати кластер гібридної безпеки даних і швидко надсилати будь-які сповіщення, щоб уникнути порушення роботи служби.

Оповіщення

Якщо виникла проблема з налаштуванням гібридної безпеки даних, Партнерський центр відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато загальних сценаріїв.

Таблиця 1. Загальні проблеми та кроки для їх вирішення

Сповіщення

Дія

Помилка доступу до локальної бази даних.

Перевірте наявність помилок бази даних або проблем локальної мережі.

Помилка підключення до локальної бази даних.

Перевірте доступність сервера бази даних і правильні облікові дані облікового запису служби використано в конфігурації вузла.

Помилка доступу до хмарної служби.

Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього з’єднання.

Поновлення реєстрації хмарної служби.

Реєстрацію в хмарних службах скасовано. Триває подовження реєстрації.

Реєстрацію хмарної служби скасовано.

Реєстрацію в хмарних службах припинено. Роботу служби припиняється.

Службу ще не активовано.

Активуйте HDS у Партнерському центрі.

Налаштований домен не відповідає сертифікату сервера.

Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

Найімовірніша причина полягає в тому, що сертифікат CN нещодавно був змінений і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

Не вдалось автентифікувати в хмарних службах.

Перевірте точність і можливий термін дії облікових даних облікового запису обслуговування.

Не вдалося відкрити локальний файл сховища ключів.

Перевірте цілісність і точність пароля у локальному файлі сховища ключів.

Неприпустимий сертифікат локального сервера.

Перевірте дату закінчення терміну дії сертифіката сервера й упевніться, що він був виданий довіреним центром сертифікації.

Не вдалося опублікувати показники.

Перевірте доступ до локальної мережі до зовнішніх хмарних служб.

Каталогу /media/configdrive/hds не існує.

Перевірте конфігурацію змонтування ISO на віртуальному вузлі. Переконайтеся, що файл ISO існує, що його налаштовано на монтування до перезавантаження та що він успішно монтується.

Налаштування організації клієнта не завершено для доданих організацій

Завершіть налаштування, створивши CMK для нещодавно доданих організацій клієнтів за допомогою інструменту налаштування HDS.

Налаштування організації клієнта не завершено для видалених організацій

Завершіть налаштування, відкликавши CMK організацій клієнтів, які були вилучені за допомогою інструменту налаштування HDS.

Усунення несправностей гібридної безпеки даних

Використовуйте наведені далі загальні інструкції під час виправлення неполадок із службою гібридної безпеки даних.
1

Перегляньте Партнерський центр на наявність будь-яких сповіщень і виправте будь-які знайдені в ньому елементи. Для довідки дивіться зображення нижче.

2

Перегляньте вивід сервера syslog для дій із розгортання гібридної безпеки даних. Щоб допомогти у вирішенні неполадок, виконайте фільтр для таких слів, як "Попередження" та "Помилка".

3

Зверніться до служби підтримки Cisco.

Інші примітки

Відомі проблеми гібридної безпеки даних

  • Якщо закрити кластер гібридної безпеки даних (видалити його в партнерському центрі або закрити всі вузли), втратити файл ISO конфігурації або втратити доступ до бази даних сховища ключів, користувачі програми Webex організацій клієнтів більше не зможуть використовувати простори зі списку осіб, створені за допомогою клавіш із KMS. Зараз у нас немає готового рішення або виправлення цієї проблеми. Ми закликаємо вас не закривати ваші служби HDS після того, як вони обробляють облікові записи активних користувачів.

  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом періоду часу (ймовірно, однієї години).

Використовуйте OpenSSL для створення файлу PKCS12

Перед початком

  • OpenSSL — це інструмент, який можна використовувати для створення файлу PKCS12 у належному форматі для завантаження в інструменті налаштування HDS. Є й інші способи зробити це, і ми не підтримуємо чи не просуваємо один шлях над іншим.

  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, щоб допомогти вам створити файл, який відповідає вимогам сертифіката X.509 у Вимогам до сертифіката X.509. Перш ніж продовжити, ознайомтеся з цими вимогами.

  • Установіть OpenSSL у підтримуваному середовищі. Див. https://www.openssl.org програмне забезпечення та документацію.

  • Створіть закритий ключ.

  • Почніть цю процедуру, коли ви отримаєте сертифікат сервера від Certificate Authority (CA).

1

Отримавши сертифікат сервера від ЦС, збережіть його як hdsnode.pem.

2

Відобразити сертифікат у вигляді тексту та перевірте відомості.

openssl x509 -text -noout -in hdsnode.pem

3

Використовуйте текстовий редактор, щоб створити файл пакету сертифікатів під назвою hdsnode-bundle.pem. Файл пакету повинен містити сертифікат сервера, будь-які проміжні сертифікати ЦС і кореневі сертифікати ЦС у форматі нижче:

----BEGIN CERTIFICATE------- ### Сертифікат сервера. ### -----END CERTIFICATE------------BEGIN CERTIFICATE----- ### Проміжний сертифікат CA. ### -----END CERTIFICATE---------BEGIN CERTIFICATE----- ### Кореневий сертифікат CA. ### -----END CERTIFICATE-----

4

Створіть файл .p12 з дружнім ім’ям kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Перевірте відомості про сертифікат сервера.

  1. openssl pkcs12 - in hdsnode.p12

  2. Введіть пароль у поле запиту, щоб зашифрувати закритий ключ так, щоб його було відображено в виведенні. Потім переконайтеся, що закритий ключ і перший сертифікат містять лінії дружніName: kms- private- key.

    Приклад:

    bash$ openssl pkcs12 -in hdsnode.p12 Введіть пароль імпорту: Перевірені MAC атрибути пакету OK дружніІм’я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключові атрибути:  Введіть фразу передавання PEM: Перевірка – введіть фразу передавання PEM: -----BEGIN ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ-----  -----END ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ------ Атрибути сумки дружніІм'я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------- Bag Attributes friendlyName: CN=Дозволити Encrypt Authority X3,O=Дозволити Encrypt,C=US subject=/C=US/O=Дозволити Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-------

Що далі

Поверніться до завершення обов’язкових умов для гібридної безпеки даних. Файл hdsnode.p12 і налаштований для нього пароль буде використано в Створити ISO конфігурації для хостів HDS.

Можна повторно використовувати ці файли, щоб надіслати запит на новий сертифікат, коли термін дії оригінального сертифіката завершиться.

Трафік між вузлами HDS і хмарою

Трафік збору вихідних показників

Вузли гібридної безпеки даних надсилають певні показники в хмару Webex. До них відносяться системні показники для максимальної кількості ключів, кількості використаних ключів, навантаження ЦП та кількості ланцюжків; показники для синхронізованих і асинхронних потоків; показники для сповіщень, що включають поріг підключень шифрування, затримку або довжину черги запитів; показники на сервері даних; показники підключення шифрування. Вузли надсилають зашифрований матеріал ключа через канал поза смугою (окремо від запиту).

Вхідний трафік

Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

  • Запити на шифрування від клієнтів, маршрутизованих службою шифрування

  • Оновлення версії програмного забезпечення вузла

Налаштувати проксі-сервери Squid для гібридної безпеки даних

Websocket не може підключитися через проксі-сервер Squid

Проксі-сервери, які перевіряють HTTPS-трафік, можуть перешкоджати встановленню з’єднань вебсокетів (wss:), які потребують гібридної безпеки даних. У цих розділах наведено інструкції щодо налаштування різних версій Squid, щоб ігнорувати wss: трафік для належної експлуатації послуг.

Кальмари 4 і 5

Додайте on_unsupported_protocol директиву до squid.conf:

on_unsupported_protocol тунель усі

Кальмари 3.5.27

Ми успішно протестували гібридну безпеку даних за допомогою наступних правил, доданих до squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

acl wssMercuryConnection ssl::Mercury-server_name_regex connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 всі ssl_bump stare step2 всі ssl_bump bump step3 всі

Нова й змінена інформація

Нова й змінена інформація

У цій таблиці наведено нові функції або функції, зміни наявного контенту та будь-які основні помилки, які було виправлено в Посібнику з розгортання гібридної безпеки даних для кількох клієнтів.

Дата

Внесені зміни

15 січня 2025 року

Додано обмеження гібридної безпеки даних для кількох клієнтів.

08 січня 2025 року

У розділі Виконати початкове налаштування та завантажити файли встановлення додано примітку, у якій зазначено, що натискання Налаштування на картці HDS у Партнерському центрі є важливим кроком процесу встановлення.

07 січня 2025 року

Оновлено вимоги до віртуального хоста, Процес розгортання гібридної безпеки даних та Установіть HDS Host OVA , щоб показати нову вимогу ESXi 7.0.

13 грудня 2024 року

Вперше опубліковано.

Деактивувати безпеку гібридних даних із кількома клієнтами

Потік завдань деактивації HDS для кількох клієнтів

Виконайте наведені дії, щоб повністю деактивувати HDS для кількох клієнтів.

Перед початком

Це завдання має виконувати лише адміністратор партнера з повними правами.
1

Видаліть усіх клієнтів з усіх кластерів, як зазначено в Видалити організації клієнтів.

2

Анулюйте CMK усіх клієнтів, як зазначено в Анулюйте CMK клієнтів, видалених із HDS..

3

Видаліть усі вузли з усіх кластерів, як зазначено в Видалити вузол.

4

Видаліть усі кластери з Партнерського центру за допомогою одного з двох наведених нижче способів.

  • Клацніть кластер, який потрібно видалити, і виберіть Видалити цей кластер у правому верхньому куті сторінки огляду.
  • На сторінці Ресурси клацніть … праворуч від кластера та виберіть Видалити кластер.
5

Клацніть вкладку Налаштування на сторінці огляду гібридної безпеки даних і натисніть Деактивувати HDS на картці стану HDS.

Початок роботи з гібридною безпекою даних для кількох клієнтів

Огляд гібридної безпеки даних для кількох клієнтів

З першого дня безпека даних була основним завданням у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, яке ввімкнено клієнтами програми Webex, які взаємодіють зі службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і дешифрування повідомлень і файлів.

За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS у області безпеки Cisco. Гібридна безпека даних переміщує KMS та інші функції, пов'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не тримає ключі до вашого зашифрованого вмісту.

Багатоклієнтська гібридна безпека даних дозволяє організаціям використовувати HDS через довіреного локального партнера, який може виступати як постачальник послуг і керувати локальним шифруванням та іншими службами безпеки. Це налаштування дозволяє партнерській організації мати повний контроль за розгортанням ключів шифрування та керування ними, а також гарантує безпеку даних користувачів організацій клієнта від зовнішнього доступу. Партнерські організації налаштовують екземпляри HDS і створюють кластери HDS за потреби. Кожен екземпляр може підтримувати кілька організацій клієнта, на відміну від звичайного розгортання HDS, яке обмежується однією організацією.

Хоча партнерські організації мають контроль за розгортанням і керуванням, вони не мають доступу до даних і контенту, що створюються клієнтами. Цей доступ обмежено організаціями клієнта та їхніми користувачами.

Це також дозволяє невеликим організаціям використовувати HDS, оскільки Ключові служби керування та інфраструктура безпеки, як-от центри обробки даних, належать довіреним місцевим партнером.

Як багатоклієнтська гібридна безпека даних забезпечує суверенітет і контроль даних

  • Створений користувачами контент захищено від зовнішнього доступу, як-от постачальники хмарних послуг.
  • Надійні місцеві партнери управляють ключами шифрування клієнтів, з якими вони вже мають налагоджені відносини.
  • Варіант місцевої технічної підтримки, якщо надано партнером.
  • Підтримує контент нарад, обміну повідомленнями й викликів.

Цей документ спрямований на допомогу партнерським організаціям у налаштуванні та керуванні клієнтами в системі гібридної безпеки даних із підтримкою кількох клієнтів.

Обмеження гібридної безпеки даних із кількома клієнтами

  • Партнерські організації не повинні мати жодного наявного розгортання HDS, активного в Control Hub.
  • Організації клієнта або клієнта, якими хоче керувати партнер, не повинні мати наявне розгортання HDS у Control Hub.
  • Після розгортання партнером HDS із підтримкою кількох клієнтів усі користувачі організацій клієнта, а також користувачі партнерської організації починають використовувати HDS із підтримкою кількох клієнтів для своїх служб шифрування.

    Партнерська організація та організації клієнтів, якими вони керують, здійснюватимуть те саме розгортання HDS із підтримкою кількох клієнтів.

    Партнерська організація більше не використовуватиме хмарну KMS після розгортання HDS із підтримкою кількох клієнтів.

  • Відсутній механізм для повернення ключів назад до Cloud KMS після розгортання HDS.
  • Зараз кожне розгортання багатоклієнтського HDS може мати лише один кластер із кількома вузлами під ним.
  • Ролі адміністратора мають певні обмеження. Додаткову інформацію див. в розділі нижче.

Ролі в гібридній безпеці даних із кількома клієнтами

  • Повний адміністратор партнера – може керувати налаштуваннями для всіх клієнтів, якими керує партнер. Також може призначати ролі адміністратора наявним користувачам в організації та призначати певних клієнтів, якими керуватимуть адміністратори партнера.
  • Адміністратор партнера – може керувати налаштуваннями клієнтів, підготовленими адміністратором або призначеними користувачу.
  • Повний адміністратор – адміністратор партнерської організації, який має право виконувати такі завдання, як зміна налаштувань організації, керування ліцензіями та призначення ролей.
  • Наскрізне налаштування HDS із підтримкою кількох клієнтів і керування всіма організаціями клієнта – потрібні права повного адміністратора партнера та повного адміністратора.
  • Керування призначеними організаціями клієнта : потрібні права адміністратора партнера та повного адміністратора.

Архітектура області безпеки

Хмарна архітектура Webex розділяє різні типи служб на окремі області або домени довіри, як показано нижче.

Області розділення (без гібридної безпеки даних)

Щоб краще зрозуміти гібридну безпеку даних, спочатку розгляньмо цей випадок у чистому хмарі, де Cisco надає всі функції у своїх хмарних областях. Служба ідентифікації, єдине місце, де користувачі можуть бути безпосередньо пов’язані з їхньою персональною інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зрештою зберігається зашифрований контент, в центрі обробки даних C.

На цій діаграмі клієнтом є програма Webex, що працює на ноутбуці користувача й автентифікувався за допомогою служби ідентифікації. Коли користувач складає повідомлення для надсилання до простору, виконуються такі кроки:

  1. Клієнт встановлює захищене з’єднання зі службою керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Для захищеного з’єднання використовується ECDH, а KMS шифрує ключ за допомогою основного ключа AES-256.

  2. Повідомлення зашифровано перед тим, як воно залишає клієнта. Клієнт надсилає його в службу індексації, яка створює зашифровані пошукові індекси для допомоги в подальшому пошуку контенту.

  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

  4. Зашифроване повідомлення зберігається в області сховища.

Під час розгортання гібридної безпеки даних ви переміщуєте функції області безпеки (KMS, індексація та відповідність) до локального центру обробки даних. Інші хмарні служби, які складають Webex (зокрема, ідентифікаційні дані та сховище контенту), залишаються в області Cisco.

Співпраця з іншими організаціями

Користувачі вашої організації можуть регулярно використовувати програму Webex для співпраці з зовнішніми учасниками в інших організаціях. Коли один із ваших користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), ваш KMS надсилає ключ клієнту через канал, захищений ECDH. Однак, якщо ключ для простору належить іншій організації, ваш KMS надсилає запит в хмару Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в вихідному каналі.

Служба KMS, яку запущено в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Додаткову інформацію про створення сертифіката x.509 для використання з розгортанням гібридної безпеки даних із підтримкою кількох клієнтів див. в розділі Підготовка середовища .

Очікування розгортання гібридної безпеки даних

Розгортання гібридної безпеки даних вимагає значної прихильності та обізнаності про ризики, які виникають при наявності ключів шифрування.

Щоб розгорнути гібридну безпеку даних, необхідно надати:

Повна втрата ISO конфігурації, яку ви створюєте для гібридної безпеки даних, або бази даних, яку ви надаєте, призведе до втрати ключів. Втрата ключа забороняє користувачам розшифрувати контент простору та інші зашифровані дані в програмі Webex. Якщо це станеться, ви зможете створити нове розгортання, але буде відображено лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

  • Керування резервним копіюванням і відновленням бази даних та ISO конфігурації.

  • Будьте готові до швидкого відновлення після відмови в разі виникнення катастрофи, як-от помилка диска бази даних або помилка центру обробки даних.

Відсутній механізм для переміщення ключів назад у хмару після розгортання HDS.

Процес налаштування на високому рівні

Цей документ охоплює налаштування та керування розгортанням гібридної безпеки даних із кількома клієнтами:

  • Налаштування гібридної безпеки даних. Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення гібридної безпеки даних, створення кластера HDS, додавання організацій-клієнтів до кластера та керування їхніми основними ключами клієнта (CMK). Це дозволить усім користувачам в організації клієнта використовувати кластер гібридної безпеки даних для функцій безпеки.

    Етапи налаштування, активації та керування докладно описані в наступних трьох розділах.

  • Підтримуйте розгортання гібридної безпеки даних. Хмара Webex автоматично забезпечує постійні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати сповіщення на екрані та налаштувати сповіщення на основі електронної пошти в Партнерському центрі.

  • Ознайомтеся з поширеними сповіщеннями, кроками усунення несправностей і відомими проблемами. Якщо у вас виникли проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й вирішити цю проблему.

Модель розгортання гібридної безпеки даних

У вашому центрі обробки даних підприємства ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли зв’язуються з хмарою Webex за допомогою захищених вебсокетів і захищеного HTTP.

Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами VM. Ви використовуєте інструмент налаштування HDS для створення користувацького файлу конфігурації ISO кластера, який буде змонтовано на кожному вузлі. Кластер гібридної безпеки даних використовує наданий сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і відомості про підключення до бази даних в інструменті налаштування HDS.)

Модель розгортання гібридної безпеки даних

Мінімальна кількість вузлів, які можна мати в кластері, дорівнює два. Рекомендовано принаймні три для кластера. Наявність кількох вузлів гарантує, що служба не переривається під час оновлення версії програмного забезпечення або іншої діяльності з обслуговування на вузлі. (Хмара Webex оновлює лише один вузол за раз.)

Усі вузли в кластері отримують доступ до одного єдиного сервера системних даних і активності журналу. Самі вузли не мають статусу, і обробляють ключові запити круглим способом, як спрямовано хмарою.

Вузли стають активними, коли їх зареєстровано в Партнерському центрі. Щоб вилучити окремий вузол із експлуатації, його можна скасувати реєстрацію, а в разі потреби повторно зареєструвати.

Центр даних у режимі очікування для відновлення після відмови

Під час розгортання ви налаштували безпечний центр обробки даних у режимі очікування. У разі несправності центру обробки даних ви можете вручну не виконувати перехід до центру обробки даних у режимі очікування.

Перед аварійним переходом центр обробки даних A має активні вузли HDS і основну базу даних PostgreSQL або Microsoft SQL Server, тоді як B має копію файлу ISO з додатковими конфігураціями, зареєстрованими в організації VM, і базу даних у режимі очікування. Після аварійного перемикання центр обробки даних B має активні вузли HDS і основну базу даних, тоді як A має незареєстровані VM і копію файлу ISO, а база даних перебуває в режимі очікування.
Ручне аварійне перемикання на центр обробки даних у режимі очікування

Бази даних активних та резервних центрів обробки даних синхронізуються один з одним, що дозволить мінімізувати час, необхідний для виконання аварійного перемикання.

Активні вузли гібридної безпеки даних завжди мають бути в тому самому центрі обробки даних, що й активний сервер бази даних.

Підтримка проксі

Гібридна безпека даних підтримує явні, прозорі перевірки та неінспектування проксі. Ви можете прив'язати ці проксі до свого розгортання, щоб ви могли захищати та контролювати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для управління сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

Гібридні вузли захисту даних підтримують такі параметри проксі-сервера:

  • Немає проксі— За замовчуванням, якщо для інтеграції проксі не використовується налаштування вузла HDS Store і Proxy. Оновлення сертифіката не потрібне.

  • Прозорий неінспекційний проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін до роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.

  • Прозоре тунелювання чи інспектування проксі— вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах не потрібні зміни конфігурації HTTP або HTTPS. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

  • Явний проксі. За допомогою явного проксі-сервера вузлам HDS слід визначити, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі, необхідно ввести наступну інформацію на кожному вузлі:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

      • HTTP — Перегляд і контроль усіх запитів, які надсилає клієнт.

      • HTTPS — забезпечує канал серверу. Клієнт отримує та перевіряє сертифікат сервера.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно, лише якщо в якості проксі-протоколу вибрано протокол HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

Приклад гібридних вузлів безпеки даних і проксі-сервера

На цій схемі наведено приклад підключення між гібридною безпекою даних, мережею та проксі-сервером. Для прозорої перевірки та явної перевірки параметрів проксі-сервера HTTPS на проксі-сервері та на вузлах гібридної безпеки даних повинен бути встановлений той самий кореневий сертифікат.

Заблокований зовнішній режим роздільної здатності DNS (явні конфігурації проксі)

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. У розгортаннях з явними конфігураціями проксі-сервера, які не дозволяють зовнішню роздільну здатність DNS для внутрішніх клієнтів, якщо вузол не може запитувати DNS-сервери, він автоматично переходить у режим блокування зовнішньої роздільної здатності DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести проксі-підключення.

Підготовка середовища

Вимоги до гібридної безпеки даних із кількома клієнтами

Вимоги до ліцензії Cisco Webex

Щоб розгорнути безпеку гібридних даних із кількома клієнтами, виконайте наведені нижче дії.

  • Партнерські організації: Зверніться до партнера Cisco або менеджера облікового запису й переконайтеся, що функцію кількох клієнтів увімкнено.

  • Організації осередків: Необхідно мати професійний пакет для Cisco Webex Control Hub. (Див. https://www.cisco.com/go/pro-pack.)

Вимоги до робочого стола Docker

Перш ніж установити вузли HDS, необхідно Docker Desktop, щоб запустити програму встановлення. Docker нещодавно оновив свою ліцензійну модель. Ваша організація може вимагати платну підписку на Docker Desktop. Для отримання детальної інформації див. допис у блозі Docker "Docker оновлює та розширює підписку на наш продукт".

Вимоги до сертифіката X.509

Ланцюжок сертифікатів повинен відповідати таким вимогам:

Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

Вимоги

Відомості

  • Підписано довіреним центром сертифікації (CA)

За замовчуванням ми довіряємо ценам у списку Mozilla (за винятком WoSign і StartCom) за адресою https://wiki.mozilla.org/CA:IncludedCAs.

  • Має доменне ім’я (CN), яке ідентифікує розгортання гібридної безпеки даних.

  • Не є сертифікатом узагальнення

CN не обов’язково бути доступним або організатором у режимі реального часу. Ми рекомендуємо використовувати ім’я, що відображає вашу організацію, наприклад hds.company.com.

CN не має містити символ * (узагальнення).

CN використовується для перевірки вузлів гібридної безпеки даних клієнтам програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, визначеного в полях SAN x.509v3.

Після реєстрації вузла з цим сертифікатом зміна доменного імені CN не підтримується.

  • Підпис без SHA1

Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключення до KMS інших організацій.

  • Відформатований як файл PKCS #12 із захищеним паролем

  • Використовуйте дружнє ім’я kms-private-key , щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.

Щоб змінити формат сертифіката, можна використовувати перетворювач, наприклад OpenSSL.

Вам потрібно буде ввести пароль, коли ви запустите інструмент налаштування HDS.

Програмне забезпечення KMS не вимагає використання ключів або розширених обмежень використання ключів. Деякі органи сертифікації вимагають, щоб до кожного сертифіката застосовувалися розширені обмеження використання ключа, як-от автентифікація сервера. Цілком нормально використовувати автентифікацію сервера або інші налаштування.

Вимоги до віртуального організатора

Віртуальні вузли, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері, мають такі вимоги:

  • Принаймні два окремих хоста (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

  • VMware ESXi 7.0 (або пізнішої версії) встановлено та запущено.

    Необхідно оновити версію, якщо у вас попередня версія ESXi.

  • Мінімум 4 вЦП, 8 ГБ основної пам’яті, 30 ГБ локального жорсткого диска на сервер

Вимоги до сервера бази даних

Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

Для сервера бази даних існує два параметри. Вимоги до кожного з них такі:

Таблиця 2. Вимоги до сервера бази даних за типом бази даних

Postgre SQL

Сервер Microsoft SQL

  • PostgreSQL 14, 15 або 16, встановлено та запущено.

  • Встановлено SQL Server 2016, 2017 або 2019 (корпоративний або стандартний).

    SQL Server 2016 вимагає пакета оновлень 2 та кумулятивного оновлення 2 або пізнішої версії.

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Програмне забезпечення HDS зараз установлює такі версії драйверів для зв’язку з сервером бази даних:

Postgre SQL

Сервер Microsoft SQL

Postgres драйвер JDBC 42.2.5

Драйвер JDBC SQL Server 4.6

Ця версія драйвера підтримує SQL Server Always On (Завжди ввімкнені екземпляри аварійного перемикання кластерів і Always On групи доступності).

Додаткові вимоги до автентифікації Windows проти Microsoft SQL Server

Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для доступу до вашої бази даних ключів на Microsoft SQL Server, то у вашому середовищі потрібна така конфігурація:

  • Вузли HDS, інфраструктуру Active Directory і MS SQL Server мають бути синхронізовані з NTP.

  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ до бази даних для читання та запису.

  • DNS-сервери, які ви надаєте вузлам HDS, повинні мати змогу вирішити ваш центр розподілу ключів (KDC).

  • Можна зареєструвати екземпляр бази даних HDS на сервері Microsoft SQL як основне ім’я служби (SPN) в Active Directory. Див. розділ Реєстрація імені головної служби для з’єднань Kerberos.

    Засіб налаштування HDS, засіб запуску HDS та локальний KMS — усі необхідні для використання автентифікації Windows для доступу до бази даних сховища ключів. Вони використовують відомості з конфігурації ISO для побудови SPN під час запиту доступу за допомогою автентифікації Kerberos.

Вимоги до зовнішнього з’єднання

Налаштуйте брандмауер, щоб дозволити таке підключення для програм HDS:

Застосування

Протокол

Порт

Напрямок з програми

Призначення

Вузли гібридної безпеки даних

TCP

443

Вихідні HTTPS і WSS

  • Сервери Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Усі організатори Common Identity

  • Інші URL-адреси, перелічені для гібридної безпеки даних у таблиці «Додаткові URL-адреси для гібридних служб Webex»«Вимоги до мережі для служб Webex»

Інструмент налаштування HDS

TCP

443

Вихідний HTTPS

  • *.wbx2.com

  • Усі організатори Common Identity

  • hub.docker.com

Вузли гібридної безпеки даних працюють із перекладом мережевого доступу (NAT) або за брандмауером, доки NAT або брандмауер дозволяють необхідні вихідні з’єднання з адресами домену, наведеними в попередній таблиці. Для з’єднань, які надходять на вхідні дані до вузлів гібридної безпеки даних, порти не повинні відображатися з інтернету. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

URL-адреси для хостів Common Identity (CI) притаманні регіонам. Це поточні організатори CI:

Регіон

URL-адреси загальних ідентифікаційних ресурсів

Північна та Південна Америки

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Європейський Союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сінгапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Об’єднані Арабські Емірати

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Вимоги до проксі-сервера

  • Ми офіційно підтримуємо наступні проксі-рішення, які можуть інтегруватися з вашими вузлами гібридної безпеки даних.

  • Ми підтримуємо такі комбінації типів автентифікації для явних проксі:

    • Немає автентифікації за допомогою HTTP або HTTPS

    • Базова автентифікація за допомогою HTTP або HTTPS

    • Автентифікація дайджесту лише за допомогою ПРОТОКОЛУ HTTPS

  • Для прозорої перевірки проксі-сервера або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі-сервера. Інструкції з розгортання в цьому посібнику розповідають, як завантажити копію в надійні сховища вузлів гібридної безпеки даних.

  • Мережа, в якій розміщуються вузли HDS, повинна бути налаштована на примусове витіснення TCP-трафіку на порту 443 для маршрутизації через проксі.

  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з'єднанню веб-сокетів. При виникненні даної проблеми проблему вирішить обхід (не огляд) трафіку на wbx2.com і ciscospark.com .

Виконати передумови для гібридної безпеки даних

Використовуйте цей контрольний список, щоб переконатися, що ви готові встановити та налаштувати кластер гібридної безпеки даних.
1

Переконайтеся, що в партнерській організації ввімкнено функцію HDS для кількох клієнтів, і отримайте облікові дані облікового запису з повним адміністратором партнера та повними правами адміністратора. Переконайтеся, що в організації клієнта Webex увімкнено пакет Pro Pack для Cisco Webex Control Hub. Зверніться до партнера Cisco або менеджера облікового запису по допомогу в цьому процесі.

Організації клієнтів не повинні мати наявне розгортання HDS.

2

Виберіть доменне ім’я для розгортання HDS (наприклад, hds.company.com) і отримайте ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ та будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам Вимог до сертифіката X.509.

3

Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері. Потрібно принаймні два окремих організатори (рекомендовано 3), розташовані в одному захищеному центрі обробки даних, які відповідають вимогам Вимог до віртуального організатора.

4

Підготуйте сервер бази даних, який діятиме як сховище ключових даних для кластера, відповідно до вимог сервера бази даних. Сервер бази даних має бути розташовано в захищеному центрі обробки даних із віртуальними організаторами.

  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Після встановлення програми HDS створюють схему бази даних.)

  2. Зберіть деталі, які будуть використовувати вузли для зв’язку з сервером бази даних:

    • ім’я хоста або IP-адреса (хост) і порт

    • ім’я бази даних (dbname) для сховища ключів

    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

5

Для швидкого відновлення після відмови налаштуйте резервне середовище в іншому центрі обробки даних. Середовище резервного копіювання відображає середовище виробництва VM і сервер резервної бази даних. Наприклад, якщо у виробництві є 3 VM, які працюють вузли HDS, резервне середовище має мати 3 VM.

6

Налаштуйте хост syslog, щоб збирати журнали з вузлів у кластері. Зберіть його мережеву адресу та порт системного журналу (за замовчуванням — UDP 514).

7

Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста syslog. Як мінімум, щоб запобігти невиправній втраті даних, потрібно створити резервну копію бази даних і файл ISO конфігурації, створений для вузлів гібридної безпеки даних.

Оскільки вузли гібридної безпеки даних зберігають ключі, які використовуються для шифрування та дешифрування контенту, невдача підтримки оперативного розгортання призведе до НЕЗВОРОТНОЇ ВТРАТИ цього контенту.

Клієнти програми Webex ховають свої ключі, тому перебої в роботі можуть бути непомітні, але з часом ставати очевидними. Хоча тимчасові перебої неможливо запобігти, вони можуть бути відновлені. Однак повна втрата (резервних копій відсутні) файлу бази даних або ISO конфігурації призведе до незворотних даних клієнтів. Очікується, що оператори вузлів гібридної безпеки даних підтримуватимуть часті резервні копії бази даних та файлу конфігурації ISO, а також будуть готові відновити центр обробки даних гібридної безпеки даних у разі виникнення катастрофічного відмови.

8

Переконайтеся, що конфігурація брандмауера дозволяє підключення для вузлів гібридної безпеки даних, як описано в розділі Вимоги до зовнішнього з’єднання.

9

Установіть Docker ( https://www.docker.com) на будь-якому локальному комп’ютері, який працює на підтримуваній ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядній версії або Mac OSX Yosemite 10.10.3 або новіша версія) із веббраузером, який може отримати доступ до нього на сторінці http://127.0.0.1:8080.

Екземпляр Docker використовується для завантаження та запуску інструменту налаштування HDS, який збирає інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Можливо, потрібна ліцензія Docker Desktop. Додаткову інформацію див. в розділі Вимоги до робочого стола Docker .

Щоб установити й запустити інструмент налаштування HDS, локальний комп’ютер повинен мати параметр підключення, описаний у розділі Вимоги до зовнішнього підключення.

10

Під час інтеграції проксі з гібридною безпекою даних переконайтеся, що він відповідає вимогам до проксі-сервера.

Налаштувати кластер гібридної безпеки даних

Процес розгортання гібридної безпеки даних

Перш ніж почати

1

Виконати початкове налаштування та завантажити файли інсталяції

Завантажте файл OVA на локальний комп’ютер для подальшого використання.

2

Створити ISO конфігурації для хостів HDS

Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

3

Установити OVA організатора HDS

Створіть віртуальну машину з файлу OVA та виконайте початкову конфігурацію, наприклад налаштування мережі.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 7.0. Цей параметр може бути недоступний у попередніх версіях.

4

Налаштувати VM гібридної безпеки даних

Увійдіть до консолі VM і встановіть облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо їх не було налаштовано на момент розгортання OVA.

5

Вивантажити та змонтувати ISO конфігурації HDS

Налаштуйте VM із файлу конфігурації ISO, який ви створили за допомогою інструменту налаштування HDS.

6

Налаштування вузла HDS для інтеграції проксі

Якщо мережеве середовище потребує конфігурації проксі, укажіть тип проксі, який буде використовуватися для вузла, а в разі потреби додайте проксі-сертифікат до сховища довірених сертифікатів.

7

Зареєструвати перший вузол у кластері.

Зареєструйте VM із хмарою Cisco Webex як вузол гібридної безпеки даних.

8

Створити й зареєструвати більше вузлів

Завершіть налаштування кластера.

9

Активуйте HDS із підтримкою кількох клієнтів у Партнерському центрі.

Активуйте HDS і керуйте організаціями клієнтів у Партнерському центрі.

Виконати початкове налаштування та завантажити файли інсталяції

У цьому завданні ви завантажуєте файл OVA на комп’ютер (не на сервери, налаштовані як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.

1

Увійдіть до концентратора партнера й клацніть Служби.

2

У розділі «Хмарні служби» знайдіть картку гібридної безпеки даних, а потім клацніть Налаштувати.

Натискання Налаштувати в партнерському центрі має критичне значення для процесу розгортання. Не продовжуйте встановлення, не виконавши цей крок.

3

Клацніть Додати ресурс і клацніть Завантажити файл OVA на картці встановлення та налаштування програмного забезпечення .

Старіші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до виникнення проблем під час оновлення версії програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

OVA також можна завантажити будь-коли з розділу Довідка . Клацніть Налаштування > Довідка > Завантажити програмне забезпечення гібридної безпеки даних.

Файл OVA автоматично розпочне завантаження. Збережіть файл у розташуванні на комп’ютері.
4

Додатково клацніть Переглянути посібник із розгортання гібридної безпеки даних , щоб перевірити, чи доступна пізніша версія цього посібника.

Створити ISO конфігурації для хостів HDS

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

Перш ніж почати
1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO ви маєте такі параметри:

  • Ні. Якщо ви створюєте перший вузол HDS, у вас немає файлу ISO для передавання.
  • Так. Якщо ви вже створили вузли HDS, виберіть у браузері файл ISO й передайте його.
10

Переконайтеся, що сертифікат X.509 відповідає вимогам Вимогам до сертифіката X.509.

  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити.
  • Якщо сертифікат OK, клацніть Продовжити.
  • Якщо термін дії сертифіката завершився або ви хочете замінити його, виберіть Ні , щоб Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO?. Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити.
11

Введіть адресу бази даних та обліковий запис HDS, щоб отримати доступ до свого сервера ключових даних:

  1. Виберіть тип бази даних (PostgreSQL або Microsoft SQL Server).

    Якщо вибрати Microsoft SQL Server, буде отримано поле типу автентифікації.

  2. (тільки Microsoft SQL Server ) Виберіть тип автентифікації:

    • Базова автентифікація: Потрібне локальне ім’я облікового запису SQL Server у полі Ім’я користувача .

    • Автентифікація Windows: Потрібен обліковий запис Windows у форматі username@DOMAIN у полі Ім’я користувача .

  3. Введіть адресу сервера бази даних у формі : або :.

    Приклад:
    dbhost.example.org:1433 або 198.51.100.17:1433

    Для базової автентифікації можна використовувати IP-адресу, якщо вузли не можуть використовувати DNS для вирішення імені хоста.

    Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433

  4. Введіть ім’я бази даних.

  5. Введіть ім’я користувача й пароль користувача з усіма правами у базі даних сховища ключів.

12

Виберіть режим підключення до бази даних TLS:

Режим

Опис

Віддавати перевагу TLS (параметр за замовчуванням)

Вузли HDS не потребують TLS для з 'єднання з сервером бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли спробують зашифроване з’єднання.

Вимагати TLS

Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

Вимагати TLS і перевірити підписувача сертифіката

Цей режим не застосовується до баз даних SQL Server.

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Вимагати TLS і перевірити особу, яка підписала сертифікат, і назву вузла

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

  • Вузли також перевіряють, чи ім’я хоста в сертифікаті сервера збігається з ім’ям хоста в полі Хост бази даних і порт . Імена повинні точно збігатися, або вузол скасує з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Коли передано кореневий сертифікат (за потреби) і клацніть Продовжити, інструмент налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє особу, яка підписала сертифікат, і назву вузла, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності здатності до з’єднання вузли HDS зможуть встановити підключення TLS, навіть якщо машина інструмента налаштування HDS не може його успішно перевірити.)

13

На сторінці системних журналів налаштуйте сервер Syslogd:

  1. Введіть URL-адресу сервера syslog.

    Якщо сервер DNS-розв’язний із вузлів для кластера HDS, використайте IP-адресу в URL.

    Приклад:
    udp://10.92.43.23:514 вказує на вхід до хоста Syslogd 10.92.43.23 на порту UDP 514.

  2. Якщо ви налаштували сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер syslog для шифрування SSL?.

    Якщо встановити цей прапорець, обов’язково введіть URL-адресу TCP, наприклад tcp://10.92.43.23:514.

  3. У розкривному списку Вибрати завершення запису syslog виберіть відповідні налаштування для вашого файлу ISO: Виберіть або використовується нова лінія для Graylog і Rsyslog TCP

    • Нульовий байт --\ x00

    • Новий рядок -- \n- Виберіть цей вибір для Graylog і Rsyslog TCP.

  4. Клацніть Продовжити.

14

(Необов’язково) Ви можете змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Додаткові налаштування. Загалом, цей параметр є єдиним, який ви можете змінити:

app_datasource_connection_pool_maxРозмір: 10
15

Клацніть Продовжити на екрані Скинути пароль облікових записів служби .

Паролі облікового запису служби тривають дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів добігає кінця, або ви хочете скинути їх, щоб скасувати попередні файли ISO.

16

Клацніть Завантажити файл ISO. Збережіть файл у зручному для пошуку розташуванні.

17

Зробіть резервну копію файлу ISO у локальній системі.

Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

18

Щоб закрити інструмент налаштування, введіть CTRL+C.

Що далі

Створіть файл ISO конфігурації. Він потрібен для створення більше вузлів для відновлення або для внесення змін до конфігурації. Якщо ви втратите всі копії файлу ISO, ви також втратили основний ключ. Неможливо відновити ключі з бази даних PostgreSQL або Microsoft SQL Server.

У нас ніколи не буде копії цього ключа, і ми не зможемо допомогти, якщо ви його втратите.

Установити OVA організатора HDS

Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi.

2

Виберіть Файл > Розгорнути шаблон OVF.

3

У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі.

4

На сторінці Вибрати ім’я та папку введіть Ім’я віртуальної машини для вузла (наприклад, "HDS_Node_1"), виберіть розташування, де може розміщуватися розгортання вузла віртуальної машини, а потім клацніть Далі.

5

На сторінці Вибрати обчислювальний ресурс , виберіть обчислювальний ресурс призначення, а потім клацніть Далі.

Виконується перевірка перевірки. Після його завершення деталі шаблону з’являться.

6

Перевірте відомості про шаблон, а потім клацніть Далі.

7

Якщо вас попросять вибрати конфігурацію ресурсу на сторінці Конфігурація , клацніть 4 ЦП , а потім клацніть Далі.

8

На сторінці Вибрати сховище клацніть Далі , щоб прийняти формат диска за замовчуванням і політику зберігання VM.

9

На сторінці Вибрати мережі виберіть параметр мережі зі списку записів, щоб забезпечити потрібне підключення до VM.

10

На сторінці Налаштувати шаблон налаштуйте такі налаштування мережі.

  • Ім’я хоста—Введіть повне доменне ім’я (ім’я хоста та домен) або ім’я хоста з одним словом для вузла.

    • Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

    • Щоб забезпечити успішну реєстрацію в хмару, використовуйте лише малі символи в повному домені або імені хоста, налаштованому для вузла. Капіталізація наразі не підтримується.

    • Загальна довжина повного домену не повинна перевищувати 64 символи.

  • IP-адреса— введіть IP-адресу для внутрішнього інтерфейсу вузла.

    Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

  • Маска—Введіть адресу маски підмережі в крапку з комою. Наприклад, 255.255.255.0.
  • Шлюз—Введіть IP-адресу шлюзу. Шлюз – це мережевий вузол, який служить точкою доступу до іншої мережі.
  • Сервери DNS — введіть список, розділений комами, список DNS-серверів, який обробляє перетворення доменних імен на числові IP-адреси. (Дозволено до 4 записів DNS.)
  • Сервери NTP—Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Також можна використовувати список розділених комами, щоб ввести кілька серверів NTP.

  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними від клієнтів у вашій мережі для адміністративних цілей.

За бажанням можна пропустити конфігурацію налаштування мережі та виконати кроки в розділі Налаштування VM гібридної безпеки даних , щоб налаштувати параметри з консолі вузла.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 7.0. Цей параметр може бути недоступний у попередніх версіях.

11

Клацніть правою кнопкою миші вузол VM, а потім виберіть Power > Power On.

Програмне забезпечення гібридної безпеки даних встановлюється як гість на хост VM. Тепер ви готові увійти до консолі й налаштувати вузол.

Поради щодо усунення несправностей

Перед появою контейнерів вузла може знадобитися затримка в кілька хвилин. Під час першого завантаження на консолі з’являється повідомлення брандмауера мосту, під час якого ви не можете ввійти.

Налаштувати VM гібридної безпеки даних

Використовуйте цю процедуру, щоб вперше увійти на консоль вузла гібридної безпеки даних VM і встановити облікові дані для входу. Крім того, можна використовувати консоль для налаштування мережевих параметрів для вузла, якщо їх не було налаштовано під час розгортання OVA.

1

У клієнті VMware vSphere виберіть вузол гібридної безпеки даних VM і перейдіть на вкладку Консоль .

VM завантажується, і з’явиться підказка для входу. Якщо вікно підказки не відображається, натисніть Enter.
2

Щоб увійти й змінити облікові дані, використовуйте наведені нижче дані для входу та пароля за замовчуванням:

  1. Вхід: адміністратор

  2. Пароль: Cisco

Оскільки ви вперше входите в VM, вам потрібно змінити пароль адміністратора.

3

Якщо ви вже налаштували налаштування мережі в Установити OVA хоста HDS, пропустіть решту цієї процедури. В іншому разі в головному меню виберіть параметр Змінити конфігурацію .

4

Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

5

(Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно відповідно до політики мережі.

Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

6

Збережіть конфігурацію мережі та перезавантажте VM, щоб зміни набули сили.

Вивантажити та змонтувати ISO конфігурації HDS

Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою інструмента налаштування HDS.

Перед початком

Оскільки файл ISO має основний ключ, він повинен бути розкритий лише на основі "потрібно знати" для доступу VM гібридної безпеки даних і будь-яких адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

1

Передайте файл ISO зі свого комп’ютера:

  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

  2. На вкладці Конфігурація Список обладнання клацніть Сховище.

  3. У списку Datastors клацніть правою кнопкою миші на станції даних для ваших VM і клацніть Browse Datastore.

  4. Клацніть значок «Передати файли», а потім Передати файл.

  5. Перейдіть до розташування, де ви завантажили файл ISO на свій комп’ютер, і клацніть Відкрити.

  6. Клацніть Так , щоб прийняти попередження операції передавання/завантаження, і закрийте діалогове вікно сховища даних.

2

Змонтувати файл ISO:

  1. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  2. Клацніть ОК , щоб прийняти попередження про обмежені параметри редагування.

  3. Клацніть Диск CD/DVD 1, виберіть параметр для змонтування з файлу ISO зі сховища даних і перейдіть до розташування, де передано файл ISO конфігурації.

  4. Перевірте Підключено та Підключитися при увімкненні живлення.

  5. Збережіть зміни та перезавантажте віртуальну машину.

Що далі

Якщо потрібна ваша політика ІТ, ви можете додатково демонтувати файл ISO після того, як всі вузли дослухаються змін конфігурації. Див. (Необов’язково) Демонтування ISO після конфігурації HDS , щоб отримати додаткові відомості.

Налаштування вузла HDS для інтеграції проксі

Якщо для мережного середовища потрібен проксі-сервер, скористайтеся цією процедурою, щоб указати тип проксі-сервера, який потрібно інтегрувати з hybrid Data Security. Якщо ви виберете прозорий проксі-сервер перевірки або явний проксі-сервер HTTPS, ви можете використовувати інтерфейс вузла для завантаження та встановлення кореневого сертифіката. Ви також можете перевірити проксі-з'єднання з інтерфейсу та усунути будь-які потенційні проблеми.

Перш ніж почати

1

Введіть URL-адресу для настроювання вузла HDS https://[IP-адреса вузла HDS або FQDN]/setup у веб-браузері, введіть облікові дані адміністратора, які ви налаштували для вузла, а потім натисніть кнопку Увійти.

2

Перейдіть до Надійного магазину та проксі-сервера, а потім виберіть параметр:

  • Немає проксі— параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібне.
  • Прозорий неінспекційний проксі—вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін для роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.
  • Прозорий проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних не потрібні зміни конфігурації HTTPS, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі-серверу. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
  • Явний проксі — за допомогою явного проксі-сервера клієнту (вузли HDS) можна вказати, який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести такі відомості:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — виберіть http (переглядає та контролює всі запити, отримані від клієнта) або https (надає канал на сервер, клієнт отримує та перевіряє сертифікат сервера). Виберіть варіант, виходячи з того, що підтримує ваш проксі-сервер.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно для проксі HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно для проксі HTTP або HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно лише для проксі HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

Виконайте наступні кроки для прозорої перевірки проксі-сервера, явного HTTP-проксі з базовою автентифікацією або явного проксі-сервера HTTPS.

3

Клацніть « Завантажити кореневий сертифікат» або «Завершити сертифікатсутності», а потім перейдіть до вибору кореневого сертифіката для проксі-сервера.

Сертифікат завантажено, але ще не інстальовано, оскільки для встановлення сертифіката потрібно перезавантажити вузол. Клацніть стрілку шеврона біля імені емітента сертифіката, щоб отримати докладніші відомості, або натисніть кнопку Видалити , якщо ви припустилися помилки та хочете повторно завантажити файл.

4

Натисніть кнопку Перевірити підключення до проксі, щоб перевірити підключення до мережі між вузлом і проксі-сервером.

Якщо тест підключення не пройшов, ви побачите повідомлення про помилку, у якому вказано причину та способи усунення проблеми.

Якщо ви бачите повідомлення про те, що зовнішня роздільна здатність DNS не була успішною, вузол не зміг дістатися до DNS-сервера. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол буде працювати в режимі роздільної здатності заблокованих зовнішніх DNS. Якщо ви вважаєте, що це помилка, виконайте наведені дії, а потім перегляньте Вимкнути режим роздільної здатності заблокованих зовнішніх DNS.

5

Після того, як тест з'єднання пройде, для явного проксі-сервера, встановленого лише на https, увімкніть перемикач до Маршрутизація всіх запитів порту 443/444 https з цього вузла через явний проксі. Для набрання чинності цим параметром потрібно 15 секунд.

6

Натисніть кнопку Інсталювати всі сертифікати в надійний магазин (відображається для проксі-сервера HTTPS відвертої перевірки або прозорого проксі-сервера для перевірки) або Перезавантажити (відображається для явного проксі-сервера HTTP), прочитайте запит і натисніть кнопку Інсталювати , якщо все готово.

Вузол перезавантажується протягом декількох хвилин.

7

Після перезавантаження вузла увійдіть знову, якщо потрібно, а потім відкрийте сторінку Огляду , щоб перевірити перевірки підключення, щоб переконатися, що всі вони в зеленому стані.

Перевірка проксі-з'єднання лише тестує субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі хмарні домени, перелічені в інструкціях з інсталяції, блокуються на проксі-сервері.

Зареєструвати перший вузол у кластері.

Для цього завдання потрібен універсальний вузол, який ви створили в Налаштування VM гібридної безпеки даних, реєструє вузол із хмарою Webex і перетворює його в вузол гібридної безпеки даних.

Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначений вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Налаштувати.

4

На сторінці, що відкривається, клацніть Додати ресурс.

5

У першому полі Додати вузол введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних.

Рекомендовано назвати кластер залежно від місця географічного розташування вузлів кластера. Приклади: "Сан-Франциско" або "Нью-Йорк" або "Даллас"

6

У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Додати внизу екрана.

Ця IP-адреса або повне доменне ім’я хоста й домен, які використовувалися в Налаштуванні VM гібридної безпеки даних.

З’явиться повідомлення, що вказує на те, що можна зареєструвати свій вузол у Webex.
7

Клацніть Перейти до вузла.

Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації Webex дозволи на доступ до вашого вузла.

8

Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.
9

Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

На сторінці Гібридна безпека даних новий кластер, що містить зареєстрований вами вузол, буде відображено на вкладці Ресурси . Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

Створити й зареєструвати більше вузлів

Щоб додати додаткові вузли до кластера, просто створіть додаткові VM і змонтуйте той самий файл ISO конфігурації, а потім зареєструйте вузол. Рекомендовано мати принаймні 3 вузли.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Створіть нову віртуальну машину з OVA, повторюючи кроки в Установити OVA організатора HDS.

2

Налаштуйте початкову конфігурацію на новому VM, повторюючи кроки в Налаштуванні VM гібридної безпеки даних.

3

У новому VM повторіть кроки в Передати та змонтувати ISO конфігурації HDS.

4

Якщо ви налаштовуєте проксі для розгортання, повторіть кроки в Налаштуйте вузол HDS для інтеграції проксі , як це необхідно для нового вузла.

5

Зареєструйте вузол.

  1. У https://admin.webex.com виберіть Служби в меню ліворуч від екрана.

  2. У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Переглянути всі.

    З’явиться сторінка ресурсів гібридної безпеки даних.

  3. Щойно створений кластер відобразиться на сторінці Ресурси .

  4. Клацніть кластер, щоб переглянути вузли, призначені до кластера.

  5. Клацніть Додати вузол у правій частині екрана.

  6. Введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та натисніть Додати.

    Відкривається сторінка з повідомленням про те, що ви можете зареєструвати свій вузол у хмарі Webex. Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації дозволи на доступ до вашого вузла.

  7. Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

    Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.

  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

    Доданий вузол спливаюче повідомлення також відображається внизу екрана в Партнерському центрі.

    Ваш вузол зареєстровано.

Керування організаціями клієнтів у розділі гібридної безпеки даних із підтримкою кількох клієнтів

Активувати HDS із підтримкою кількох клієнтів у Партнерському центрі

Це завдання гарантує, що всі користувачі в організації клієнта зможуть почати використовувати HDS для локальних ключів шифрування та інших служб безпеки.

Перед початком

Переконайтеся, що ви завершили налаштування кластера HDS із кількома клієнтами з необхідною кількістю вузлів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

4

Клацніть Активувати HDS на картці стану HDS .

Додати організації осередків у партнерський центр

У цьому завданні призначаються організації клієнтів до кластера гібридної безпеки даних.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

Клацніть кластер, до якого ви хочете призначити клієнта.

5

Перейдіть на вкладку Призначені клієнти .

6

Клацніть Додати клієнтів.

7

Виберіть клієнта, якого потрібно додати з розкривного меню.

8

Клацніть Додати, клієнта буде додано до кластера.

9

Повторіть кроки 6–8, щоб додати декілька клієнтів до кластера.

10

Клацніть Готово внизу екрана після додавання клієнтів.

Що далі

Запустіть інструмент налаштування HDS, як докладніше описано в розділі Створити головні ключі клієнта (CMK), використовуючи інструмент налаштування HDS , щоб завершити процес налаштування.

Створити головні ключі клієнта (CMK) за допомогою інструмента налаштування HDS

Перед початком

Призначте клієнтів до відповідного кластера, як детально описано в Додати організації клієнтів у Партнерському центрі. Запустіть інструмент налаштування HDS, щоб завершити процес налаштування для нещодавно доданих клієнтських організацій.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

Переконайтеся, що підключення до бази даних для виконання керування CMK.
11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Створити CMK для всіх організацій або Створити CMK . Натисніть цю кнопку на банері вгорі екрана, щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Створити CMK , щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть … біля керування CMK, що очікує стан конкретної організації в таблиці, і клацніть Створити CMK , щоб створити CMK для цієї організації.
12

Після успішного створення CMK стан у таблиці буде змінено з очікування керування CMK на кероване CMK.

13

Якщо не вдалося створити CMK, буде відображено помилку.

Видалити організації осередків

Перед початком

Після видалення користувачі організацій клієнтів не зможуть використовувати HDS для потреб шифрування та втратять усі наявні простори. Перш ніж видалити організації клієнтів, зверніться до партнера Cisco або менеджера облікових записів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

На вкладці Ресурси клацніть кластер, з якого потрібно видалити організації клієнтів.

5

На сторінці, що відкривається, клацніть Призначені клієнти.

6

У списку відображуваних організацій клієнта клацніть ... праворуч від організації клієнта, яку потрібно видалити, і клацніть Видалити з кластера.

Що далі

Завершіть процес видалення, відкликавши CMK організацій клієнтів, як описано в розділі Відкликання CMK клієнтів, видалених із HDS.

Відкликайте CMK клієнтів, видалених з HDS.

Перед початком

Видаліть клієнтів із відповідного кластера, як описано в розділі Видалити організації клієнтів. Запустіть інструмент налаштування HDS, щоб завершити процес видалення для організацій клієнтів, які були видалені.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Відкликати CMK для всіх організацій або Відкликати CMK . Натисніть цю кнопку на банері вгорі екрана, щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Відкликати CMK , щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть біля CMK, щоб відкликати стан конкретної організації в таблиці, і клацніть Відкликати CMK , щоб відкликати CMK для цієї конкретної організації.
12

Після успішного відкликання CMK організація клієнта більше не відображатиметься в таблиці.

13

Якщо скасування CMK не вдасться, буде відображено помилку.

Протестуйте розгортання гібридної безпеки даних

Перевірити розгортання гібридної безпеки даних

Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних для кількох клієнтів.

Перед початком

  • Налаштуйте розгортання гібридної безпеки даних із кількома клієнтами.

  • Упевніться, що у вас є доступ до syslog, щоб переконатися, що запити ключів передаються до розгортання гібридної безпеки даних із кількома клієнтами.

1

Ключі для певного простору встановлюються його творцем. Увійдіть в програму Webex як один із користувачів організації клієнта, а потім створіть простір.

Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюються користувачами, більше не буде доступний після заміни кешованих клієнтом копій ключів шифрування.

2

Надішліть повідомлення до нового простору.

3

Перевірте вивід syslog, щоб переконатися, що запити ключів передаються розгортанню гібридної безпеки даних.

  1. Щоб перевірити, чи користувач спочатку встановив безпечний канал для KMS, виконайте фільтрування на kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Ви повинні знайти запис, наприклад такий (ідентифікатори скорочено для зручності читання):
    21 липня 2020 р. 17:35:34.562 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: // hds2. org5. portun. us/ statickeys/ 3[~]0 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2. org5. portun. us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data. uri=kms://hds2. org5. portun. us/ecdhe, kms.data.userId=0[~]2

  2. Щоб перевірити, чи користувач запитує наявний ключ із KMS, виконайте фільтрування у розділі kms.data.method=retrieve і kms.data.type=KEY:

    Необхідно знайти запис, наприклад:
    21 липня 2020 р. 17:44:19.889 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-31] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms. data. method=retrieve, kms. merc.id=c[~]7, kms. merc.sync=false, kms. data. uriHost=ciscospark. com, kms. data. type=KEY, kms. data. requestId=9[~]3, kms. data. uri=kms://ciscospark. com/keys/ d[~]2, kms. data. userId=1[~]b

  3. Щоб перевірити, чи користувач запитує створення нового ключа KMS, виконайте фільтрування у розділі kms.data.method=create і kms.data.type=KEY_COLLECTION:

    Необхідно знайти запис, наприклад:
    21 липня 2020 р. 17:44:21.975 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-33] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data. uri=/keys, kms.data.userId=1[~]b

  4. Щоб перевірити, чи користувача, який запитує створення нового ресурсного об’єкта KMS (KRO) під час створення простору або іншого захищеного ресурсу, виконайте фільтрування у розділі kms.data.method=create та kms.data.type=RESOURCE_COLLECTION:

    Необхідно знайти запис, наприклад: 
    21 липня 2020 р. 17:44:22.808 (+0000) ІНФОРМАЦІЯ KMS [pool-15-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Моніторинг гібридної безпеки даних

Індикатор стану в Партнерському центрі показує, чи все гаразд із розгортанням гібридної безпеки даних для кількох клієнтів. Щоб підвищити активність оповіщень, зареєструйтеся в сповіщеннях електронною поштою. Ви отримаєте сповіщення, якщо з’являться попередження, які впливають на службу, або оновлення версії програмного забезпечення.
1

У Партнерському центрі виберіть Служби в меню зліва екрана.

2

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

З’явиться сторінка параметрів гібридної безпеки даних.
3

У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділених комами, і натисніть Enter.

Керуйте розгортанням HDS

Керування розгортанням HDS

Для керування розгортанням гібридної безпеки даних використовуйте завдання, описані тут.

Установити розклад оновлення кластера.

Оновлення версії програмного забезпечення для гібридної безпеки даних здійснюється автоматично на рівні кластера, завдяки чому всі вузли завжди працюють одну й ту саму версію програмного забезпечення. Оновлення версії здійснюється відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стане доступним, у вас є можливість вручну оновити версію до запланованого часу оновлення версії. Можна встановити конкретний розклад оновлення версії або використовувати розклад за замовчуванням, який становить 3:00 ранку щоденно у США: Америка/Лос-Анджелес. Ви також можете за потреби відкласти майбутні оновлення версії.

Щоб налаштувати розклад оновлення версії, виконайте наведені нижче дії.

1

Увійдіть у партнерський центр.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Налаштувати.

4

На сторінці ресурсів гібридної безпеки даних виберіть кластер.

5

Клацніть вкладку Налаштування кластера .

6

"На сторінці ""Налаштування кластера"" в розділі ""Розклад оновлення версії"" виберіть час і часовий пояс для розкладу оновлення версії."

Примітки У часовому поясі відображено наступну дату й час оновлення версії. Можна відкласти оновлення на наступний день, якщо потрібно, клацнувши Відкласти на 24 години.

Змінити конфігурацію вузла

Іноді вам може знадобитися змінити конфігурацію вузла гібридної безпеки даних з такої причини, як:

  • Зміна сертифікатів x.509 через закінчення терміну дії або інші причини.

    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовується для реєстрації кластера.

  • Оновлення параметрів бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

    Ми не підтримуємо перенесення даних з PostgreSQL до Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, розпочніть нове розгортання гібридної системи захисту даних.

  • Створення нової конфігурації для підготовки нового центру обробки даних.

Крім того, з метою безпеки Hybrid Data Security використовує паролі службових облікових записів, термін дії яких становить дев'ять місяців. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з ваших вузлів HDS у файлі конфігурації ISO. Коли паролі вашої організації наближаються до закінчення терміну дії, ви отримуєте повідомлення від команди Webex про скидання пароля для облікового запису вашого комп'ютера. (Електронний лист містить текст "Використовуйте API облікового запису машини, щоб оновити пароль.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

  • Програмне скидання— старі й нові паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

  • Жорстке скидання— старі паролі негайно припиняють працювати.

Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

Використовуйте цю процедуру, щоб створити новий файл конфігурації ISO і застосувати його до вашого кластера.

Перш ніж почати

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Partner Hub із повними правами адміністратора партнера.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker у 1.e. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Щоб створити нову конфігурацію, вам потрібна копія поточного файла конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. ISO потрібен під час внесення змін у конфігурацію, включаючи облікові дані бази даних, оновлення сертифікатів або зміни в політиці авторизації.

1

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

    У звичайних середовищах:

    docker rmi ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker rmi ciscocitg/ hds- setup- fedramp: stable

    Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

  2. Щоб увійти до реєстру Docker-зображень, введіть наступне:

    docker login - u hdscustomersro

  3. На запиті пароля введіть цей хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Завантажте останнє стабільне зображення для вашого середовища:

    У звичайних середовищах:

    docker pull ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker pull ciscocitg/hds- setup- fedramp: stable

    Обов 'язково потягніть найновіший інструмент налаштування для цієї процедури. Версії інструмента, створені до 22 лютого 2018 року, не мають екранів скидання пароля.

  5. Після завершення витягування введіть відповідну команду для вашого середовища:

    • У звичайних середовищах без проксі-сервера:

      docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

    • У звичайних середовищах з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

    • У звичайних середовищах з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У середовищах FedRAMP без проксі-сервера:

      docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

    • У середовищах FedRAMP з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

    • У середовищах FedRAMP з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Коли контейнер запущений, ви бачите "Експрес-прослуховування сервера на порту 8080".

  6. Використовуйте браузер для підключення до localhost, http://127.0.0.1:8080.

    Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

  7. Коли з’явиться відповідний запит, введіть облікові дані для входу клієнта Partner Hub, а потім клацніть Прийняти , щоб продовжити.

  8. Імпортувати поточний файл конфігурації ISO.

  9. Дотримуйтеся вказівок, щоб завершити роботу інструменту та завантажити оновлений файл.

    Щоб закрити інструмент налаштування, введіть CTRL+C.

  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

2

Якщо у вас працює лише один вузол HDS, створіть новий вузол гібридної безпеки даних VM і зареєструйте його, використовуючи новий файл ISO конфігурації. Докладні інструкції див. в розділі Створення та реєстрація додаткових вузлів.

  1. Встановіть HDS-хост OVA.

  2. Налаштуйте віртуальну машину HDS.

  3. Змонтувати оновлений файл конфігурації.

  4. Зареєструйте новий вузол у партнерському центрі.

3

Для існуючих вузлів HDS, у яких запущено старий файл конфігурації, змонтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

  1. Вимкніть віртуальну машину.

  2. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  3. Натисніть CD /DVD-дисковод 1, виберіть параметр для монтування з файлу ISO та перейдіть до розташування, куди ви завантажили файл ISO нової конфігурації.

  4. Перевірте підключення при увімкненому живленні.

  5. Заощаджуйте зміни та енергію на віртуальній машині.

4

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, який виконує стару конфігурацію.

Вимкнення режиму роздільної здатності заблокованих зовнішніх DNS

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. Якщо DNS-серверу вузла не вдається розпізнати загальнодоступні імена DNS, вузол автоматично переходить у режим блокування зовнішньої роздільної здатності DNS.

Якщо ваші вузли можуть вирішувати загальнодоступні імена DNS через внутрішні DNS-сервери, ви можете вимкнути цей режим, повторивши тест проксі-з'єднання на кожному вузлі.

Перш ніж почати

Переконайтеся, що ваші внутрішні DNS-сервери можуть розпізнавати загальнодоступні імена DNS і що ваші вузли можуть зв'язуватися з ними.
1

У браузері відкрийте інтерфейс вузла гібридної безпеки даних (IP-адреса/налаштування), наприклад, введіть облікові дані адміністратора, https://192.0.2.0/setup), які настроєно для вузла, а потім натисніть кнопку Увійти.

2

Перехід до розділу Огляд (сторінка за замовчуванням).

Якщо ввімкнено, для параметра "Заблокована зовнішня роздільна здатність DNS" встановлено значення "Так".

3

Перейдіть на сторінку Надійний магазин і проксі .

4

Натисніть Перевірити підключенняпроксі-сервера.

Якщо ви бачите повідомлення про те, що зовнішнє дозвіл DNS не було успішним, вузол не зміг дістатися до DNS-сервера і залишиться в цьому режимі. В іншому випадку, після того, як ви перезавантажите вузол і повернетеся на сторінку огляду , заблоковане зовнішнє дозвіл DNS має бути встановлено на "ні".

Що далі

Повторіть тест проксі-з'єднання на кожному вузлі в кластері гібридної безпеки даних.

Видалити вузол

Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi та вимкнути віртуальну машину.

2

Видалити вузол:

  1. Увійдіть до концентратора партнера й виберіть Служби.

  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів гібридної безпеки даних.

  3. Виберіть кластер, щоб відобразити його панель огляду.

  4. Клацніть вузол, який потрібно видалити.

  5. Клацніть Скасувати реєстрацію цього вузла на панелі, що з’явиться справа.

  6. Можна також скасувати реєстрацію вузла, клацнувши … праворуч від вузла й вибравши Видалити цей вузол.

3

У клієнті vSphere видаліть VM. (На панелі навігації ліворуч клацніть правою кнопкою миші VM і клацніть Видалити.)

Якщо ви не видалите VM, не забудьте демонтувати файл ISO конфігурації. Без файлу ISO неможливо використовувати VM для доступу до даних безпеки.

Відновлення після відмови за допомогою центру обробки даних у режимі очікування

Найважливішою службою, яку надає кластер гібридної безпеки даних, є створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, призначеного для гібридної безпеки даних, запити на створення нового ключа маршрутизуються в кластер. Кластер також несе відповідальність за повернення створених ключів будь-яким користувачам, авторизованим для їх отримання, наприклад учасникам простору розмови.

Оскільки кластер виконує критичну функцію надання цих ключів, дуже важливо, щоб кластер продовжував працювати та щоб підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕПОПРАВНОЇ ВТРАТИ контенту клієнта. Для запобігання такої втрати є обов'язковими такі практики:

Якщо внаслідок стихійного лиха розгортання HDS у основному центрі обробки даних стане недоступним, виконайте цю процедуру, щоб вручну виконати аварійне перемикання на центр обробки даних у режимі очікування.

Перед початком

Скасуйте реєстрацію всіх вузлів із Партнерського центру, як зазначено в розділі Видалити вузол. Щоб виконати процедуру аварійного перемикання, згадану нижче, використовуйте останній файл ISO, налаштований проти вузлів кластера, який раніше був активний.
1

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створити ISO конфігурації для хостів HDS.

2

Завершіть процес конфігурації та збережіть файл ISO у зручному для пошуку розташуванні.

3

Зробіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

4

У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

5

Клацніть Змінити налаштування >Диск CD/DVD 1 і виберіть файл ISO Datastore.

Переконайтеся, що встановлено прапорець параметрів Підключено та Connect при увімкненні , щоб оновлені зміни конфігурації набули сили після запуску вузлів.

6

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

7

Зареєструйте вузол у партнерському центрі. Див. розділ Зареєструвати перший вузол у кластері.

8

Повторити процес для кожного вузла в центрі обробки даних у режимі очікування.

Що далі

Після аварійного перемикання, якщо основний центр обробки даних знову стане активним, скасуйте реєстрацію вузлів центру обробки даних у режимі очікування та повторіть процес налаштування ISO та реєстрації вузлів основного центру обробки даних, як зазначено вище.

(Необов’язково) Демонтування ISO після конфігурації HDS

Стандартна конфігурація HDS працює зі змонтованим ISO. Але деякі клієнти воліють не залишати файли ISO постійно змонтовані. Можна демонтувати файл ISO після того, як усі вузли HDS підхопили нову конфігурацію.

Ви все ще використовуєте файли ISO для внесення змін до конфігурації. Під час створення нового ISO або оновлення ISO за допомогою інструмента налаштування потрібно змонтувати оновлене ISO на всіх вузлах HDS. Після того як усі ваші вузли отримають зміни конфігурації, можна знову демонтувати ISO за допомогою цієї процедури.

Перед початком

Оновіть версію всіх вузлів HDS до версії 2021.01.22.4720 або пізнішої.

1

Закрийте один із вузлів HDS.

2

У пристрої vCenter Server Device виберіть вузол HDS.

3

Виберіть Змінити налаштування > Диск CD/DVD і зніміть прапорець файлу ISO Datastore.

4

Увімкніть вузол HDS і переконайтеся, що попередження відсутнє щонайменше 20 хвилин.

5

Повторюйте для кожного вузла HDS по черзі.

Усунення несправностей гібридної безпеки даних

Переглянути сповіщення та усунути несправності

Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що вимагає часу очікування. Якщо користувачі не можуть зв’язатися з кластером гібридної безпеки даних, вони відчувають такі симптоми:

  • Не вдалося створити нові простори (неможливо створити нові ключі).

  • Не вдалося розшифрувати повідомлення та назви просторів для:

    • Нові користувачі додані до простору (неможливо отримати ключі)

    • Наявні користувачі в просторі, що використовують новий клієнт (неможливо отримати ключі).

  • Наявні користувачі в просторі продовжуватимуть успішно запускатися, доки їхні клієнти матимуть кеш ключів шифрування.

Важливо належним чином відстежувати кластер гібридної безпеки даних і швидко надсилати будь-які сповіщення, щоб уникнути порушення роботи служби.

Оповіщення

Якщо виникла проблема з налаштуванням гібридної безпеки даних, Партнерський центр відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато загальних сценаріїв.

Таблиця 1. Загальні проблеми та кроки для їх вирішення

Сповіщення

Дія

Помилка доступу до локальної бази даних.

Перевірте наявність помилок бази даних або проблем локальної мережі.

Помилка підключення до локальної бази даних.

Перевірте доступність сервера бази даних і правильні облікові дані облікового запису служби використано в конфігурації вузла.

Помилка доступу до хмарної служби.

Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього з’єднання.

Поновлення реєстрації хмарної служби.

Реєстрацію в хмарних службах скасовано. Триває подовження реєстрації.

Реєстрацію хмарної служби скасовано.

Реєстрацію в хмарних службах припинено. Роботу служби припиняється.

Службу ще не активовано.

Активуйте HDS у Партнерському центрі.

Налаштований домен не відповідає сертифікату сервера.

Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

Найімовірніша причина полягає в тому, що сертифікат CN нещодавно був змінений і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

Не вдалось автентифікувати в хмарних службах.

Перевірте точність і можливий термін дії облікових даних облікового запису обслуговування.

Не вдалося відкрити локальний файл сховища ключів.

Перевірте цілісність і точність пароля у локальному файлі сховища ключів.

Неприпустимий сертифікат локального сервера.

Перевірте дату закінчення терміну дії сертифіката сервера й упевніться, що він був виданий довіреним центром сертифікації.

Не вдалося опублікувати показники.

Перевірте доступ до локальної мережі до зовнішніх хмарних служб.

Каталогу /media/configdrive/hds не існує.

Перевірте конфігурацію змонтування ISO на віртуальному вузлі. Переконайтеся, що файл ISO існує, що його налаштовано на монтування до перезавантаження та що він успішно монтується.

Налаштування організації клієнта не завершено для доданих організацій

Завершіть налаштування, створивши CMK для нещодавно доданих організацій клієнтів за допомогою інструменту налаштування HDS.

Налаштування організації клієнта не завершено для видалених організацій

Завершіть налаштування, відкликавши CMK організацій клієнтів, які були вилучені за допомогою інструменту налаштування HDS.

Усунення несправностей гібридної безпеки даних

Використовуйте наведені далі загальні інструкції під час виправлення неполадок із службою гібридної безпеки даних.
1

Перегляньте Партнерський центр на наявність будь-яких сповіщень і виправте будь-які знайдені в ньому елементи. Для довідки дивіться зображення нижче.

2

Перегляньте вивід сервера syslog для дій із розгортання гібридної безпеки даних. Щоб допомогти у вирішенні неполадок, виконайте фільтр для таких слів, як "Попередження" та "Помилка".

3

Зверніться до служби підтримки Cisco.

Інші примітки

Відомі проблеми гібридної безпеки даних

  • Якщо закрити кластер гібридної безпеки даних (видалити його в партнерському центрі або закрити всі вузли), втратити файл ISO конфігурації або втратити доступ до бази даних сховища ключів, користувачі програми Webex організацій клієнтів більше не зможуть використовувати простори зі списку осіб, створені за допомогою клавіш із KMS. Зараз у нас немає готового рішення або виправлення цієї проблеми. Ми закликаємо вас не закривати ваші служби HDS після того, як вони обробляють облікові записи активних користувачів.

  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом періоду часу (ймовірно, однієї години).

Використовуйте OpenSSL для створення файлу PKCS12

Перед початком

  • OpenSSL — це інструмент, який можна використовувати для створення файлу PKCS12 у належному форматі для завантаження в інструменті налаштування HDS. Є й інші способи зробити це, і ми не підтримуємо чи не просуваємо один шлях над іншим.

  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, щоб допомогти вам створити файл, який відповідає вимогам сертифіката X.509 у Вимогам до сертифіката X.509. Перш ніж продовжити, ознайомтеся з цими вимогами.

  • Установіть OpenSSL у підтримуваному середовищі. Див. https://www.openssl.org програмне забезпечення та документацію.

  • Створіть закритий ключ.

  • Почніть цю процедуру, коли ви отримаєте сертифікат сервера від Certificate Authority (CA).

1

Отримавши сертифікат сервера від ЦС, збережіть його як hdsnode.pem.

2

Відобразити сертифікат у вигляді тексту та перевірте відомості.

openssl x509 -text -noout -in hdsnode.pem

3

Використовуйте текстовий редактор, щоб створити файл пакету сертифікатів під назвою hdsnode-bundle.pem. Файл пакету повинен містити сертифікат сервера, будь-які проміжні сертифікати ЦС і кореневі сертифікати ЦС у форматі нижче:

----BEGIN CERTIFICATE------- ### Сертифікат сервера. ### -----END CERTIFICATE------------BEGIN CERTIFICATE----- ### Проміжний сертифікат CA. ### -----END CERTIFICATE---------BEGIN CERTIFICATE----- ### Кореневий сертифікат CA. ### -----END CERTIFICATE-----

4

Створіть файл .p12 з дружнім ім’ям kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Перевірте відомості про сертифікат сервера.

  1. openssl pkcs12 - in hdsnode.p12

  2. Введіть пароль у поле запиту, щоб зашифрувати закритий ключ так, щоб його було відображено в виведенні. Потім переконайтеся, що закритий ключ і перший сертифікат містять лінії дружніName: kms- private- key.

    Приклад:

    bash$ openssl pkcs12 -in hdsnode.p12 Введіть пароль імпорту: Перевірені MAC атрибути пакету OK дружніІм’я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключові атрибути:  Введіть фразу передавання PEM: Перевірка – введіть фразу передавання PEM: -----BEGIN ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ-----  -----END ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ------ Атрибути сумки дружніІм'я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------- Bag Attributes friendlyName: CN=Дозволити Encrypt Authority X3,O=Дозволити Encrypt,C=US subject=/C=US/O=Дозволити Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-------

Що далі

Поверніться до завершення обов’язкових умов для гібридної безпеки даних. Файл hdsnode.p12 і налаштований для нього пароль буде використано в Створити ISO конфігурації для хостів HDS.

Можна повторно використовувати ці файли, щоб надіслати запит на новий сертифікат, коли термін дії оригінального сертифіката завершиться.

Трафік між вузлами HDS і хмарою

Трафік збору вихідних показників

Вузли гібридної безпеки даних надсилають певні показники в хмару Webex. До них відносяться системні показники для максимальної кількості ключів, кількості використаних ключів, навантаження ЦП та кількості ланцюжків; показники для синхронізованих і асинхронних потоків; показники для сповіщень, що включають поріг підключень шифрування, затримку або довжину черги запитів; показники на сервері даних; показники підключення шифрування. Вузли надсилають зашифрований матеріал ключа через канал поза смугою (окремо від запиту).

Вхідний трафік

Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

  • Запити на шифрування від клієнтів, маршрутизованих службою шифрування

  • Оновлення версії програмного забезпечення вузла

Налаштувати проксі-сервери Squid для гібридної безпеки даних

Websocket не може підключитися через проксі-сервер Squid

Проксі-сервери, які перевіряють HTTPS-трафік, можуть перешкоджати встановленню з’єднань вебсокетів (wss:), які потребують гібридної безпеки даних. У цих розділах наведено інструкції щодо налаштування різних версій Squid, щоб ігнорувати wss: трафік для належної експлуатації послуг.

Кальмари 4 і 5

Додайте on_unsupported_protocol директиву до squid.conf:

on_unsupported_protocol тунель усі

Кальмари 3.5.27

Ми успішно протестували гібридну безпеку даних за допомогою наступних правил, доданих до squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

acl wssMercuryConnection ssl::Mercury-server_name_regex connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 всі ssl_bump stare step2 всі ssl_bump bump step3 всі

Нова й змінена інформація

Нова й змінена інформація

У цій таблиці наведено нові функції або функції, зміни наявного контенту та будь-які основні помилки, які було виправлено в Посібнику з розгортання гібридної безпеки даних для кількох клієнтів.

Дата

Внесені зміни

30 січня 2025 року

Додано версію SQL сервера 2022 до списку підтримуваних серверів SQL у Вимоги до сервера бази даних.

15 січня 2025 року

Додано обмеження гібридної безпеки даних для кількох клієнтів.

08 січня 2025 року

У розділі Виконати початкове налаштування та завантажити файли встановлення додано примітку, у якій зазначено, що натискання Налаштування на картці HDS у Партнерському центрі є важливим кроком процесу встановлення.

07 січня 2025 року

Оновлено вимоги до віртуального хоста, Процес розгортання гібридної безпеки даних та Установіть HDS Host OVA , щоб показати нову вимогу ESXi 7.0.

13 грудня 2024 року

Вперше опубліковано.

Деактивувати безпеку гібридних даних із кількома клієнтами

Потік завдань деактивації HDS для кількох клієнтів

Виконайте наведені дії, щоб повністю деактивувати HDS для кількох клієнтів.

Перед початком

Це завдання має виконувати лише адміністратор партнера з повними правами.
1

Видаліть усіх клієнтів з усіх кластерів, як зазначено в Видалити організації клієнтів.

2

Анулюйте CMK усіх клієнтів, як зазначено в Анулюйте CMK клієнтів, видалених із HDS..

3

Видаліть усі вузли з усіх кластерів, як зазначено в Видалити вузол.

4

Видаліть усі кластери з Партнерського центру за допомогою одного з двох наведених нижче способів.

  • Клацніть кластер, який потрібно видалити, і виберіть Видалити цей кластер у правому верхньому куті сторінки огляду.
  • На сторінці Ресурси клацніть … праворуч від кластера та виберіть Видалити кластер.
5

Клацніть вкладку Налаштування на сторінці огляду гібридної безпеки даних і натисніть Деактивувати HDS на картці стану HDS.

Початок роботи з гібридною безпекою даних для кількох клієнтів

Огляд гібридної безпеки даних для кількох клієнтів

З першого дня безпека даних була основним завданням у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, яке ввімкнено клієнтами програми Webex, які взаємодіють зі службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і дешифрування повідомлень і файлів.

За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS у області безпеки Cisco. Гібридна безпека даних переміщує KMS та інші функції, пов'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не тримає ключі до вашого зашифрованого вмісту.

Багатоклієнтська гібридна безпека даних дозволяє організаціям використовувати HDS через довіреного локального партнера, який може виступати як постачальник послуг і керувати локальним шифруванням та іншими службами безпеки. Це налаштування дозволяє партнерській організації мати повний контроль за розгортанням ключів шифрування та керування ними, а також гарантує безпеку даних користувачів організацій клієнта від зовнішнього доступу. Партнерські організації налаштовують екземпляри HDS і створюють кластери HDS за потреби. Кожен екземпляр може підтримувати кілька організацій клієнта, на відміну від звичайного розгортання HDS, яке обмежується однією організацією.

Хоча партнерські організації мають контроль за розгортанням і керуванням, вони не мають доступу до даних і контенту, що створюються клієнтами. Цей доступ обмежено організаціями клієнта та їхніми користувачами.

Це також дозволяє невеликим організаціям використовувати HDS, оскільки Ключові служби керування та інфраструктура безпеки, як-от центри обробки даних, належать довіреним місцевим партнером.

Як багатоклієнтська гібридна безпека даних забезпечує суверенітет і контроль даних

  • Створений користувачами контент захищено від зовнішнього доступу, як-от постачальники хмарних послуг.
  • Надійні місцеві партнери управляють ключами шифрування клієнтів, з якими вони вже мають налагоджені відносини.
  • Варіант місцевої технічної підтримки, якщо надано партнером.
  • Підтримує контент нарад, обміну повідомленнями й викликів.

Цей документ спрямований на допомогу партнерським організаціям у налаштуванні та керуванні клієнтами в системі гібридної безпеки даних із підтримкою кількох клієнтів.

Обмеження гібридної безпеки даних із кількома клієнтами

  • Партнерські організації не повинні мати жодного наявного розгортання HDS, активного в Control Hub.
  • Організації клієнта або клієнта, якими хоче керувати партнер, не повинні мати наявне розгортання HDS у Control Hub.
  • Після розгортання партнером HDS із підтримкою кількох клієнтів усі користувачі організацій клієнта, а також користувачі партнерської організації починають використовувати HDS із підтримкою кількох клієнтів для своїх служб шифрування.

    Партнерська організація та організації клієнтів, якими вони керують, здійснюватимуть те саме розгортання HDS із підтримкою кількох клієнтів.

    Партнерська організація більше не використовуватиме хмарну KMS після розгортання HDS із підтримкою кількох клієнтів.

  • Відсутній механізм для повернення ключів назад до Cloud KMS після розгортання HDS.
  • Зараз кожне розгортання багатоклієнтського HDS може мати лише один кластер із кількома вузлами під ним.
  • Ролі адміністратора мають певні обмеження. Додаткову інформацію див. в розділі нижче.

Ролі в гібридній безпеці даних із кількома клієнтами

  • Повний адміністратор партнера – може керувати налаштуваннями для всіх клієнтів, якими керує партнер. Також може призначати ролі адміністратора наявним користувачам в організації та призначати певних клієнтів, якими керуватимуть адміністратори партнера.
  • Адміністратор партнера – може керувати налаштуваннями клієнтів, підготовленими адміністратором або призначеними користувачу.
  • Повний адміністратор – адміністратор партнерської організації, який має право виконувати такі завдання, як зміна налаштувань організації, керування ліцензіями та призначення ролей.
  • Наскрізне налаштування HDS із підтримкою кількох клієнтів і керування всіма організаціями клієнта – потрібні права повного адміністратора партнера та повного адміністратора.
  • Керування призначеними організаціями клієнта : потрібні права адміністратора партнера та повного адміністратора.

Архітектура області безпеки

Хмарна архітектура Webex розділяє різні типи служб на окремі області або домени довіри, як показано нижче.

Області розділення (без гібридної безпеки даних)

Щоб краще зрозуміти гібридну безпеку даних, спочатку розгляньмо цей випадок у чистому хмарі, де Cisco надає всі функції у своїх хмарних областях. Служба ідентифікації, єдине місце, де користувачі можуть бути безпосередньо пов’язані з їхньою персональною інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зрештою зберігається зашифрований контент, в центрі обробки даних C.

На цій діаграмі клієнтом є програма Webex, що працює на ноутбуці користувача й автентифікувався за допомогою служби ідентифікації. Коли користувач складає повідомлення для надсилання до простору, виконуються такі кроки:

  1. Клієнт встановлює захищене з’єднання зі службою керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Для захищеного з’єднання використовується ECDH, а KMS шифрує ключ за допомогою основного ключа AES-256.

  2. Повідомлення зашифровано перед тим, як воно залишає клієнта. Клієнт надсилає його в службу індексації, яка створює зашифровані пошукові індекси для допомоги в подальшому пошуку контенту.

  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

  4. Зашифроване повідомлення зберігається в області сховища.

Під час розгортання гібридної безпеки даних ви переміщуєте функції області безпеки (KMS, індексація та відповідність) до локального центру обробки даних. Інші хмарні служби, які складають Webex (зокрема, ідентифікаційні дані та сховище контенту), залишаються в області Cisco.

Співпраця з іншими організаціями

Користувачі вашої організації можуть регулярно використовувати програму Webex для співпраці з зовнішніми учасниками в інших організаціях. Коли один із ваших користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), ваш KMS надсилає ключ клієнту через канал, захищений ECDH. Однак, якщо ключ для простору належить іншій організації, ваш KMS надсилає запит в хмару Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в вихідному каналі.

Служба KMS, яку запущено в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Додаткову інформацію про створення сертифіката x.509 для використання з розгортанням гібридної безпеки даних із підтримкою кількох клієнтів див. в розділі Підготовка середовища .

Очікування розгортання гібридної безпеки даних

Розгортання гібридної безпеки даних вимагає значної прихильності та обізнаності про ризики, які виникають при наявності ключів шифрування.

Щоб розгорнути гібридну безпеку даних, необхідно надати:

Повна втрата ISO конфігурації, яку ви створюєте для гібридної безпеки даних, або бази даних, яку ви надаєте, призведе до втрати ключів. Втрата ключа забороняє користувачам розшифрувати контент простору та інші зашифровані дані в програмі Webex. Якщо це станеться, ви зможете створити нове розгортання, але буде відображено лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

  • Керування резервним копіюванням і відновленням бази даних та ISO конфігурації.

  • Будьте готові до швидкого відновлення після відмови в разі виникнення катастрофи, як-от помилка диска бази даних або помилка центру обробки даних.

Відсутній механізм для переміщення ключів назад у хмару після розгортання HDS.

Процес налаштування на високому рівні

Цей документ охоплює налаштування та керування розгортанням гібридної безпеки даних із кількома клієнтами:

  • Налаштування гібридної безпеки даних. Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення гібридної безпеки даних, створення кластера HDS, додавання організацій-клієнтів до кластера та керування їхніми основними ключами клієнта (CMK). Це дозволить усім користувачам в організації клієнта використовувати кластер гібридної безпеки даних для функцій безпеки.

    Етапи налаштування, активації та керування докладно описані в наступних трьох розділах.

  • Підтримуйте розгортання гібридної безпеки даних. Хмара Webex автоматично забезпечує постійні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати сповіщення на екрані та налаштувати сповіщення на основі електронної пошти в Партнерському центрі.

  • Ознайомтеся з поширеними сповіщеннями, кроками усунення несправностей і відомими проблемами. Якщо у вас виникли проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й вирішити цю проблему.

Модель розгортання гібридної безпеки даних

У вашому центрі обробки даних підприємства ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли зв’язуються з хмарою Webex за допомогою захищених вебсокетів і захищеного HTTP.

Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами VM. Ви використовуєте інструмент налаштування HDS для створення користувацького файлу конфігурації ISO кластера, який буде змонтовано на кожному вузлі. Кластер гібридної безпеки даних використовує наданий сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і відомості про підключення до бази даних в інструменті налаштування HDS.)

Модель розгортання гібридної безпеки даних

Мінімальна кількість вузлів, які можна мати в кластері, дорівнює два. Рекомендовано принаймні три для кластера. Наявність кількох вузлів гарантує, що служба не переривається під час оновлення версії програмного забезпечення або іншої діяльності з обслуговування на вузлі. (Хмара Webex оновлює лише один вузол за раз.)

Усі вузли в кластері отримують доступ до одного єдиного сервера системних даних і активності журналу. Самі вузли не мають статусу, і обробляють ключові запити круглим способом, як спрямовано хмарою.

Вузли стають активними, коли їх зареєстровано в Партнерському центрі. Щоб вилучити окремий вузол із експлуатації, його можна скасувати реєстрацію, а в разі потреби повторно зареєструвати.

Центр даних у режимі очікування для відновлення після відмови

Під час розгортання ви налаштували безпечний центр обробки даних у режимі очікування. У разі несправності центру обробки даних ви можете вручну не виконувати перехід до центру обробки даних у режимі очікування.

Перед аварійним переходом центр обробки даних A має активні вузли HDS і основну базу даних PostgreSQL або Microsoft SQL Server, тоді як B має копію файлу ISO з додатковими конфігураціями, зареєстрованими в організації VM, і базу даних у режимі очікування. Після аварійного перемикання центр обробки даних B має активні вузли HDS і основну базу даних, тоді як A має незареєстровані VM і копію файлу ISO, а база даних перебуває в режимі очікування.
Ручне аварійне перемикання на центр обробки даних у режимі очікування

Бази даних активних та резервних центрів обробки даних синхронізуються один з одним, що дозволить мінімізувати час, необхідний для виконання аварійного перемикання.

Активні вузли гібридної безпеки даних завжди мають бути в тому самому центрі обробки даних, що й активний сервер бази даних.

Підтримка проксі

Гібридна безпека даних підтримує явні, прозорі перевірки та неінспектування проксі. Ви можете прив'язати ці проксі до свого розгортання, щоб ви могли захищати та контролювати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для управління сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

Гібридні вузли захисту даних підтримують такі параметри проксі-сервера:

  • Немає проксі— За замовчуванням, якщо для інтеграції проксі не використовується налаштування вузла HDS Store і Proxy. Оновлення сертифіката не потрібне.

  • Прозорий неінспекційний проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін до роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.

  • Прозоре тунелювання чи інспектування проксі— вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах не потрібні зміни конфігурації HTTP або HTTPS. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

  • Явний проксі. За допомогою явного проксі-сервера вузлам HDS слід визначити, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі, необхідно ввести наступну інформацію на кожному вузлі:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

      • HTTP — Перегляд і контроль усіх запитів, які надсилає клієнт.

      • HTTPS — забезпечує канал серверу. Клієнт отримує та перевіряє сертифікат сервера.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно, лише якщо в якості проксі-протоколу вибрано протокол HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

Приклад гібридних вузлів безпеки даних і проксі-сервера

На цій схемі наведено приклад підключення між гібридною безпекою даних, мережею та проксі-сервером. Для прозорої перевірки та явної перевірки параметрів проксі-сервера HTTPS на проксі-сервері та на вузлах гібридної безпеки даних повинен бути встановлений той самий кореневий сертифікат.

Заблокований зовнішній режим роздільної здатності DNS (явні конфігурації проксі)

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. У розгортаннях з явними конфігураціями проксі-сервера, які не дозволяють зовнішню роздільну здатність DNS для внутрішніх клієнтів, якщо вузол не може запитувати DNS-сервери, він автоматично переходить у режим блокування зовнішньої роздільної здатності DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести проксі-підключення.

Підготовка середовища

Вимоги до гібридної безпеки даних із кількома клієнтами

Вимоги до ліцензії Cisco Webex

Щоб розгорнути безпеку гібридних даних із кількома клієнтами, виконайте наведені нижче дії.

  • Партнерські організації: Зверніться до партнера Cisco або менеджера облікового запису й переконайтеся, що функцію кількох клієнтів увімкнено.

  • Організації осередків: Необхідно мати професійний пакет для Cisco Webex Control Hub. (Див. https://www.cisco.com/go/pro-pack.)

Вимоги до робочого стола Docker

Перш ніж установити вузли HDS, необхідно Docker Desktop, щоб запустити програму встановлення. Docker нещодавно оновив свою ліцензійну модель. Ваша організація може вимагати платну підписку на Docker Desktop. Для отримання детальної інформації див. допис у блозі Docker "Docker оновлює та розширює підписку на наш продукт".

Вимоги до сертифіката X.509

Ланцюжок сертифікатів повинен відповідати таким вимогам:

Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

Вимоги

Відомості

  • Підписано довіреним центром сертифікації (CA)

За замовчуванням ми довіряємо ценам у списку Mozilla (за винятком WoSign і StartCom) за адресою https://wiki.mozilla.org/CA:IncludedCAs.

  • Має доменне ім’я (CN), яке ідентифікує розгортання гібридної безпеки даних.

  • Не є сертифікатом узагальнення

CN не обов’язково бути доступним або організатором у режимі реального часу. Ми рекомендуємо використовувати ім’я, що відображає вашу організацію, наприклад hds.company.com.

CN не має містити символ * (узагальнення).

CN використовується для перевірки вузлів гібридної безпеки даних клієнтам програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, визначеного в полях SAN x.509v3.

Після реєстрації вузла з цим сертифікатом зміна доменного імені CN не підтримується.

  • Підпис без SHA1

Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключення до KMS інших організацій.

  • Відформатований як файл PKCS #12 із захищеним паролем

  • Використовуйте дружнє ім’я kms-private-key , щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.

Щоб змінити формат сертифіката, можна використовувати перетворювач, наприклад OpenSSL.

Вам потрібно буде ввести пароль, коли ви запустите інструмент налаштування HDS.

Програмне забезпечення KMS не вимагає використання ключів або розширених обмежень використання ключів. Деякі органи сертифікації вимагають, щоб до кожного сертифіката застосовувалися розширені обмеження використання ключа, як-от автентифікація сервера. Цілком нормально використовувати автентифікацію сервера або інші налаштування.

Вимоги до віртуального організатора

Віртуальні вузли, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері, мають такі вимоги:

  • Принаймні два окремих хоста (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

  • VMware ESXi 7.0 (або пізнішої версії) встановлено та запущено.

    Необхідно оновити версію, якщо у вас попередня версія ESXi.

  • Мінімум 4 вЦП, 8 ГБ основної пам’яті, 30 ГБ локального жорсткого диска на сервер

Вимоги до сервера бази даних

Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

Для сервера бази даних існує два параметри. Вимоги до кожного з них такі:

Таблиця 2. Вимоги до сервера бази даних за типом бази даних

Postgre SQL

Сервер Microsoft SQL

  • PostgreSQL 14, 15 або 16, встановлено та запущено.

  • Встановлено SQL Server 2016, 2017, 2019 або 2022 (корпоративний або стандартний).

    SQL Server 2016 вимагає пакета оновлень 2 та кумулятивного оновлення 2 або пізнішої версії.

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Програмне забезпечення HDS зараз установлює такі версії драйверів для зв’язку з сервером бази даних:

Postgre SQL

Сервер Microsoft SQL

Postgres драйвер JDBC 42.2.5

Драйвер JDBC SQL Server 4.6

Ця версія драйвера підтримує SQL Server Always On (Завжди ввімкнені екземпляри аварійного перемикання кластерів і Always On групи доступності).

Додаткові вимоги до автентифікації Windows проти Microsoft SQL Server

Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для доступу до вашої бази даних ключів на Microsoft SQL Server, то у вашому середовищі потрібна така конфігурація:

  • Вузли HDS, інфраструктуру Active Directory і MS SQL Server мають бути синхронізовані з NTP.

  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ до бази даних для читання та запису.

  • DNS-сервери, які ви надаєте вузлам HDS, повинні мати змогу вирішити ваш центр розподілу ключів (KDC).

  • Можна зареєструвати екземпляр бази даних HDS на сервері Microsoft SQL як основне ім’я служби (SPN) в Active Directory. Див. розділ Реєстрація імені головної служби для з’єднань Kerberos.

    Засіб налаштування HDS, засіб запуску HDS та локальний KMS — усі необхідні для використання автентифікації Windows для доступу до бази даних сховища ключів. Вони використовують відомості з конфігурації ISO для побудови SPN під час запиту доступу за допомогою автентифікації Kerberos.

Вимоги до зовнішнього з’єднання

Налаштуйте брандмауер, щоб дозволити таке підключення для програм HDS:

Застосування

Протокол

Порт

Напрямок з програми

Призначення

Вузли гібридної безпеки даних

TCP

443

Вихідні HTTPS і WSS

  • Сервери Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Усі організатори Common Identity

  • Інші URL-адреси, перелічені для гібридної безпеки даних у таблиці «Додаткові URL-адреси для гібридних служб Webex»«Вимоги до мережі для служб Webex»

Інструмент налаштування HDS

TCP

443

Вихідний HTTPS

  • *.wbx2.com

  • Усі організатори Common Identity

  • hub.docker.com

Вузли гібридної безпеки даних працюють із перекладом мережевого доступу (NAT) або за брандмауером, доки NAT або брандмауер дозволяють необхідні вихідні з’єднання з адресами домену, наведеними в попередній таблиці. Для з’єднань, які надходять на вхідні дані до вузлів гібридної безпеки даних, порти не повинні відображатися з інтернету. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

URL-адреси для хостів Common Identity (CI) притаманні регіонам. Це поточні організатори CI:

Регіон

URL-адреси загальних ідентифікаційних ресурсів

Північна та Південна Америки

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Європейський Союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сінгапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Об’єднані Арабські Емірати

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Вимоги до проксі-сервера

  • Ми офіційно підтримуємо наступні проксі-рішення, які можуть інтегруватися з вашими вузлами гібридної безпеки даних.

  • Ми підтримуємо такі комбінації типів автентифікації для явних проксі:

    • Немає автентифікації за допомогою HTTP або HTTPS

    • Базова автентифікація за допомогою HTTP або HTTPS

    • Автентифікація дайджесту лише за допомогою ПРОТОКОЛУ HTTPS

  • Для прозорої перевірки проксі-сервера або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі-сервера. Інструкції з розгортання в цьому посібнику розповідають, як завантажити копію в надійні сховища вузлів гібридної безпеки даних.

  • Мережа, в якій розміщуються вузли HDS, повинна бути налаштована на примусове витіснення TCP-трафіку на порту 443 для маршрутизації через проксі.

  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з'єднанню веб-сокетів. При виникненні даної проблеми проблему вирішить обхід (не огляд) трафіку на wbx2.com і ciscospark.com .

Виконати передумови для гібридної безпеки даних

Використовуйте цей контрольний список, щоб переконатися, що ви готові встановити та налаштувати кластер гібридної безпеки даних.
1

Переконайтеся, що в партнерській організації ввімкнено функцію HDS для кількох клієнтів, і отримайте облікові дані облікового запису з повним адміністратором партнера та повними правами адміністратора. Переконайтеся, що в організації клієнта Webex увімкнено пакет Pro Pack для Cisco Webex Control Hub. Зверніться до партнера Cisco або менеджера облікового запису по допомогу в цьому процесі.

Організації клієнтів не повинні мати наявне розгортання HDS.

2

Виберіть доменне ім’я для розгортання HDS (наприклад, hds.company.com) і отримайте ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ та будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам Вимог до сертифіката X.509.

3

Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері. Потрібно принаймні два окремих організатори (рекомендовано 3), розташовані в одному захищеному центрі обробки даних, які відповідають вимогам Вимог до віртуального організатора.

4

Підготуйте сервер бази даних, який діятиме як сховище ключових даних для кластера, відповідно до вимог сервера бази даних. Сервер бази даних має бути розташовано в захищеному центрі обробки даних із віртуальними організаторами.

  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Після встановлення програми HDS створюють схему бази даних.)

  2. Зберіть деталі, які будуть використовувати вузли для зв’язку з сервером бази даних:

    • ім’я хоста або IP-адреса (хост) і порт

    • ім’я бази даних (dbname) для сховища ключів

    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

5

Для швидкого відновлення після відмови налаштуйте резервне середовище в іншому центрі обробки даних. Середовище резервного копіювання відображає середовище виробництва VM і сервер резервної бази даних. Наприклад, якщо у виробництві є 3 VM, які працюють вузли HDS, резервне середовище має мати 3 VM.

6

Налаштуйте хост syslog, щоб збирати журнали з вузлів у кластері. Зберіть його мережеву адресу та порт системного журналу (за замовчуванням — UDP 514).

7

Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста syslog. Як мінімум, щоб запобігти невиправній втраті даних, потрібно створити резервну копію бази даних і файл ISO конфігурації, створений для вузлів гібридної безпеки даних.

Оскільки вузли гібридної безпеки даних зберігають ключі, які використовуються для шифрування та дешифрування контенту, невдача підтримки оперативного розгортання призведе до НЕЗВОРОТНОЇ ВТРАТИ цього контенту.

Клієнти програми Webex ховають свої ключі, тому перебої в роботі можуть бути непомітні, але з часом ставати очевидними. Хоча тимчасові перебої неможливо запобігти, вони можуть бути відновлені. Однак повна втрата (резервних копій відсутні) файлу бази даних або ISO конфігурації призведе до незворотних даних клієнтів. Очікується, що оператори вузлів гібридної безпеки даних підтримуватимуть часті резервні копії бази даних та файлу конфігурації ISO, а також будуть готові відновити центр обробки даних гібридної безпеки даних у разі виникнення катастрофічного відмови.

8

Переконайтеся, що конфігурація брандмауера дозволяє підключення для вузлів гібридної безпеки даних, як описано в розділі Вимоги до зовнішнього з’єднання.

9

Установіть Docker ( https://www.docker.com) на будь-якому локальному комп’ютері, який працює на підтримуваній ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядній версії або Mac OSX Yosemite 10.10.3 або новіша версія) із веббраузером, який може отримати доступ до нього на сторінці http://127.0.0.1:8080.

Екземпляр Docker використовується для завантаження та запуску інструменту налаштування HDS, який збирає інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Можливо, потрібна ліцензія Docker Desktop. Додаткову інформацію див. в розділі Вимоги до робочого стола Docker .

Щоб установити й запустити інструмент налаштування HDS, локальний комп’ютер повинен мати параметр підключення, описаний у розділі Вимоги до зовнішнього підключення.

10

Під час інтеграції проксі з гібридною безпекою даних переконайтеся, що він відповідає вимогам до проксі-сервера.

Налаштувати кластер гібридної безпеки даних

Процес розгортання гібридної безпеки даних

Перш ніж почати

1

Виконати початкове налаштування та завантажити файли інсталяції

Завантажте файл OVA на локальний комп’ютер для подальшого використання.

2

Створити ISO конфігурації для хостів HDS

Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

3

Установити OVA організатора HDS

Створіть віртуальну машину з файлу OVA та виконайте початкову конфігурацію, наприклад налаштування мережі.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 7.0. Цей параметр може бути недоступний у попередніх версіях.

4

Налаштувати VM гібридної безпеки даних

Увійдіть до консолі VM і встановіть облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо їх не було налаштовано на момент розгортання OVA.

5

Вивантажити та змонтувати ISO конфігурації HDS

Налаштуйте VM із файлу конфігурації ISO, який ви створили за допомогою інструменту налаштування HDS.

6

Налаштування вузла HDS для інтеграції проксі

Якщо мережеве середовище потребує конфігурації проксі, укажіть тип проксі, який буде використовуватися для вузла, а в разі потреби додайте проксі-сертифікат до сховища довірених сертифікатів.

7

Зареєструвати перший вузол у кластері.

Зареєструйте VM із хмарою Cisco Webex як вузол гібридної безпеки даних.

8

Створити й зареєструвати більше вузлів

Завершіть налаштування кластера.

9

Активуйте HDS із підтримкою кількох клієнтів у Партнерському центрі.

Активуйте HDS і керуйте організаціями клієнтів у Партнерському центрі.

Виконати початкове налаштування та завантажити файли інсталяції

У цьому завданні ви завантажуєте файл OVA на комп’ютер (не на сервери, налаштовані як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.

1

Увійдіть до концентратора партнера й клацніть Служби.

2

У розділі «Хмарні служби» знайдіть картку гібридної безпеки даних, а потім клацніть Налаштувати.

Натискання Налаштувати в партнерському центрі має критичне значення для процесу розгортання. Не продовжуйте встановлення, не виконавши цей крок.

3

Клацніть Додати ресурс і клацніть Завантажити файл OVA на картці встановлення та налаштування програмного забезпечення .

Старіші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до виникнення проблем під час оновлення версії програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

OVA також можна завантажити будь-коли з розділу Довідка . Клацніть Налаштування > Довідка > Завантажити програмне забезпечення гібридної безпеки даних.

Файл OVA автоматично розпочне завантаження. Збережіть файл у розташуванні на комп’ютері.
4

Додатково клацніть Переглянути посібник із розгортання гібридної безпеки даних , щоб перевірити, чи доступна пізніша версія цього посібника.

Створити ISO конфігурації для хостів HDS

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

Перш ніж почати
1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO ви маєте такі параметри:

  • Ні. Якщо ви створюєте перший вузол HDS, у вас немає файлу ISO для передавання.
  • Так. Якщо ви вже створили вузли HDS, виберіть у браузері файл ISO й передайте його.
10

Переконайтеся, що сертифікат X.509 відповідає вимогам Вимогам до сертифіката X.509.

  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити.
  • Якщо сертифікат OK, клацніть Продовжити.
  • Якщо термін дії сертифіката завершився або ви хочете замінити його, виберіть Ні , щоб Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO?. Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити.
11

Введіть адресу бази даних та обліковий запис HDS, щоб отримати доступ до свого сервера ключових даних:

  1. Виберіть тип бази даних (PostgreSQL або Microsoft SQL Server).

    Якщо вибрати Microsoft SQL Server, буде отримано поле типу автентифікації.

  2. (тільки Microsoft SQL Server ) Виберіть тип автентифікації:

    • Базова автентифікація: Потрібне локальне ім’я облікового запису SQL Server у полі Ім’я користувача .

    • Автентифікація Windows: Потрібен обліковий запис Windows у форматі username@DOMAIN у полі Ім’я користувача .

  3. Введіть адресу сервера бази даних у формі : або :.

    Приклад:
    dbhost.example.org:1433 або 198.51.100.17:1433

    Для базової автентифікації можна використовувати IP-адресу, якщо вузли не можуть використовувати DNS для вирішення імені хоста.

    Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433

  4. Введіть ім’я бази даних.

  5. Введіть ім’я користувача й пароль користувача з усіма правами у базі даних сховища ключів.

12

Виберіть режим підключення до бази даних TLS:

Режим

Опис

Віддавати перевагу TLS (параметр за замовчуванням)

Вузли HDS не потребують TLS для з 'єднання з сервером бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли спробують зашифроване з’єднання.

Вимагати TLS

Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

Вимагати TLS і перевірити підписувача сертифіката

Цей режим не застосовується до баз даних SQL Server.

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Вимагати TLS і перевірити особу, яка підписала сертифікат, і назву вузла

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

  • Вузли також перевіряють, чи ім’я хоста в сертифікаті сервера збігається з ім’ям хоста в полі Хост бази даних і порт . Імена повинні точно збігатися, або вузол скасує з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Коли передано кореневий сертифікат (за потреби) і клацніть Продовжити, інструмент налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє особу, яка підписала сертифікат, і назву вузла, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності здатності до з’єднання вузли HDS зможуть встановити підключення TLS, навіть якщо машина інструмента налаштування HDS не може його успішно перевірити.)

13

На сторінці системних журналів налаштуйте сервер Syslogd:

  1. Введіть URL-адресу сервера syslog.

    Якщо сервер DNS-розв’язний із вузлів для кластера HDS, використайте IP-адресу в URL.

    Приклад:
    udp://10.92.43.23:514 вказує на вхід до хоста Syslogd 10.92.43.23 на порту UDP 514.

  2. Якщо ви налаштували сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер syslog для шифрування SSL?.

    Якщо встановити цей прапорець, обов’язково введіть URL-адресу TCP, наприклад tcp://10.92.43.23:514.

  3. У розкривному списку Вибрати завершення запису syslog виберіть відповідні налаштування для вашого файлу ISO: Виберіть або використовується нова лінія для Graylog і Rsyslog TCP

    • Нульовий байт --\ x00

    • Новий рядок -- \n- Виберіть цей вибір для Graylog і Rsyslog TCP.

  4. Клацніть Продовжити.

14

(Необов’язково) Ви можете змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Додаткові налаштування. Загалом, цей параметр є єдиним, який ви можете змінити:

app_datasource_connection_pool_maxРозмір: 10
15

Клацніть Продовжити на екрані Скинути пароль облікових записів служби .

Паролі облікового запису служби тривають дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів добігає кінця, або ви хочете скинути їх, щоб скасувати попередні файли ISO.

16

Клацніть Завантажити файл ISO. Збережіть файл у зручному для пошуку розташуванні.

17

Зробіть резервну копію файлу ISO у локальній системі.

Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

18

Щоб закрити інструмент налаштування, введіть CTRL+C.

Що далі

Створіть файл ISO конфігурації. Він потрібен для створення більше вузлів для відновлення або для внесення змін до конфігурації. Якщо ви втратите всі копії файлу ISO, ви також втратили основний ключ. Неможливо відновити ключі з бази даних PostgreSQL або Microsoft SQL Server.

У нас ніколи не буде копії цього ключа, і ми не зможемо допомогти, якщо ви його втратите.

Установити OVA організатора HDS

Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi.

2

Виберіть Файл > Розгорнути шаблон OVF.

3

У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі.

4

На сторінці Вибрати ім’я та папку введіть Ім’я віртуальної машини для вузла (наприклад, "HDS_Node_1"), виберіть розташування, де може розміщуватися розгортання вузла віртуальної машини, а потім клацніть Далі.

5

На сторінці Вибрати обчислювальний ресурс , виберіть обчислювальний ресурс призначення, а потім клацніть Далі.

Виконується перевірка перевірки. Після його завершення деталі шаблону з’являться.

6

Перевірте відомості про шаблон, а потім клацніть Далі.

7

Якщо вас попросять вибрати конфігурацію ресурсу на сторінці Конфігурація , клацніть 4 ЦП , а потім клацніть Далі.

8

На сторінці Вибрати сховище клацніть Далі , щоб прийняти формат диска за замовчуванням і політику зберігання VM.

9

На сторінці Вибрати мережі виберіть параметр мережі зі списку записів, щоб забезпечити потрібне підключення до VM.

10

На сторінці Налаштувати шаблон налаштуйте такі налаштування мережі.

  • Ім’я хоста—Введіть повне доменне ім’я (ім’я хоста та домен) або ім’я хоста з одним словом для вузла.

    • Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

    • Щоб забезпечити успішну реєстрацію в хмару, використовуйте лише малі символи в повному домені або імені хоста, налаштованому для вузла. Капіталізація наразі не підтримується.

    • Загальна довжина повного домену не повинна перевищувати 64 символи.

  • IP-адреса— введіть IP-адресу для внутрішнього інтерфейсу вузла.

    Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

  • Маска—Введіть адресу маски підмережі в крапку з комою. Наприклад, 255.255.255.0.
  • Шлюз—Введіть IP-адресу шлюзу. Шлюз – це мережевий вузол, який служить точкою доступу до іншої мережі.
  • Сервери DNS — введіть список, розділений комами, список DNS-серверів, який обробляє перетворення доменних імен на числові IP-адреси. (Дозволено до 4 записів DNS.)
  • Сервери NTP—Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Також можна використовувати список розділених комами, щоб ввести кілька серверів NTP.

  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними від клієнтів у вашій мережі для адміністративних цілей.

За бажанням можна пропустити конфігурацію налаштування мережі та виконати кроки в розділі Налаштування VM гібридної безпеки даних , щоб налаштувати параметри з консолі вузла.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 7.0. Цей параметр може бути недоступний у попередніх версіях.

11

Клацніть правою кнопкою миші вузол VM, а потім виберіть Power > Power On.

Програмне забезпечення гібридної безпеки даних встановлюється як гість на хост VM. Тепер ви готові увійти до консолі й налаштувати вузол.

Поради щодо усунення несправностей

Перед появою контейнерів вузла може знадобитися затримка в кілька хвилин. Під час першого завантаження на консолі з’являється повідомлення брандмауера мосту, під час якого ви не можете ввійти.

Налаштувати VM гібридної безпеки даних

Використовуйте цю процедуру, щоб вперше увійти на консоль вузла гібридної безпеки даних VM і встановити облікові дані для входу. Крім того, можна використовувати консоль для налаштування мережевих параметрів для вузла, якщо їх не було налаштовано під час розгортання OVA.

1

У клієнті VMware vSphere виберіть вузол гібридної безпеки даних VM і перейдіть на вкладку Консоль .

VM завантажується, і з’явиться підказка для входу. Якщо вікно підказки не відображається, натисніть Enter.
2

Щоб увійти й змінити облікові дані, використовуйте наведені нижче дані для входу та пароля за замовчуванням:

  1. Вхід: адміністратор

  2. Пароль: Cisco

Оскільки ви вперше входите в VM, вам потрібно змінити пароль адміністратора.

3

Якщо ви вже налаштували налаштування мережі в Установити OVA хоста HDS, пропустіть решту цієї процедури. В іншому разі в головному меню виберіть параметр Змінити конфігурацію .

4

Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

5

(Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно відповідно до політики мережі.

Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

6

Збережіть конфігурацію мережі та перезавантажте VM, щоб зміни набули сили.

Вивантажити та змонтувати ISO конфігурації HDS

Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою інструмента налаштування HDS.

Перед початком

Оскільки файл ISO має основний ключ, він повинен бути розкритий лише на основі "потрібно знати" для доступу VM гібридної безпеки даних і будь-яких адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

1

Передайте файл ISO зі свого комп’ютера:

  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

  2. На вкладці Конфігурація Список обладнання клацніть Сховище.

  3. У списку Datastors клацніть правою кнопкою миші на станції даних для ваших VM і клацніть Browse Datastore.

  4. Клацніть значок «Передати файли», а потім Передати файл.

  5. Перейдіть до розташування, де ви завантажили файл ISO на свій комп’ютер, і клацніть Відкрити.

  6. Клацніть Так , щоб прийняти попередження операції передавання/завантаження, і закрийте діалогове вікно сховища даних.

2

Змонтувати файл ISO:

  1. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  2. Клацніть ОК , щоб прийняти попередження про обмежені параметри редагування.

  3. Клацніть Диск CD/DVD 1, виберіть параметр для змонтування з файлу ISO зі сховища даних і перейдіть до розташування, де передано файл ISO конфігурації.

  4. Перевірте Підключено та Підключитися при увімкненні живлення.

  5. Збережіть зміни та перезавантажте віртуальну машину.

Що далі

Якщо потрібна ваша політика ІТ, ви можете додатково демонтувати файл ISO після того, як всі вузли дослухаються змін конфігурації. Див. (Необов’язково) Демонтування ISO після конфігурації HDS , щоб отримати додаткові відомості.

Налаштування вузла HDS для інтеграції проксі

Якщо для мережного середовища потрібен проксі-сервер, скористайтеся цією процедурою, щоб указати тип проксі-сервера, який потрібно інтегрувати з hybrid Data Security. Якщо ви виберете прозорий проксі-сервер перевірки або явний проксі-сервер HTTPS, ви можете використовувати інтерфейс вузла для завантаження та встановлення кореневого сертифіката. Ви також можете перевірити проксі-з'єднання з інтерфейсу та усунути будь-які потенційні проблеми.

Перш ніж почати

1

Введіть URL-адресу для настроювання вузла HDS https://[IP-адреса вузла HDS або FQDN]/setup у веб-браузері, введіть облікові дані адміністратора, які ви налаштували для вузла, а потім натисніть кнопку Увійти.

2

Перейдіть до Надійного магазину та проксі-сервера, а потім виберіть параметр:

  • Немає проксі— параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібне.
  • Прозорий неінспекційний проксі—вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін для роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.
  • Прозорий проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних не потрібні зміни конфігурації HTTPS, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі-серверу. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
  • Явний проксі — за допомогою явного проксі-сервера клієнту (вузли HDS) можна вказати, який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести такі відомості:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — виберіть http (переглядає та контролює всі запити, отримані від клієнта) або https (надає канал на сервер, клієнт отримує та перевіряє сертифікат сервера). Виберіть варіант, виходячи з того, що підтримує ваш проксі-сервер.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно для проксі HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно для проксі HTTP або HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно лише для проксі HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

Виконайте наступні кроки для прозорої перевірки проксі-сервера, явного HTTP-проксі з базовою автентифікацією або явного проксі-сервера HTTPS.

3

Клацніть « Завантажити кореневий сертифікат» або «Завершити сертифікатсутності», а потім перейдіть до вибору кореневого сертифіката для проксі-сервера.

Сертифікат завантажено, але ще не інстальовано, оскільки для встановлення сертифіката потрібно перезавантажити вузол. Клацніть стрілку шеврона біля імені емітента сертифіката, щоб отримати докладніші відомості, або натисніть кнопку Видалити , якщо ви припустилися помилки та хочете повторно завантажити файл.

4

Натисніть кнопку Перевірити підключення до проксі, щоб перевірити підключення до мережі між вузлом і проксі-сервером.

Якщо тест підключення не пройшов, ви побачите повідомлення про помилку, у якому вказано причину та способи усунення проблеми.

Якщо ви бачите повідомлення про те, що зовнішня роздільна здатність DNS не була успішною, вузол не зміг дістатися до DNS-сервера. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол буде працювати в режимі роздільної здатності заблокованих зовнішніх DNS. Якщо ви вважаєте, що це помилка, виконайте наведені дії, а потім перегляньте Вимкнути режим роздільної здатності заблокованих зовнішніх DNS.

5

Після того, як тест з'єднання пройде, для явного проксі-сервера, встановленого лише на https, увімкніть перемикач до Маршрутизація всіх запитів порту 443/444 https з цього вузла через явний проксі. Для набрання чинності цим параметром потрібно 15 секунд.

6

Натисніть кнопку Інсталювати всі сертифікати в надійний магазин (відображається для проксі-сервера HTTPS відвертої перевірки або прозорого проксі-сервера для перевірки) або Перезавантажити (відображається для явного проксі-сервера HTTP), прочитайте запит і натисніть кнопку Інсталювати , якщо все готово.

Вузол перезавантажується протягом декількох хвилин.

7

Після перезавантаження вузла увійдіть знову, якщо потрібно, а потім відкрийте сторінку Огляду , щоб перевірити перевірки підключення, щоб переконатися, що всі вони в зеленому стані.

Перевірка проксі-з'єднання лише тестує субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі хмарні домени, перелічені в інструкціях з інсталяції, блокуються на проксі-сервері.

Зареєструвати перший вузол у кластері.

Для цього завдання потрібен універсальний вузол, який ви створили в Налаштування VM гібридної безпеки даних, реєструє вузол із хмарою Webex і перетворює його в вузол гібридної безпеки даних.

Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначений вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Налаштувати.

4

На сторінці, що відкривається, клацніть Додати ресурс.

5

У першому полі Додати вузол введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних.

Рекомендовано назвати кластер залежно від місця географічного розташування вузлів кластера. Приклади: "Сан-Франциско" або "Нью-Йорк" або "Даллас"

6

У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Додати внизу екрана.

Ця IP-адреса або повне доменне ім’я хоста й домен, які використовувалися в Налаштуванні VM гібридної безпеки даних.

З’явиться повідомлення, що вказує на те, що можна зареєструвати свій вузол у Webex.
7

Клацніть Перейти до вузла.

Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації Webex дозволи на доступ до вашого вузла.

8

Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.
9

Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

На сторінці Гібридна безпека даних новий кластер, що містить зареєстрований вами вузол, буде відображено на вкладці Ресурси . Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

Створити й зареєструвати більше вузлів

Щоб додати додаткові вузли до кластера, просто створіть додаткові VM і змонтуйте той самий файл ISO конфігурації, а потім зареєструйте вузол. Рекомендовано мати принаймні 3 вузли.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Створіть нову віртуальну машину з OVA, повторюючи кроки в Установити OVA організатора HDS.

2

Налаштуйте початкову конфігурацію на новому VM, повторюючи кроки в Налаштуванні VM гібридної безпеки даних.

3

У новому VM повторіть кроки в Передати та змонтувати ISO конфігурації HDS.

4

Якщо ви налаштовуєте проксі для розгортання, повторіть кроки в Налаштуйте вузол HDS для інтеграції проксі , як це необхідно для нового вузла.

5

Зареєструйте вузол.

  1. У https://admin.webex.com виберіть Служби в меню ліворуч від екрана.

  2. У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Переглянути всі.

    З’явиться сторінка ресурсів гібридної безпеки даних.

  3. Щойно створений кластер відобразиться на сторінці Ресурси .

  4. Клацніть кластер, щоб переглянути вузли, призначені до кластера.

  5. Клацніть Додати вузол у правій частині екрана.

  6. Введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та натисніть Додати.

    Відкривається сторінка з повідомленням про те, що ви можете зареєструвати свій вузол у хмарі Webex. Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації дозволи на доступ до вашого вузла.

  7. Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

    Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.

  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

    Доданий вузол спливаюче повідомлення також відображається внизу екрана в Партнерському центрі.

    Ваш вузол зареєстровано.

Керування організаціями клієнтів у розділі гібридної безпеки даних із підтримкою кількох клієнтів

Активувати HDS із підтримкою кількох клієнтів у Партнерському центрі

Це завдання гарантує, що всі користувачі в організації клієнта зможуть почати використовувати HDS для локальних ключів шифрування та інших служб безпеки.

Перед початком

Переконайтеся, що ви завершили налаштування кластера HDS із кількома клієнтами з необхідною кількістю вузлів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

4

Клацніть Активувати HDS на картці стану HDS .

Додати організації осередків у партнерський центр

У цьому завданні призначаються організації клієнтів до кластера гібридної безпеки даних.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

Клацніть кластер, до якого ви хочете призначити клієнта.

5

Перейдіть на вкладку Призначені клієнти .

6

Клацніть Додати клієнтів.

7

Виберіть клієнта, якого потрібно додати з розкривного меню.

8

Клацніть Додати, клієнта буде додано до кластера.

9

Повторіть кроки 6–8, щоб додати декілька клієнтів до кластера.

10

Клацніть Готово внизу екрана після додавання клієнтів.

Що далі

Запустіть інструмент налаштування HDS, як докладніше описано в розділі Створити головні ключі клієнта (CMK), використовуючи інструмент налаштування HDS , щоб завершити процес налаштування.

Створити головні ключі клієнта (CMK) за допомогою інструмента налаштування HDS

Перед початком

Призначте клієнтів до відповідного кластера, як детально описано в Додати організації клієнтів у Партнерському центрі. Запустіть інструмент налаштування HDS, щоб завершити процес налаштування для нещодавно доданих клієнтських організацій.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

Переконайтеся, що підключення до бази даних для виконання керування CMK.
11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Створити CMK для всіх організацій або Створити CMK . Натисніть цю кнопку на банері вгорі екрана, щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Створити CMK , щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть … біля керування CMK, що очікує стан конкретної організації в таблиці, і клацніть Створити CMK , щоб створити CMK для цієї організації.
12

Після успішного створення CMK стан у таблиці буде змінено з очікування керування CMK на кероване CMK.

13

Якщо не вдалося створити CMK, буде відображено помилку.

Видалити організації осередків

Перед початком

Після видалення користувачі організацій клієнтів не зможуть використовувати HDS для потреб шифрування та втратять усі наявні простори. Перш ніж видалити організації клієнтів, зверніться до партнера Cisco або менеджера облікових записів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

На вкладці Ресурси клацніть кластер, з якого потрібно видалити організації клієнтів.

5

На сторінці, що відкривається, клацніть Призначені клієнти.

6

У списку відображуваних організацій клієнта клацніть ... праворуч від організації клієнта, яку потрібно видалити, і клацніть Видалити з кластера.

Що далі

Завершіть процес видалення, відкликавши CMK організацій клієнтів, як описано в розділі Відкликання CMK клієнтів, видалених із HDS.

Відкликайте CMK клієнтів, видалених з HDS.

Перед початком

Видаліть клієнтів із відповідного кластера, як описано в розділі Видалити організації клієнтів. Запустіть інструмент налаштування HDS, щоб завершити процес видалення для організацій клієнтів, які були видалені.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Відкликати CMK для всіх організацій або Відкликати CMK . Натисніть цю кнопку на банері вгорі екрана, щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Відкликати CMK , щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть біля CMK, щоб відкликати стан конкретної організації в таблиці, і клацніть Відкликати CMK , щоб відкликати CMK для цієї конкретної організації.
12

Після успішного відкликання CMK організація клієнта більше не відображатиметься в таблиці.

13

Якщо скасування CMK не вдасться, буде відображено помилку.

Протестуйте розгортання гібридної безпеки даних

Перевірити розгортання гібридної безпеки даних

Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних для кількох клієнтів.

Перед початком

  • Налаштуйте розгортання гібридної безпеки даних із кількома клієнтами.

  • Упевніться, що у вас є доступ до syslog, щоб переконатися, що запити ключів передаються до розгортання гібридної безпеки даних із кількома клієнтами.

1

Ключі для певного простору встановлюються його творцем. Увійдіть в програму Webex як один із користувачів організації клієнта, а потім створіть простір.

Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюються користувачами, більше не буде доступний після заміни кешованих клієнтом копій ключів шифрування.

2

Надішліть повідомлення до нового простору.

3

Перевірте вивід syslog, щоб переконатися, що запити ключів передаються розгортанню гібридної безпеки даних.

  1. Щоб перевірити, чи користувач спочатку встановив безпечний канал для KMS, виконайте фільтрування на kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Ви повинні знайти запис, наприклад такий (ідентифікатори скорочено для зручності читання):
    21 липня 2020 р. 17:35:34.562 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: // hds2. org5. portun. us/ statickeys/ 3[~]0 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2. org5. portun. us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data. uri=kms://hds2. org5. portun. us/ecdhe, kms.data.userId=0[~]2

  2. Щоб перевірити, чи користувач запитує наявний ключ із KMS, виконайте фільтрування у розділі kms.data.method=retrieve і kms.data.type=KEY:

    Необхідно знайти запис, наприклад:
    21 липня 2020 р. 17:44:19.889 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-31] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms. data. method=retrieve, kms. merc.id=c[~]7, kms. merc.sync=false, kms. data. uriHost=ciscospark. com, kms. data. type=KEY, kms. data. requestId=9[~]3, kms. data. uri=kms://ciscospark. com/keys/ d[~]2, kms. data. userId=1[~]b

  3. Щоб перевірити, чи користувач запитує створення нового ключа KMS, виконайте фільтрування у розділі kms.data.method=create і kms.data.type=KEY_COLLECTION:

    Необхідно знайти запис, наприклад:
    21 липня 2020 р. 17:44:21.975 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-33] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data. uri=/keys, kms.data.userId=1[~]b

  4. Щоб перевірити, чи користувача, який запитує створення нового ресурсного об’єкта KMS (KRO) під час створення простору або іншого захищеного ресурсу, виконайте фільтрування у розділі kms.data.method=create та kms.data.type=RESOURCE_COLLECTION:

    Необхідно знайти запис, наприклад: 
    21 липня 2020 р. 17:44:22.808 (+0000) ІНФОРМАЦІЯ KMS [pool-15-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Моніторинг гібридної безпеки даних

Індикатор стану в Партнерському центрі показує, чи все гаразд із розгортанням гібридної безпеки даних для кількох клієнтів. Щоб підвищити активність оповіщень, зареєструйтеся в сповіщеннях електронною поштою. Ви отримаєте сповіщення, якщо з’являться попередження, які впливають на службу, або оновлення версії програмного забезпечення.
1

У Партнерському центрі виберіть Служби в меню зліва екрана.

2

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

З’явиться сторінка параметрів гібридної безпеки даних.
3

У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділених комами, і натисніть Enter.

Керуйте розгортанням HDS

Керування розгортанням HDS

Для керування розгортанням гібридної безпеки даних використовуйте завдання, описані тут.

Установити розклад оновлення кластера.

Оновлення версії програмного забезпечення для гібридної безпеки даних здійснюється автоматично на рівні кластера, завдяки чому всі вузли завжди працюють одну й ту саму версію програмного забезпечення. Оновлення версії здійснюється відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стане доступним, у вас є можливість вручну оновити версію до запланованого часу оновлення версії. Можна встановити конкретний розклад оновлення версії або використовувати розклад за замовчуванням, який становить 3:00 ранку щоденно у США: Америка/Лос-Анджелес. Ви також можете за потреби відкласти майбутні оновлення версії.

Щоб налаштувати розклад оновлення версії, виконайте наведені нижче дії.

1

Увійдіть у партнерський центр.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Налаштувати.

4

На сторінці ресурсів гібридної безпеки даних виберіть кластер.

5

Клацніть вкладку Налаштування кластера .

6

"На сторінці ""Налаштування кластера"" в розділі ""Розклад оновлення версії"" виберіть час і часовий пояс для розкладу оновлення версії."

Примітки У часовому поясі відображено наступну дату й час оновлення версії. Можна відкласти оновлення на наступний день, якщо потрібно, клацнувши Відкласти на 24 години.

Змінити конфігурацію вузла

Іноді вам може знадобитися змінити конфігурацію вузла гібридної безпеки даних з такої причини, як:

  • Зміна сертифікатів x.509 через закінчення терміну дії або інші причини.

    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовується для реєстрації кластера.

  • Оновлення параметрів бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

    Ми не підтримуємо перенесення даних з PostgreSQL до Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, розпочніть нове розгортання гібридної системи захисту даних.

  • Створення нової конфігурації для підготовки нового центру обробки даних.

Крім того, з метою безпеки Hybrid Data Security використовує паролі службових облікових записів, термін дії яких становить дев'ять місяців. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з ваших вузлів HDS у файлі конфігурації ISO. Коли паролі вашої організації наближаються до закінчення терміну дії, ви отримуєте повідомлення від команди Webex про скидання пароля для облікового запису вашого комп'ютера. (Електронний лист містить текст "Використовуйте API облікового запису машини, щоб оновити пароль.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

  • Програмне скидання— старі й нові паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

  • Жорстке скидання— старі паролі негайно припиняють працювати.

Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

Використовуйте цю процедуру, щоб створити новий файл конфігурації ISO і застосувати його до вашого кластера.

Перш ніж почати

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Partner Hub із повними правами адміністратора партнера.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker у 1.e. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Щоб створити нову конфігурацію, вам потрібна копія поточного файла конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. ISO потрібен під час внесення змін у конфігурацію, включаючи облікові дані бази даних, оновлення сертифікатів або зміни в політиці авторизації.

1

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

    У звичайних середовищах:

    docker rmi ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker rmi ciscocitg/ hds- setup- fedramp: stable

    Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

  2. Щоб увійти до реєстру Docker-зображень, введіть наступне:

    docker login - u hdscustomersro

  3. На запиті пароля введіть цей хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Завантажте останнє стабільне зображення для вашого середовища:

    У звичайних середовищах:

    docker pull ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker pull ciscocitg/hds- setup- fedramp: stable

    Обов 'язково потягніть найновіший інструмент налаштування для цієї процедури. Версії інструмента, створені до 22 лютого 2018 року, не мають екранів скидання пароля.

  5. Після завершення витягування введіть відповідну команду для вашого середовища:

    • У звичайних середовищах без проксі-сервера:

      docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

    • У звичайних середовищах з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

    • У звичайних середовищах з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У середовищах FedRAMP без проксі-сервера:

      docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

    • У середовищах FedRAMP з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

    • У середовищах FedRAMP з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Коли контейнер запущений, ви бачите "Експрес-прослуховування сервера на порту 8080".

  6. Використовуйте браузер для підключення до localhost, http://127.0.0.1:8080.

    Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

  7. Коли з’явиться відповідний запит, введіть облікові дані для входу клієнта Partner Hub, а потім клацніть Прийняти , щоб продовжити.

  8. Імпортувати поточний файл конфігурації ISO.

  9. Дотримуйтеся вказівок, щоб завершити роботу інструменту та завантажити оновлений файл.

    Щоб закрити інструмент налаштування, введіть CTRL+C.

  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

2

Якщо у вас працює лише один вузол HDS, створіть новий вузол гібридної безпеки даних VM і зареєструйте його, використовуючи новий файл ISO конфігурації. Докладні інструкції див. в розділі Створення та реєстрація додаткових вузлів.

  1. Встановіть HDS-хост OVA.

  2. Налаштуйте віртуальну машину HDS.

  3. Змонтувати оновлений файл конфігурації.

  4. Зареєструйте новий вузол у партнерському центрі.

3

Для існуючих вузлів HDS, у яких запущено старий файл конфігурації, змонтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

  1. Вимкніть віртуальну машину.

  2. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  3. Натисніть CD /DVD-дисковод 1, виберіть параметр для монтування з файлу ISO та перейдіть до розташування, куди ви завантажили файл ISO нової конфігурації.

  4. Перевірте підключення при увімкненому живленні.

  5. Заощаджуйте зміни та енергію на віртуальній машині.

4

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, який виконує стару конфігурацію.

Вимкнення режиму роздільної здатності заблокованих зовнішніх DNS

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. Якщо DNS-серверу вузла не вдається розпізнати загальнодоступні імена DNS, вузол автоматично переходить у режим блокування зовнішньої роздільної здатності DNS.

Якщо ваші вузли можуть вирішувати загальнодоступні імена DNS через внутрішні DNS-сервери, ви можете вимкнути цей режим, повторивши тест проксі-з'єднання на кожному вузлі.

Перш ніж почати

Переконайтеся, що ваші внутрішні DNS-сервери можуть розпізнавати загальнодоступні імена DNS і що ваші вузли можуть зв'язуватися з ними.
1

У браузері відкрийте інтерфейс вузла гібридної безпеки даних (IP-адреса/налаштування), наприклад, введіть облікові дані адміністратора, https://192.0.2.0/setup), які настроєно для вузла, а потім натисніть кнопку Увійти.

2

Перехід до розділу Огляд (сторінка за замовчуванням).

Якщо ввімкнено, для параметра "Заблокована зовнішня роздільна здатність DNS" встановлено значення "Так".

3

Перейдіть на сторінку Надійний магазин і проксі .

4

Натисніть Перевірити підключенняпроксі-сервера.

Якщо ви бачите повідомлення про те, що зовнішнє дозвіл DNS не було успішним, вузол не зміг дістатися до DNS-сервера і залишиться в цьому режимі. В іншому випадку, після того, як ви перезавантажите вузол і повернетеся на сторінку огляду , заблоковане зовнішнє дозвіл DNS має бути встановлено на "ні".

Що далі

Повторіть тест проксі-з'єднання на кожному вузлі в кластері гібридної безпеки даних.

Видалити вузол

Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi та вимкнути віртуальну машину.

2

Видалити вузол:

  1. Увійдіть до концентратора партнера й виберіть Служби.

  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів гібридної безпеки даних.

  3. Виберіть кластер, щоб відобразити його панель огляду.

  4. Клацніть вузол, який потрібно видалити.

  5. Клацніть Скасувати реєстрацію цього вузла на панелі, що з’явиться справа.

  6. Можна також скасувати реєстрацію вузла, клацнувши … праворуч від вузла й вибравши Видалити цей вузол.

3

У клієнті vSphere видаліть VM. (На панелі навігації ліворуч клацніть правою кнопкою миші VM і клацніть Видалити.)

Якщо ви не видалите VM, не забудьте демонтувати файл ISO конфігурації. Без файлу ISO неможливо використовувати VM для доступу до даних безпеки.

Відновлення після відмови за допомогою центру обробки даних у режимі очікування

Найважливішою службою, яку надає кластер гібридної безпеки даних, є створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, призначеного для гібридної безпеки даних, запити на створення нового ключа маршрутизуються в кластер. Кластер також несе відповідальність за повернення створених ключів будь-яким користувачам, авторизованим для їх отримання, наприклад учасникам простору розмови.

Оскільки кластер виконує критичну функцію надання цих ключів, дуже важливо, щоб кластер продовжував працювати та щоб підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕПОПРАВНОЇ ВТРАТИ контенту клієнта. Для запобігання такої втрати є обов'язковими такі практики:

Якщо внаслідок стихійного лиха розгортання HDS у основному центрі обробки даних стане недоступним, виконайте цю процедуру, щоб вручну виконати аварійне перемикання на центр обробки даних у режимі очікування.

Перед початком

Скасуйте реєстрацію всіх вузлів із Партнерського центру, як зазначено в розділі Видалити вузол. Щоб виконати процедуру аварійного перемикання, згадану нижче, використовуйте останній файл ISO, налаштований проти вузлів кластера, який раніше був активний.
1

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створити ISO конфігурації для хостів HDS.

2

Завершіть процес конфігурації та збережіть файл ISO у зручному для пошуку розташуванні.

3

Зробіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

4

У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

5

Клацніть Змінити налаштування >Диск CD/DVD 1 і виберіть файл ISO Datastore.

Переконайтеся, що встановлено прапорець параметрів Підключено та Connect при увімкненні , щоб оновлені зміни конфігурації набули сили після запуску вузлів.

6

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

7

Зареєструйте вузол у партнерському центрі. Див. розділ Зареєструвати перший вузол у кластері.

8

Повторити процес для кожного вузла в центрі обробки даних у режимі очікування.

Що далі

Після аварійного перемикання, якщо основний центр обробки даних знову стане активним, скасуйте реєстрацію вузлів центру обробки даних у режимі очікування та повторіть процес налаштування ISO та реєстрації вузлів основного центру обробки даних, як зазначено вище.

(Необов’язково) Демонтування ISO після конфігурації HDS

Стандартна конфігурація HDS працює зі змонтованим ISO. Але деякі клієнти воліють не залишати файли ISO постійно змонтовані. Можна демонтувати файл ISO після того, як усі вузли HDS підхопили нову конфігурацію.

Ви все ще використовуєте файли ISO для внесення змін до конфігурації. Під час створення нового ISO або оновлення ISO за допомогою інструмента налаштування потрібно змонтувати оновлене ISO на всіх вузлах HDS. Після того як усі ваші вузли отримають зміни конфігурації, можна знову демонтувати ISO за допомогою цієї процедури.

Перед початком

Оновіть версію всіх вузлів HDS до версії 2021.01.22.4720 або пізнішої.

1

Закрийте один із вузлів HDS.

2

У пристрої vCenter Server Device виберіть вузол HDS.

3

Виберіть Змінити налаштування > Диск CD/DVD і зніміть прапорець файлу ISO Datastore.

4

Увімкніть вузол HDS і переконайтеся, що попередження відсутнє щонайменше 20 хвилин.

5

Повторюйте для кожного вузла HDS по черзі.

Усунення несправностей гібридної безпеки даних

Переглянути сповіщення та усунути несправності

Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що вимагає часу очікування. Якщо користувачі не можуть зв’язатися з кластером гібридної безпеки даних, вони відчувають такі симптоми:

  • Не вдалося створити нові простори (неможливо створити нові ключі).

  • Не вдалося розшифрувати повідомлення та назви просторів для:

    • Нові користувачі додані до простору (неможливо отримати ключі)

    • Наявні користувачі в просторі, що використовують новий клієнт (неможливо отримати ключі).

  • Наявні користувачі в просторі продовжуватимуть успішно запускатися, доки їхні клієнти матимуть кеш ключів шифрування.

Важливо належним чином відстежувати кластер гібридної безпеки даних і швидко надсилати будь-які сповіщення, щоб уникнути порушення роботи служби.

Оповіщення

Якщо виникла проблема з налаштуванням гібридної безпеки даних, Партнерський центр відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато загальних сценаріїв.

Таблиця 1. Загальні проблеми та кроки для їх вирішення

Сповіщення

Дія

Помилка доступу до локальної бази даних.

Перевірте наявність помилок бази даних або проблем локальної мережі.

Помилка підключення до локальної бази даних.

Перевірте доступність сервера бази даних і правильні облікові дані облікового запису служби використано в конфігурації вузла.

Помилка доступу до хмарної служби.

Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього з’єднання.

Поновлення реєстрації хмарної служби.

Реєстрацію в хмарних службах скасовано. Триває подовження реєстрації.

Реєстрацію хмарної служби скасовано.

Реєстрацію в хмарних службах припинено. Роботу служби припиняється.

Службу ще не активовано.

Активуйте HDS у Партнерському центрі.

Налаштований домен не відповідає сертифікату сервера.

Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

Найімовірніша причина полягає в тому, що сертифікат CN нещодавно був змінений і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

Не вдалось автентифікувати в хмарних службах.

Перевірте точність і можливий термін дії облікових даних облікового запису обслуговування.

Не вдалося відкрити локальний файл сховища ключів.

Перевірте цілісність і точність пароля у локальному файлі сховища ключів.

Неприпустимий сертифікат локального сервера.

Перевірте дату закінчення терміну дії сертифіката сервера й упевніться, що він був виданий довіреним центром сертифікації.

Не вдалося опублікувати показники.

Перевірте доступ до локальної мережі до зовнішніх хмарних служб.

Каталогу /media/configdrive/hds не існує.

Перевірте конфігурацію змонтування ISO на віртуальному вузлі. Переконайтеся, що файл ISO існує, що його налаштовано на монтування до перезавантаження та що він успішно монтується.

Налаштування організації клієнта не завершено для доданих організацій

Завершіть налаштування, створивши CMK для нещодавно доданих організацій клієнтів за допомогою інструменту налаштування HDS.

Налаштування організації клієнта не завершено для видалених організацій

Завершіть налаштування, відкликавши CMK організацій клієнтів, які були вилучені за допомогою інструменту налаштування HDS.

Усунення несправностей гібридної безпеки даних

Використовуйте наведені далі загальні інструкції під час виправлення неполадок із службою гібридної безпеки даних.
1

Перегляньте Партнерський центр на наявність будь-яких сповіщень і виправте будь-які знайдені в ньому елементи. Для довідки дивіться зображення нижче.

2

Перегляньте вивід сервера syslog для дій із розгортання гібридної безпеки даних. Щоб допомогти у вирішенні неполадок, виконайте фільтр для таких слів, як "Попередження" та "Помилка".

3

Зверніться до служби підтримки Cisco.

Інші примітки

Відомі проблеми гібридної безпеки даних

  • Якщо закрити кластер гібридної безпеки даних (видалити його в партнерському центрі або закрити всі вузли), втратити файл ISO конфігурації або втратити доступ до бази даних сховища ключів, користувачі програми Webex організацій клієнтів більше не зможуть використовувати простори зі списку осіб, створені за допомогою клавіш із KMS. Зараз у нас немає готового рішення або виправлення цієї проблеми. Ми закликаємо вас не закривати ваші служби HDS після того, як вони обробляють облікові записи активних користувачів.

  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом періоду часу (ймовірно, однієї години).

Використовуйте OpenSSL для створення файлу PKCS12

Перед початком

  • OpenSSL — це інструмент, який можна використовувати для створення файлу PKCS12 у належному форматі для завантаження в інструменті налаштування HDS. Є й інші способи зробити це, і ми не підтримуємо чи не просуваємо один шлях над іншим.

  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, щоб допомогти вам створити файл, який відповідає вимогам сертифіката X.509 у Вимогам до сертифіката X.509. Перш ніж продовжити, ознайомтеся з цими вимогами.

  • Установіть OpenSSL у підтримуваному середовищі. Див. https://www.openssl.org програмне забезпечення та документацію.

  • Створіть закритий ключ.

  • Почніть цю процедуру, коли ви отримаєте сертифікат сервера від Certificate Authority (CA).

1

Отримавши сертифікат сервера від ЦС, збережіть його як hdsnode.pem.

2

Відобразити сертифікат у вигляді тексту та перевірте відомості.

openssl x509 -text -noout -in hdsnode.pem

3

Використовуйте текстовий редактор, щоб створити файл пакету сертифікатів під назвою hdsnode-bundle.pem. Файл пакету повинен містити сертифікат сервера, будь-які проміжні сертифікати ЦС і кореневі сертифікати ЦС у форматі нижче:

----BEGIN CERTIFICATE------- ### Сертифікат сервера. ### -----END CERTIFICATE------------BEGIN CERTIFICATE----- ### Проміжний сертифікат CA. ### -----END CERTIFICATE---------BEGIN CERTIFICATE----- ### Кореневий сертифікат CA. ### -----END CERTIFICATE-----

4

Створіть файл .p12 з дружнім ім’ям kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Перевірте відомості про сертифікат сервера.

  1. openssl pkcs12 - in hdsnode.p12

  2. Введіть пароль у поле запиту, щоб зашифрувати закритий ключ так, щоб його було відображено в виведенні. Потім переконайтеся, що закритий ключ і перший сертифікат містять лінії дружніName: kms- private- key.

    Приклад:

    bash$ openssl pkcs12 -in hdsnode.p12 Введіть пароль імпорту: Перевірені MAC атрибути пакету OK дружніІм’я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключові атрибути:  Введіть фразу передавання PEM: Перевірка – введіть фразу передавання PEM: -----BEGIN ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ-----  -----END ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ------ Атрибути сумки дружніІм'я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------- Bag Attributes friendlyName: CN=Дозволити Encrypt Authority X3,O=Дозволити Encrypt,C=US subject=/C=US/O=Дозволити Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-------

Що далі

Поверніться до завершення обов’язкових умов для гібридної безпеки даних. Файл hdsnode.p12 і налаштований для нього пароль буде використано в Створити ISO конфігурації для хостів HDS.

Можна повторно використовувати ці файли, щоб надіслати запит на новий сертифікат, коли термін дії оригінального сертифіката завершиться.

Трафік між вузлами HDS і хмарою

Трафік збору вихідних показників

Вузли гібридної безпеки даних надсилають певні показники в хмару Webex. До них відносяться системні показники для максимальної кількості ключів, кількості використаних ключів, навантаження ЦП та кількості ланцюжків; показники для синхронізованих і асинхронних потоків; показники для сповіщень, що включають поріг підключень шифрування, затримку або довжину черги запитів; показники на сервері даних; показники підключення шифрування. Вузли надсилають зашифрований матеріал ключа через канал поза смугою (окремо від запиту).

Вхідний трафік

Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

  • Запити на шифрування від клієнтів, маршрутизованих службою шифрування

  • Оновлення версії програмного забезпечення вузла

Налаштувати проксі-сервери Squid для гібридної безпеки даних

Websocket не може підключитися через проксі-сервер Squid

Проксі-сервери, які перевіряють HTTPS-трафік, можуть перешкоджати встановленню з’єднань вебсокетів (wss:), які потребують гібридної безпеки даних. У цих розділах наведено інструкції щодо налаштування різних версій Squid, щоб ігнорувати wss: трафік для належної експлуатації послуг.

Кальмари 4 і 5

Додайте on_unsupported_protocol директиву до squid.conf:

on_unsupported_protocol тунель усі

Кальмари 3.5.27

Ми успішно протестували гібридну безпеку даних за допомогою наступних правил, доданих до squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

acl wssMercuryConnection ssl::Mercury-server_name_regex connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 всі ssl_bump stare step2 всі ssl_bump bump step3 всі

Нова й змінена інформація

Нова й змінена інформація

У цій таблиці наведено нові функції або функції, зміни наявного контенту та будь-які основні помилки, які було виправлено в Посібнику з розгортання гібридної безпеки даних для кількох клієнтів.

Дата

Внесені зміни

30 січня 2025 року

Додано версію SQL сервера 2022 до списку підтримуваних серверів SQL у Вимоги до сервера бази даних.

15 січня 2025 року

Додано обмеження гібридної безпеки даних для кількох клієнтів.

08 січня 2025 року

У розділі Виконати початкове налаштування та завантажити файли встановлення додано примітку, у якій зазначено, що натискання Налаштування на картці HDS у Партнерському центрі є важливим кроком процесу встановлення.

07 січня 2025 року

Оновлено вимоги до віртуального хоста, Процес розгортання гібридної безпеки даних та Установіть HDS Host OVA , щоб показати нову вимогу ESXi 7.0.

13 грудня 2024 року

Вперше опубліковано.

Деактивувати безпеку гібридних даних із кількома клієнтами

Потік завдань деактивації HDS для кількох клієнтів

Виконайте наведені дії, щоб повністю деактивувати HDS для кількох клієнтів.

Перед початком

Це завдання має виконувати лише адміністратор партнера з повними правами.
1

Видаліть усіх клієнтів з усіх кластерів, як зазначено в Видалити організації клієнтів.

2

Анулюйте CMK усіх клієнтів, як зазначено в Анулюйте CMK клієнтів, видалених із HDS..

3

Видаліть усі вузли з усіх кластерів, як зазначено в Видалити вузол.

4

Видаліть усі кластери з Партнерського центру за допомогою одного з двох наведених нижче способів.

  • Клацніть кластер, який потрібно видалити, і виберіть Видалити цей кластер у правому верхньому куті сторінки огляду.
  • На сторінці Ресурси клацніть … праворуч від кластера та виберіть Видалити кластер.
5

Клацніть вкладку Налаштування на сторінці огляду гібридної безпеки даних і натисніть Деактивувати HDS на картці стану HDS.

Початок роботи з гібридною безпекою даних для кількох клієнтів

Огляд гібридної безпеки даних для кількох клієнтів

З першого дня безпека даних була основним завданням у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, яке ввімкнено клієнтами програми Webex, які взаємодіють зі службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і дешифрування повідомлень і файлів.

За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS у області безпеки Cisco. Гібридна безпека даних переміщує KMS та інші функції, пов'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не тримає ключі до вашого зашифрованого вмісту.

Багатоклієнтська гібридна безпека даних дозволяє організаціям використовувати HDS через довіреного локального партнера, який може виступати як постачальник послуг і керувати локальним шифруванням та іншими службами безпеки. Це налаштування дозволяє партнерській організації мати повний контроль за розгортанням ключів шифрування та керування ними, а також гарантує безпеку даних користувачів організацій клієнта від зовнішнього доступу. Партнерські організації налаштовують екземпляри HDS і створюють кластери HDS за потреби. Кожен екземпляр може підтримувати кілька організацій клієнта, на відміну від звичайного розгортання HDS, яке обмежується однією організацією.

Хоча партнерські організації мають контроль за розгортанням і керуванням, вони не мають доступу до даних і контенту, що створюються клієнтами. Цей доступ обмежено організаціями клієнта та їхніми користувачами.

Це також дозволяє невеликим організаціям використовувати HDS, оскільки Ключові служби керування та інфраструктура безпеки, як-от центри обробки даних, належать довіреним місцевим партнером.

Як багатоклієнтська гібридна безпека даних забезпечує суверенітет і контроль даних

  • Створений користувачами контент захищено від зовнішнього доступу, як-от постачальники хмарних послуг.
  • Надійні місцеві партнери управляють ключами шифрування клієнтів, з якими вони вже мають налагоджені відносини.
  • Варіант місцевої технічної підтримки, якщо надано партнером.
  • Підтримує контент нарад, обміну повідомленнями й викликів.

Цей документ спрямований на допомогу партнерським організаціям у налаштуванні та керуванні клієнтами в системі гібридної безпеки даних із підтримкою кількох клієнтів.

Обмеження гібридної безпеки даних із кількома клієнтами

  • Партнерські організації не повинні мати жодного наявного розгортання HDS, активного в Control Hub.
  • Організації клієнта або клієнта, якими хоче керувати партнер, не повинні мати наявне розгортання HDS у Control Hub.
  • Після розгортання партнером HDS із підтримкою кількох клієнтів усі користувачі організацій клієнта, а також користувачі партнерської організації починають використовувати HDS із підтримкою кількох клієнтів для своїх служб шифрування.

    Партнерська організація та організації клієнтів, якими вони керують, здійснюватимуть те саме розгортання HDS із підтримкою кількох клієнтів.

    Партнерська організація більше не використовуватиме хмарну KMS після розгортання HDS із підтримкою кількох клієнтів.

  • Відсутній механізм для повернення ключів назад до Cloud KMS після розгортання HDS.
  • Зараз кожне розгортання багатоклієнтського HDS може мати лише один кластер із кількома вузлами під ним.
  • Ролі адміністратора мають певні обмеження. Додаткову інформацію див. в розділі нижче.

Ролі в гібридній безпеці даних із кількома клієнтами

  • Повний адміністратор партнера – може керувати налаштуваннями для всіх клієнтів, якими керує партнер. Також може призначати ролі адміністратора наявним користувачам в організації та призначати певних клієнтів, якими керуватимуть адміністратори партнера.
  • Адміністратор партнера – може керувати налаштуваннями клієнтів, підготовленими адміністратором або призначеними користувачу.
  • Повний адміністратор – адміністратор партнерської організації, який має право виконувати такі завдання, як зміна налаштувань організації, керування ліцензіями та призначення ролей.
  • Наскрізне налаштування HDS із підтримкою кількох клієнтів і керування всіма організаціями клієнта – потрібні права повного адміністратора партнера та повного адміністратора.
  • Керування призначеними організаціями клієнта : потрібні права адміністратора партнера та повного адміністратора.

Архітектура області безпеки

Хмарна архітектура Webex розділяє різні типи служб на окремі області або домени довіри, як показано нижче.

Області розділення (без гібридної безпеки даних)

Щоб краще зрозуміти гібридну безпеку даних, спочатку розгляньмо цей випадок у чистому хмарі, де Cisco надає всі функції у своїх хмарних областях. Служба ідентифікації, єдине місце, де користувачі можуть бути безпосередньо пов’язані з їхньою персональною інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зрештою зберігається зашифрований контент, в центрі обробки даних C.

На цій діаграмі клієнтом є програма Webex, що працює на ноутбуці користувача й автентифікувався за допомогою служби ідентифікації. Коли користувач складає повідомлення для надсилання до простору, виконуються такі кроки:

  1. Клієнт встановлює захищене з’єднання зі службою керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Для захищеного з’єднання використовується ECDH, а KMS шифрує ключ за допомогою основного ключа AES-256.

  2. Повідомлення зашифровано перед тим, як воно залишає клієнта. Клієнт надсилає його в службу індексації, яка створює зашифровані пошукові індекси для допомоги в подальшому пошуку контенту.

  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

  4. Зашифроване повідомлення зберігається в області сховища.

Під час розгортання гібридної безпеки даних ви переміщуєте функції області безпеки (KMS, індексація та відповідність) до локального центру обробки даних. Інші хмарні служби, які складають Webex (зокрема, ідентифікаційні дані та сховище контенту), залишаються в області Cisco.

Співпраця з іншими організаціями

Користувачі вашої організації можуть регулярно використовувати програму Webex для співпраці з зовнішніми учасниками в інших організаціях. Коли один із ваших користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), ваш KMS надсилає ключ клієнту через канал, захищений ECDH. Однак, якщо ключ для простору належить іншій організації, ваш KMS надсилає запит в хмару Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в вихідному каналі.

Служба KMS, яку запущено в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Додаткову інформацію про створення сертифіката x.509 для використання з розгортанням гібридної безпеки даних із підтримкою кількох клієнтів див. в розділі Підготовка середовища .

Очікування розгортання гібридної безпеки даних

Розгортання гібридної безпеки даних вимагає значної прихильності та обізнаності про ризики, які виникають при наявності ключів шифрування.

Щоб розгорнути гібридну безпеку даних, необхідно надати:

Повна втрата ISO конфігурації, яку ви створюєте для гібридної безпеки даних, або бази даних, яку ви надаєте, призведе до втрати ключів. Втрата ключа забороняє користувачам розшифрувати контент простору та інші зашифровані дані в програмі Webex. Якщо це станеться, ви зможете створити нове розгортання, але буде відображено лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

  • Керування резервним копіюванням і відновленням бази даних та ISO конфігурації.

  • Будьте готові до швидкого відновлення після відмови в разі виникнення катастрофи, як-от помилка диска бази даних або помилка центру обробки даних.

Відсутній механізм для переміщення ключів назад у хмару після розгортання HDS.

Процес налаштування на високому рівні

Цей документ охоплює налаштування та керування розгортанням гібридної безпеки даних із кількома клієнтами:

  • Налаштування гібридної безпеки даних. Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення гібридної безпеки даних, створення кластера HDS, додавання організацій-клієнтів до кластера та керування їхніми основними ключами клієнта (CMK). Це дозволить усім користувачам в організації клієнта використовувати кластер гібридної безпеки даних для функцій безпеки.

    Етапи налаштування, активації та керування докладно описані в наступних трьох розділах.

  • Підтримуйте розгортання гібридної безпеки даних. Хмара Webex автоматично забезпечує постійні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати сповіщення на екрані та налаштувати сповіщення на основі електронної пошти в Партнерському центрі.

  • Ознайомтеся з поширеними сповіщеннями, кроками усунення несправностей і відомими проблемами. Якщо у вас виникли проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й вирішити цю проблему.

Модель розгортання гібридної безпеки даних

У вашому центрі обробки даних підприємства ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли зв’язуються з хмарою Webex за допомогою захищених вебсокетів і захищеного HTTP.

Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами VM. Ви використовуєте інструмент налаштування HDS для створення користувацького файлу конфігурації ISO кластера, який буде змонтовано на кожному вузлі. Кластер гібридної безпеки даних використовує наданий сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і відомості про підключення до бази даних в інструменті налаштування HDS.)

Модель розгортання гібридної безпеки даних

Мінімальна кількість вузлів, які можна мати в кластері, дорівнює два. Рекомендовано принаймні три для кластера. Наявність кількох вузлів гарантує, що служба не переривається під час оновлення версії програмного забезпечення або іншої діяльності з обслуговування на вузлі. (Хмара Webex оновлює лише один вузол за раз.)

Усі вузли в кластері отримують доступ до одного єдиного сервера системних даних і активності журналу. Самі вузли не мають статусу, і обробляють ключові запити круглим способом, як спрямовано хмарою.

Вузли стають активними, коли їх зареєстровано в Партнерському центрі. Щоб вилучити окремий вузол із експлуатації, його можна скасувати реєстрацію, а в разі потреби повторно зареєструвати.

Центр даних у режимі очікування для відновлення після відмови

Під час розгортання ви налаштували безпечний центр обробки даних у режимі очікування. У разі несправності центру обробки даних ви можете вручну не виконувати перехід до центру обробки даних у режимі очікування.

Перед аварійним переходом центр обробки даних A має активні вузли HDS і основну базу даних PostgreSQL або Microsoft SQL Server, тоді як B має копію файлу ISO з додатковими конфігураціями, зареєстрованими в організації VM, і базу даних у режимі очікування. Після аварійного перемикання центр обробки даних B має активні вузли HDS і основну базу даних, тоді як A має незареєстровані VM і копію файлу ISO, а база даних перебуває в режимі очікування.
Ручне аварійне перемикання на центр обробки даних у режимі очікування

Бази даних активних та резервних центрів обробки даних синхронізуються один з одним, що дозволить мінімізувати час, необхідний для виконання аварійного перемикання.

Активні вузли гібридної безпеки даних завжди мають бути в тому самому центрі обробки даних, що й активний сервер бази даних.

Підтримка проксі

Гібридна безпека даних підтримує явні, прозорі перевірки та неінспектування проксі. Ви можете прив'язати ці проксі до свого розгортання, щоб ви могли захищати та контролювати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для управління сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

Гібридні вузли захисту даних підтримують такі параметри проксі-сервера:

  • Немає проксі— За замовчуванням, якщо для інтеграції проксі не використовується налаштування вузла HDS Store і Proxy. Оновлення сертифіката не потрібне.

  • Прозорий неінспекційний проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін до роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.

  • Прозоре тунелювання чи інспектування проксі— вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах не потрібні зміни конфігурації HTTP або HTTPS. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

  • Явний проксі. За допомогою явного проксі-сервера вузлам HDS слід визначити, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі, необхідно ввести наступну інформацію на кожному вузлі:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

      • HTTP — Перегляд і контроль усіх запитів, які надсилає клієнт.

      • HTTPS — забезпечує канал серверу. Клієнт отримує та перевіряє сертифікат сервера.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно, лише якщо в якості проксі-протоколу вибрано протокол HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

Приклад гібридних вузлів безпеки даних і проксі-сервера

На цій схемі наведено приклад підключення між гібридною безпекою даних, мережею та проксі-сервером. Для прозорої перевірки та явної перевірки параметрів проксі-сервера HTTPS на проксі-сервері та на вузлах гібридної безпеки даних повинен бути встановлений той самий кореневий сертифікат.

Заблокований зовнішній режим роздільної здатності DNS (явні конфігурації проксі)

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. У розгортаннях з явними конфігураціями проксі-сервера, які не дозволяють зовнішню роздільну здатність DNS для внутрішніх клієнтів, якщо вузол не може запитувати DNS-сервери, він автоматично переходить у режим блокування зовнішньої роздільної здатності DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести проксі-підключення.

Підготовка середовища

Вимоги до гібридної безпеки даних із кількома клієнтами

Вимоги до ліцензії Cisco Webex

Щоб розгорнути безпеку гібридних даних із кількома клієнтами, виконайте наведені нижче дії.

  • Партнерські організації: Зверніться до партнера Cisco або менеджера облікового запису й переконайтеся, що функцію кількох клієнтів увімкнено.

  • Організації осередків: Необхідно мати професійний пакет для Cisco Webex Control Hub. (Див. https://www.cisco.com/go/pro-pack.)

Вимоги до робочого стола Docker

Перш ніж установити вузли HDS, необхідно Docker Desktop, щоб запустити програму встановлення. Docker нещодавно оновив свою ліцензійну модель. Ваша організація може вимагати платну підписку на Docker Desktop. Для отримання детальної інформації див. допис у блозі Docker "Docker оновлює та розширює підписку на наш продукт".

Вимоги до сертифіката X.509

Ланцюжок сертифікатів повинен відповідати таким вимогам:

Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

Вимоги

Відомості

  • Підписано довіреним центром сертифікації (CA)

За замовчуванням ми довіряємо ценам у списку Mozilla (за винятком WoSign і StartCom) за адресою https://wiki.mozilla.org/CA:IncludedCAs.

  • Має доменне ім’я (CN), яке ідентифікує розгортання гібридної безпеки даних.

  • Не є сертифікатом узагальнення

CN не обов’язково бути доступним або організатором у режимі реального часу. Ми рекомендуємо використовувати ім’я, що відображає вашу організацію, наприклад hds.company.com.

CN не має містити символ * (узагальнення).

CN використовується для перевірки вузлів гібридної безпеки даних клієнтам програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, визначеного в полях SAN x.509v3.

Після реєстрації вузла з цим сертифікатом зміна доменного імені CN не підтримується.

  • Підпис без SHA1

Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключення до KMS інших організацій.

  • Відформатований як файл PKCS #12 із захищеним паролем

  • Використовуйте дружнє ім’я kms-private-key , щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.

Щоб змінити формат сертифіката, можна використовувати перетворювач, наприклад OpenSSL.

Вам потрібно буде ввести пароль, коли ви запустите інструмент налаштування HDS.

Програмне забезпечення KMS не вимагає використання ключів або розширених обмежень використання ключів. Деякі органи сертифікації вимагають, щоб до кожного сертифіката застосовувалися розширені обмеження використання ключа, як-от автентифікація сервера. Цілком нормально використовувати автентифікацію сервера або інші налаштування.

Вимоги до віртуального організатора

Віртуальні вузли, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері, мають такі вимоги:

  • Принаймні два окремих хоста (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

  • VMware ESXi 7.0 (або пізнішої версії) встановлено та запущено.

    Необхідно оновити версію, якщо у вас попередня версія ESXi.

  • Мінімум 4 вЦП, 8 ГБ основної пам’яті, 30 ГБ локального жорсткого диска на сервер

Вимоги до сервера бази даних

Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

Для сервера бази даних існує два параметри. Вимоги до кожного з них такі:

Таблиця 2. Вимоги до сервера бази даних за типом бази даних

Postgre SQL

Сервер Microsoft SQL

  • PostgreSQL 14, 15 або 16, встановлено та запущено.

  • Встановлено SQL Server 2016, 2017, 2019 або 2022 (корпоративний або стандартний).

    SQL Server 2016 вимагає пакета оновлень 2 та кумулятивного оновлення 2 або пізнішої версії.

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Програмне забезпечення HDS зараз установлює такі версії драйверів для зв’язку з сервером бази даних:

Postgre SQL

Сервер Microsoft SQL

Postgres драйвер JDBC 42.2.5

Драйвер JDBC SQL Server 4.6

Ця версія драйвера підтримує SQL Server Always On (Завжди ввімкнені екземпляри аварійного перемикання кластерів і Always On групи доступності).

Додаткові вимоги до автентифікації Windows проти Microsoft SQL Server

Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для доступу до вашої бази даних ключів на Microsoft SQL Server, то у вашому середовищі потрібна така конфігурація:

  • Вузли HDS, інфраструктуру Active Directory і MS SQL Server мають бути синхронізовані з NTP.

  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ до бази даних для читання та запису.

  • DNS-сервери, які ви надаєте вузлам HDS, повинні мати змогу вирішити ваш центр розподілу ключів (KDC).

  • Можна зареєструвати екземпляр бази даних HDS на сервері Microsoft SQL як основне ім’я служби (SPN) в Active Directory. Див. розділ Реєстрація імені головної служби для з’єднань Kerberos.

    Засіб налаштування HDS, засіб запуску HDS та локальний KMS — усі необхідні для використання автентифікації Windows для доступу до бази даних сховища ключів. Вони використовують відомості з конфігурації ISO для побудови SPN під час запиту доступу за допомогою автентифікації Kerberos.

Вимоги до зовнішнього з’єднання

Налаштуйте брандмауер, щоб дозволити таке підключення для програм HDS:

Застосування

Протокол

Порт

Напрямок з програми

Призначення

Вузли гібридної безпеки даних

TCP

443

Вихідні HTTPS і WSS

  • Сервери Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Усі організатори Common Identity

  • Інші URL-адреси, перелічені для гібридної безпеки даних у таблиці «Додаткові URL-адреси для гібридних служб Webex»«Вимоги до мережі для служб Webex»

Інструмент налаштування HDS

TCP

443

Вихідний HTTPS

  • *.wbx2.com

  • Усі організатори Common Identity

  • hub.docker.com

Вузли гібридної безпеки даних працюють із перекладом мережевого доступу (NAT) або за брандмауером, доки NAT або брандмауер дозволяють необхідні вихідні з’єднання з адресами домену, наведеними в попередній таблиці. Для з’єднань, які надходять на вхідні дані до вузлів гібридної безпеки даних, порти не повинні відображатися з інтернету. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

URL-адреси для хостів Common Identity (CI) притаманні регіонам. Це поточні організатори CI:

Регіон

URL-адреси загальних ідентифікаційних ресурсів

Північна та Південна Америки

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Європейський Союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сінгапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Об’єднані Арабські Емірати

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Вимоги до проксі-сервера

  • Ми офіційно підтримуємо наступні проксі-рішення, які можуть інтегруватися з вашими вузлами гібридної безпеки даних.

  • Ми підтримуємо такі комбінації типів автентифікації для явних проксі:

    • Немає автентифікації за допомогою HTTP або HTTPS

    • Базова автентифікація за допомогою HTTP або HTTPS

    • Автентифікація дайджесту лише за допомогою ПРОТОКОЛУ HTTPS

  • Для прозорої перевірки проксі-сервера або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі-сервера. Інструкції з розгортання в цьому посібнику розповідають, як завантажити копію в надійні сховища вузлів гібридної безпеки даних.

  • Мережа, в якій розміщуються вузли HDS, повинна бути налаштована на примусове витіснення TCP-трафіку на порту 443 для маршрутизації через проксі.

  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з'єднанню веб-сокетів. При виникненні даної проблеми проблему вирішить обхід (не огляд) трафіку на wbx2.com і ciscospark.com .

Виконати передумови для гібридної безпеки даних

Використовуйте цей контрольний список, щоб переконатися, що ви готові встановити та налаштувати кластер гібридної безпеки даних.
1

Переконайтеся, що в партнерській організації ввімкнено функцію HDS для кількох клієнтів, і отримайте облікові дані облікового запису з повним адміністратором партнера та повними правами адміністратора. Переконайтеся, що в організації клієнта Webex увімкнено пакет Pro Pack для Cisco Webex Control Hub. Зверніться до партнера Cisco або менеджера облікового запису по допомогу в цьому процесі.

Організації клієнтів не повинні мати наявне розгортання HDS.

2

Виберіть доменне ім’я для розгортання HDS (наприклад, hds.company.com) і отримайте ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ та будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам Вимог до сертифіката X.509.

3

Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері. Потрібно принаймні два окремих організатори (рекомендовано 3), розташовані в одному захищеному центрі обробки даних, які відповідають вимогам Вимог до віртуального організатора.

4

Підготуйте сервер бази даних, який діятиме як сховище ключових даних для кластера, відповідно до вимог сервера бази даних. Сервер бази даних має бути розташовано в захищеному центрі обробки даних із віртуальними організаторами.

  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Після встановлення програми HDS створюють схему бази даних.)

  2. Зберіть деталі, які будуть використовувати вузли для зв’язку з сервером бази даних:

    • ім’я хоста або IP-адреса (хост) і порт

    • ім’я бази даних (dbname) для сховища ключів

    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

5

Для швидкого відновлення після відмови налаштуйте резервне середовище в іншому центрі обробки даних. Середовище резервного копіювання відображає середовище виробництва VM і сервер резервної бази даних. Наприклад, якщо у виробництві є 3 VM, які працюють вузли HDS, резервне середовище має мати 3 VM.

6

Налаштуйте хост syslog, щоб збирати журнали з вузлів у кластері. Зберіть його мережеву адресу та порт системного журналу (за замовчуванням — UDP 514).

7

Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста syslog. Як мінімум, щоб запобігти невиправній втраті даних, потрібно створити резервну копію бази даних і файл ISO конфігурації, створений для вузлів гібридної безпеки даних.

Оскільки вузли гібридної безпеки даних зберігають ключі, які використовуються для шифрування та дешифрування контенту, невдача підтримки оперативного розгортання призведе до НЕЗВОРОТНОЇ ВТРАТИ цього контенту.

Клієнти програми Webex ховають свої ключі, тому перебої в роботі можуть бути непомітні, але з часом ставати очевидними. Хоча тимчасові перебої неможливо запобігти, вони можуть бути відновлені. Однак повна втрата (резервних копій відсутні) файлу бази даних або ISO конфігурації призведе до незворотних даних клієнтів. Очікується, що оператори вузлів гібридної безпеки даних підтримуватимуть часті резервні копії бази даних та файлу конфігурації ISO, а також будуть готові відновити центр обробки даних гібридної безпеки даних у разі виникнення катастрофічного відмови.

8

Переконайтеся, що конфігурація брандмауера дозволяє підключення для вузлів гібридної безпеки даних, як описано в розділі Вимоги до зовнішнього з’єднання.

9

Установіть Docker ( https://www.docker.com) на будь-якому локальному комп’ютері, який працює на підтримуваній ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядній версії або Mac OSX Yosemite 10.10.3 або новіша версія) із веббраузером, який може отримати доступ до нього на сторінці http://127.0.0.1:8080.

Екземпляр Docker використовується для завантаження та запуску інструменту налаштування HDS, який збирає інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Можливо, потрібна ліцензія Docker Desktop. Додаткову інформацію див. в розділі Вимоги до робочого стола Docker .

Щоб установити й запустити інструмент налаштування HDS, локальний комп’ютер повинен мати параметр підключення, описаний у розділі Вимоги до зовнішнього підключення.

10

Під час інтеграції проксі з гібридною безпекою даних переконайтеся, що він відповідає вимогам до проксі-сервера.

Налаштувати кластер гібридної безпеки даних

Процес розгортання гібридної безпеки даних

Перш ніж почати

1

Виконати початкове налаштування та завантажити файли інсталяції

Завантажте файл OVA на локальний комп’ютер для подальшого використання.

2

Створити ISO конфігурації для хостів HDS

Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

3

Установити OVA організатора HDS

Створіть віртуальну машину з файлу OVA та виконайте початкову конфігурацію, наприклад налаштування мережі.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 7.0. Цей параметр може бути недоступний у попередніх версіях.

4

Налаштувати VM гібридної безпеки даних

Увійдіть до консолі VM і встановіть облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо їх не було налаштовано на момент розгортання OVA.

5

Вивантажити та змонтувати ISO конфігурації HDS

Налаштуйте VM із файлу конфігурації ISO, який ви створили за допомогою інструменту налаштування HDS.

6

Налаштування вузла HDS для інтеграції проксі

Якщо мережеве середовище потребує конфігурації проксі, укажіть тип проксі, який буде використовуватися для вузла, а в разі потреби додайте проксі-сертифікат до сховища довірених сертифікатів.

7

Зареєструвати перший вузол у кластері.

Зареєструйте VM із хмарою Cisco Webex як вузол гібридної безпеки даних.

8

Створити й зареєструвати більше вузлів

Завершіть налаштування кластера.

9

Активуйте HDS із підтримкою кількох клієнтів у Партнерському центрі.

Активуйте HDS і керуйте організаціями клієнтів у Партнерському центрі.

Виконати початкове налаштування та завантажити файли інсталяції

У цьому завданні ви завантажуєте файл OVA на комп’ютер (не на сервери, налаштовані як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.

1

Увійдіть до концентратора партнера й клацніть Служби.

2

У розділі «Хмарні служби» знайдіть картку гібридної безпеки даних, а потім клацніть Налаштувати.

Натискання Налаштувати в партнерському центрі має критичне значення для процесу розгортання. Не продовжуйте встановлення, не виконавши цей крок.

3

Клацніть Додати ресурс і клацніть Завантажити файл OVA на картці встановлення та налаштування програмного забезпечення .

Старіші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до виникнення проблем під час оновлення версії програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

OVA також можна завантажити будь-коли з розділу Довідка . Клацніть Налаштування > Довідка > Завантажити програмне забезпечення гібридної безпеки даних.

Файл OVA автоматично розпочне завантаження. Збережіть файл у розташуванні на комп’ютері.
4

Додатково клацніть Переглянути посібник із розгортання гібридної безпеки даних , щоб перевірити, чи доступна пізніша версія цього посібника.

Створити ISO конфігурації для хостів HDS

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

Перш ніж почати
1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO ви маєте такі параметри:

  • Ні. Якщо ви створюєте перший вузол HDS, у вас немає файлу ISO для передавання.
  • Так. Якщо ви вже створили вузли HDS, виберіть у браузері файл ISO й передайте його.
10

Переконайтеся, що сертифікат X.509 відповідає вимогам Вимогам до сертифіката X.509.

  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити.
  • Якщо сертифікат OK, клацніть Продовжити.
  • Якщо термін дії сертифіката завершився або ви хочете замінити його, виберіть Ні , щоб Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO?. Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити.
11

Введіть адресу бази даних та обліковий запис HDS, щоб отримати доступ до свого сервера ключових даних:

  1. Виберіть тип бази даних (PostgreSQL або Microsoft SQL Server).

    Якщо вибрати Microsoft SQL Server, буде отримано поле типу автентифікації.

  2. (тільки Microsoft SQL Server ) Виберіть тип автентифікації:

    • Базова автентифікація: Потрібне локальне ім’я облікового запису SQL Server у полі Ім’я користувача .

    • Автентифікація Windows: Потрібен обліковий запис Windows у форматі username@DOMAIN у полі Ім’я користувача .

  3. Введіть адресу сервера бази даних у формі : або :.

    Приклад:
    dbhost.example.org:1433 або 198.51.100.17:1433

    Для базової автентифікації можна використовувати IP-адресу, якщо вузли не можуть використовувати DNS для вирішення імені хоста.

    Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433

  4. Введіть ім’я бази даних.

  5. Введіть ім’я користувача й пароль користувача з усіма правами у базі даних сховища ключів.

12

Виберіть режим підключення до бази даних TLS:

Режим

Опис

Віддавати перевагу TLS (параметр за замовчуванням)

Вузли HDS не потребують TLS для з 'єднання з сервером бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли спробують зашифроване з’єднання.

Вимагати TLS

Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

Вимагати TLS і перевірити підписувача сертифіката

Цей режим не застосовується до баз даних SQL Server.

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Вимагати TLS і перевірити особу, яка підписала сертифікат, і назву вузла

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

  • Вузли також перевіряють, чи ім’я хоста в сертифікаті сервера збігається з ім’ям хоста в полі Хост бази даних і порт . Імена повинні точно збігатися, або вузол скасує з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Коли передано кореневий сертифікат (за потреби) і клацніть Продовжити, інструмент налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє особу, яка підписала сертифікат, і назву вузла, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності здатності до з’єднання вузли HDS зможуть встановити підключення TLS, навіть якщо машина інструмента налаштування HDS не може його успішно перевірити.)

13

На сторінці системних журналів налаштуйте сервер Syslogd:

  1. Введіть URL-адресу сервера syslog.

    Якщо сервер DNS-розв’язний із вузлів для кластера HDS, використайте IP-адресу в URL.

    Приклад:
    udp://10.92.43.23:514 вказує на вхід до хоста Syslogd 10.92.43.23 на порту UDP 514.

  2. Якщо ви налаштували сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер syslog для шифрування SSL?.

    Якщо встановити цей прапорець, обов’язково введіть URL-адресу TCP, наприклад tcp://10.92.43.23:514.

  3. У розкривному списку Вибрати завершення запису syslog виберіть відповідні налаштування для вашого файлу ISO: Виберіть або використовується нова лінія для Graylog і Rsyslog TCP

    • Нульовий байт --\ x00

    • Новий рядок -- \n- Виберіть цей вибір для Graylog і Rsyslog TCP.

  4. Клацніть Продовжити.

14

(Необов’язково) Ви можете змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Додаткові налаштування. Загалом, цей параметр є єдиним, який ви можете змінити:

app_datasource_connection_pool_maxРозмір: 10
15

Клацніть Продовжити на екрані Скинути пароль облікових записів служби .

Паролі облікового запису служби тривають дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів добігає кінця, або ви хочете скинути їх, щоб скасувати попередні файли ISO.

16

Клацніть Завантажити файл ISO. Збережіть файл у зручному для пошуку розташуванні.

17

Зробіть резервну копію файлу ISO у локальній системі.

Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

18

Щоб закрити інструмент налаштування, введіть CTRL+C.

Що далі

Створіть файл ISO конфігурації. Він потрібен для створення більше вузлів для відновлення або для внесення змін до конфігурації. Якщо ви втратите всі копії файлу ISO, ви також втратили основний ключ. Неможливо відновити ключі з бази даних PostgreSQL або Microsoft SQL Server.

У нас ніколи не буде копії цього ключа, і ми не зможемо допомогти, якщо ви його втратите.

Установити OVA організатора HDS

Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi.

2

Виберіть Файл > Розгорнути шаблон OVF.

3

У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі.

4

На сторінці Вибрати ім’я та папку введіть Ім’я віртуальної машини для вузла (наприклад, "HDS_Node_1"), виберіть розташування, де може розміщуватися розгортання вузла віртуальної машини, а потім клацніть Далі.

5

На сторінці Вибрати обчислювальний ресурс , виберіть обчислювальний ресурс призначення, а потім клацніть Далі.

Виконується перевірка перевірки. Після його завершення деталі шаблону з’являться.

6

Перевірте відомості про шаблон, а потім клацніть Далі.

7

Якщо вас попросять вибрати конфігурацію ресурсу на сторінці Конфігурація , клацніть 4 ЦП , а потім клацніть Далі.

8

На сторінці Вибрати сховище клацніть Далі , щоб прийняти формат диска за замовчуванням і політику зберігання VM.

9

На сторінці Вибрати мережі виберіть параметр мережі зі списку записів, щоб забезпечити потрібне підключення до VM.

10

На сторінці Налаштувати шаблон налаштуйте такі налаштування мережі.

  • Ім’я хоста—Введіть повне доменне ім’я (ім’я хоста та домен) або ім’я хоста з одним словом для вузла.

    • Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

    • Щоб забезпечити успішну реєстрацію в хмару, використовуйте лише малі символи в повному домені або імені хоста, налаштованому для вузла. Капіталізація наразі не підтримується.

    • Загальна довжина повного домену не повинна перевищувати 64 символи.

  • IP-адреса— введіть IP-адресу для внутрішнього інтерфейсу вузла.

    Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

  • Маска—Введіть адресу маски підмережі в крапку з комою. Наприклад, 255.255.255.0.
  • Шлюз—Введіть IP-адресу шлюзу. Шлюз – це мережевий вузол, який служить точкою доступу до іншої мережі.
  • Сервери DNS — введіть список, розділений комами, список DNS-серверів, який обробляє перетворення доменних імен на числові IP-адреси. (Дозволено до 4 записів DNS.)
  • Сервери NTP—Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Також можна використовувати список розділених комами, щоб ввести кілька серверів NTP.

  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними від клієнтів у вашій мережі для адміністративних цілей.

За бажанням можна пропустити конфігурацію налаштування мережі та виконати кроки в розділі Налаштування VM гібридної безпеки даних , щоб налаштувати параметри з консолі вузла.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 7.0. Цей параметр може бути недоступний у попередніх версіях.

11

Клацніть правою кнопкою миші вузол VM, а потім виберіть Power > Power On.

Програмне забезпечення гібридної безпеки даних встановлюється як гість на хост VM. Тепер ви готові увійти до консолі й налаштувати вузол.

Поради щодо усунення несправностей

Перед появою контейнерів вузла може знадобитися затримка в кілька хвилин. Під час першого завантаження на консолі з’являється повідомлення брандмауера мосту, під час якого ви не можете ввійти.

Налаштувати VM гібридної безпеки даних

Використовуйте цю процедуру, щоб вперше увійти на консоль вузла гібридної безпеки даних VM і встановити облікові дані для входу. Крім того, можна використовувати консоль для налаштування мережевих параметрів для вузла, якщо їх не було налаштовано під час розгортання OVA.

1

У клієнті VMware vSphere виберіть вузол гібридної безпеки даних VM і перейдіть на вкладку Консоль .

VM завантажується, і з’явиться підказка для входу. Якщо вікно підказки не відображається, натисніть Enter.
2

Щоб увійти й змінити облікові дані, використовуйте наведені нижче дані для входу та пароля за замовчуванням:

  1. Вхід: адміністратор

  2. Пароль: Cisco

Оскільки ви вперше входите в VM, вам потрібно змінити пароль адміністратора.

3

Якщо ви вже налаштували налаштування мережі в Установити OVA хоста HDS, пропустіть решту цієї процедури. В іншому разі в головному меню виберіть параметр Змінити конфігурацію .

4

Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

5

(Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно відповідно до політики мережі.

Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

6

Збережіть конфігурацію мережі та перезавантажте VM, щоб зміни набули сили.

Вивантажити та змонтувати ISO конфігурації HDS

Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою інструмента налаштування HDS.

Перед початком

Оскільки файл ISO має основний ключ, він повинен бути розкритий лише на основі "потрібно знати" для доступу VM гібридної безпеки даних і будь-яких адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

1

Передайте файл ISO зі свого комп’ютера:

  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

  2. На вкладці Конфігурація Список обладнання клацніть Сховище.

  3. У списку Datastors клацніть правою кнопкою миші на станції даних для ваших VM і клацніть Browse Datastore.

  4. Клацніть значок «Передати файли», а потім Передати файл.

  5. Перейдіть до розташування, де ви завантажили файл ISO на свій комп’ютер, і клацніть Відкрити.

  6. Клацніть Так , щоб прийняти попередження операції передавання/завантаження, і закрийте діалогове вікно сховища даних.

2

Змонтувати файл ISO:

  1. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  2. Клацніть ОК , щоб прийняти попередження про обмежені параметри редагування.

  3. Клацніть Диск CD/DVD 1, виберіть параметр для змонтування з файлу ISO зі сховища даних і перейдіть до розташування, де передано файл ISO конфігурації.

  4. Перевірте Підключено та Підключитися при увімкненні живлення.

  5. Збережіть зміни та перезавантажте віртуальну машину.

Що далі

Якщо потрібна ваша політика ІТ, ви можете додатково демонтувати файл ISO після того, як всі вузли дослухаються змін конфігурації. Див. (Необов’язково) Демонтування ISO після конфігурації HDS , щоб отримати додаткові відомості.

Налаштування вузла HDS для інтеграції проксі

Якщо для мережного середовища потрібен проксі-сервер, скористайтеся цією процедурою, щоб указати тип проксі-сервера, який потрібно інтегрувати з hybrid Data Security. Якщо ви виберете прозорий проксі-сервер перевірки або явний проксі-сервер HTTPS, ви можете використовувати інтерфейс вузла для завантаження та встановлення кореневого сертифіката. Ви також можете перевірити проксі-з'єднання з інтерфейсу та усунути будь-які потенційні проблеми.

Перш ніж почати

1

Введіть URL-адресу для настроювання вузла HDS https://[IP-адреса вузла HDS або FQDN]/setup у веб-браузері, введіть облікові дані адміністратора, які ви налаштували для вузла, а потім натисніть кнопку Увійти.

2

Перейдіть до Надійного магазину та проксі-сервера, а потім виберіть параметр:

  • Немає проксі— параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібне.
  • Прозорий неінспекційний проксі—вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін для роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.
  • Прозорий проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних не потрібні зміни конфігурації HTTPS, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі-серверу. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
  • Явний проксі — за допомогою явного проксі-сервера клієнту (вузли HDS) можна вказати, який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести такі відомості:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — виберіть http (переглядає та контролює всі запити, отримані від клієнта) або https (надає канал на сервер, клієнт отримує та перевіряє сертифікат сервера). Виберіть варіант, виходячи з того, що підтримує ваш проксі-сервер.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно для проксі HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно для проксі HTTP або HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно лише для проксі HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

Виконайте наступні кроки для прозорої перевірки проксі-сервера, явного HTTP-проксі з базовою автентифікацією або явного проксі-сервера HTTPS.

3

Клацніть « Завантажити кореневий сертифікат» або «Завершити сертифікатсутності», а потім перейдіть до вибору кореневого сертифіката для проксі-сервера.

Сертифікат завантажено, але ще не інстальовано, оскільки для встановлення сертифіката потрібно перезавантажити вузол. Клацніть стрілку шеврона біля імені емітента сертифіката, щоб отримати докладніші відомості, або натисніть кнопку Видалити , якщо ви припустилися помилки та хочете повторно завантажити файл.

4

Натисніть кнопку Перевірити підключення до проксі, щоб перевірити підключення до мережі між вузлом і проксі-сервером.

Якщо тест підключення не пройшов, ви побачите повідомлення про помилку, у якому вказано причину та способи усунення проблеми.

Якщо ви бачите повідомлення про те, що зовнішня роздільна здатність DNS не була успішною, вузол не зміг дістатися до DNS-сервера. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол буде працювати в режимі роздільної здатності заблокованих зовнішніх DNS. Якщо ви вважаєте, що це помилка, виконайте наведені дії, а потім перегляньте Вимкнути режим роздільної здатності заблокованих зовнішніх DNS.

5

Після того, як тест з'єднання пройде, для явного проксі-сервера, встановленого лише на https, увімкніть перемикач до Маршрутизація всіх запитів порту 443/444 https з цього вузла через явний проксі. Для набрання чинності цим параметром потрібно 15 секунд.

6

Натисніть кнопку Інсталювати всі сертифікати в надійний магазин (відображається для проксі-сервера HTTPS відвертої перевірки або прозорого проксі-сервера для перевірки) або Перезавантажити (відображається для явного проксі-сервера HTTP), прочитайте запит і натисніть кнопку Інсталювати , якщо все готово.

Вузол перезавантажується протягом декількох хвилин.

7

Після перезавантаження вузла увійдіть знову, якщо потрібно, а потім відкрийте сторінку Огляду , щоб перевірити перевірки підключення, щоб переконатися, що всі вони в зеленому стані.

Перевірка проксі-з'єднання лише тестує субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі хмарні домени, перелічені в інструкціях з інсталяції, блокуються на проксі-сервері.

Зареєструвати перший вузол у кластері.

Для цього завдання потрібен універсальний вузол, який ви створили в Налаштування VM гібридної безпеки даних, реєструє вузол із хмарою Webex і перетворює його в вузол гібридної безпеки даних.

Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначений вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Налаштувати.

4

На сторінці, що відкривається, клацніть Додати ресурс.

5

У першому полі Додати вузол введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних.

Рекомендовано назвати кластер залежно від місця географічного розташування вузлів кластера. Приклади: "Сан-Франциско" або "Нью-Йорк" або "Даллас"

6

У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Додати внизу екрана.

Ця IP-адреса або повне доменне ім’я хоста й домен, які використовувалися в Налаштуванні VM гібридної безпеки даних.

З’явиться повідомлення, що вказує на те, що можна зареєструвати свій вузол у Webex.
7

Клацніть Перейти до вузла.

Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації Webex дозволи на доступ до вашого вузла.

8

Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.
9

Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

На сторінці Гібридна безпека даних новий кластер, що містить зареєстрований вами вузол, буде відображено на вкладці Ресурси . Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

Створити й зареєструвати більше вузлів

Щоб додати додаткові вузли до кластера, просто створіть додаткові VM і змонтуйте той самий файл ISO конфігурації, а потім зареєструйте вузол. Рекомендовано мати принаймні 3 вузли.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Створіть нову віртуальну машину з OVA, повторюючи кроки в Установити OVA організатора HDS.

2

Налаштуйте початкову конфігурацію на новому VM, повторюючи кроки в Налаштуванні VM гібридної безпеки даних.

3

У новому VM повторіть кроки в Передати та змонтувати ISO конфігурації HDS.

4

Якщо ви налаштовуєте проксі для розгортання, повторіть кроки в Налаштуйте вузол HDS для інтеграції проксі , як це необхідно для нового вузла.

5

Зареєструйте вузол.

  1. У https://admin.webex.com виберіть Служби в меню ліворуч від екрана.

  2. У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Переглянути всі.

    З’явиться сторінка ресурсів гібридної безпеки даних.

  3. Щойно створений кластер відобразиться на сторінці Ресурси .

  4. Клацніть кластер, щоб переглянути вузли, призначені до кластера.

  5. Клацніть Додати вузол у правій частині екрана.

  6. Введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та натисніть Додати.

    Відкривається сторінка з повідомленням про те, що ви можете зареєструвати свій вузол у хмарі Webex. Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації дозволи на доступ до вашого вузла.

  7. Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

    Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.

  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

    Доданий вузол спливаюче повідомлення також відображається внизу екрана в Партнерському центрі.

    Ваш вузол зареєстровано.

Керування організаціями клієнтів у розділі гібридної безпеки даних із підтримкою кількох клієнтів

Активувати HDS із підтримкою кількох клієнтів у Партнерському центрі

Це завдання гарантує, що всі користувачі в організації клієнта зможуть почати використовувати HDS для локальних ключів шифрування та інших служб безпеки.

Перед початком

Переконайтеся, що ви завершили налаштування кластера HDS із кількома клієнтами з необхідною кількістю вузлів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

4

Клацніть Активувати HDS на картці стану HDS .

Додати організації осередків у партнерський центр

У цьому завданні призначаються організації клієнтів до кластера гібридної безпеки даних.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

Клацніть кластер, до якого ви хочете призначити клієнта.

5

Перейдіть на вкладку Призначені клієнти .

6

Клацніть Додати клієнтів.

7

Виберіть клієнта, якого потрібно додати з розкривного меню.

8

Клацніть Додати, клієнта буде додано до кластера.

9

Повторіть кроки 6–8, щоб додати декілька клієнтів до кластера.

10

Клацніть Готово внизу екрана після додавання клієнтів.

Що далі

Запустіть інструмент налаштування HDS, як докладніше описано в розділі Створити головні ключі клієнта (CMK), використовуючи інструмент налаштування HDS , щоб завершити процес налаштування.

Створити головні ключі клієнта (CMK) за допомогою інструмента налаштування HDS

Перед початком

Призначте клієнтів до відповідного кластера, як детально описано в Додати організації клієнтів у Партнерському центрі. Запустіть інструмент налаштування HDS, щоб завершити процес налаштування для нещодавно доданих клієнтських організацій.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

Переконайтеся, що підключення до бази даних для виконання керування CMK.
11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Створити CMK для всіх організацій або Створити CMK . Натисніть цю кнопку на банері вгорі екрана, щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Створити CMK , щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть … біля керування CMK, що очікує стан конкретної організації в таблиці, і клацніть Створити CMK , щоб створити CMK для цієї організації.
12

Після успішного створення CMK стан у таблиці буде змінено з очікування керування CMK на кероване CMK.

13

Якщо не вдалося створити CMK, буде відображено помилку.

Видалити організації осередків

Перед початком

Після видалення користувачі організацій клієнтів не зможуть використовувати HDS для потреб шифрування та втратять усі наявні простори. Перш ніж видалити організації клієнтів, зверніться до партнера Cisco або менеджера облікових записів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

На вкладці Ресурси клацніть кластер, з якого потрібно видалити організації клієнтів.

5

На сторінці, що відкривається, клацніть Призначені клієнти.

6

У списку відображуваних організацій клієнта клацніть ... праворуч від організації клієнта, яку потрібно видалити, і клацніть Видалити з кластера.

Що далі

Завершіть процес видалення, відкликавши CMK організацій клієнтів, як описано в розділі Відкликання CMK клієнтів, видалених із HDS.

Відкликайте CMK клієнтів, видалених з HDS.

Перед початком

Видаліть клієнтів із відповідного кластера, як описано в розділі Видалити організації клієнтів. Запустіть інструмент налаштування HDS, щоб завершити процес видалення для організацій клієнтів, які були видалені.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/ hds- setup- fedramp: stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login - u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds- setup- fedramp: stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Відкликати CMK для всіх організацій або Відкликати CMK . Натисніть цю кнопку на банері вгорі екрана, щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Відкликати CMK , щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть біля CMK, щоб відкликати стан конкретної організації в таблиці, і клацніть Відкликати CMK , щоб відкликати CMK для цієї конкретної організації.
12

Після успішного відкликання CMK організація клієнта більше не відображатиметься в таблиці.

13

Якщо скасування CMK не вдасться, буде відображено помилку.

Протестуйте розгортання гібридної безпеки даних

Перевірити розгортання гібридної безпеки даних

Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних для кількох клієнтів.

Перед початком

  • Налаштуйте розгортання гібридної безпеки даних із кількома клієнтами.

  • Упевніться, що у вас є доступ до syslog, щоб переконатися, що запити ключів передаються до розгортання гібридної безпеки даних із кількома клієнтами.

1

Ключі для певного простору встановлюються його творцем. Увійдіть в програму Webex як один із користувачів організації клієнта, а потім створіть простір.

Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюються користувачами, більше не буде доступний після заміни кешованих клієнтом копій ключів шифрування.

2

Надішліть повідомлення до нового простору.

3

Перевірте вивід syslog, щоб переконатися, що запити ключів передаються розгортанню гібридної безпеки даних.

  1. Щоб перевірити, чи користувач спочатку встановив безпечний канал для KMS, виконайте фільтрування на kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Ви повинні знайти запис, наприклад такий (ідентифікатори скорочено для зручності читання):
    21 липня 2020 р. 17:35:34.562 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: // hds2. org5. portun. us/ statickeys/ 3[~]0 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2. org5. portun. us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data. uri=kms://hds2. org5. portun. us/ecdhe, kms.data.userId=0[~]2

  2. Щоб перевірити, чи користувач запитує наявний ключ із KMS, виконайте фільтрування у розділі kms.data.method=retrieve і kms.data.type=KEY:

    Необхідно знайти запис, наприклад:
    21 липня 2020 р. 17:44:19.889 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-31] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms. data. method=retrieve, kms. merc.id=c[~]7, kms. merc.sync=false, kms. data. uriHost=ciscospark. com, kms. data. type=KEY, kms. data. requestId=9[~]3, kms. data. uri=kms://ciscospark. com/keys/ d[~]2, kms. data. userId=1[~]b

  3. Щоб перевірити, чи користувач запитує створення нового ключа KMS, виконайте фільтрування у розділі kms.data.method=create і kms.data.type=KEY_COLLECTION:

    Необхідно знайти запис, наприклад:
    21 липня 2020 р. 17:44:21.975 (+0000) ІНФОРМАЦІЯ KMS [pool-14-thread-33] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data. uri=/keys, kms.data.userId=1[~]b

  4. Щоб перевірити, чи користувача, який запитує створення нового ресурсного об’єкта KMS (KRO) під час створення простору або іншого захищеного ресурсу, виконайте фільтрування у розділі kms.data.method=create та kms.data.type=RESOURCE_COLLECTION:

    Необхідно знайти запис, наприклад: 
    21 липня 2020 р. 17:44:22.808 (+0000) ІНФОРМАЦІЯ KMS [pool-15-thread-1] - [KMS:REQUEST] отримано, ідентифікатор пристрою: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: // hds2. org5. portun. us/ ecdhe/ 5[~]1 (EncryptionKmsMessageHandler. java: 312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Моніторинг гібридної безпеки даних

Індикатор стану в Партнерському центрі показує, чи все гаразд із розгортанням гібридної безпеки даних для кількох клієнтів. Щоб підвищити активність оповіщень, зареєструйтеся в сповіщеннях електронною поштою. Ви отримаєте сповіщення, якщо з’являться попередження, які впливають на службу, або оновлення версії програмного забезпечення.
1

У Партнерському центрі виберіть Служби в меню зліва екрана.

2

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

З’явиться сторінка параметрів гібридної безпеки даних.
3

У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділених комами, і натисніть Enter.

Керуйте розгортанням HDS

Керування розгортанням HDS

Для керування розгортанням гібридної безпеки даних використовуйте завдання, описані тут.

Установити розклад оновлення кластера.

Оновлення версії програмного забезпечення для гібридної безпеки даних здійснюється автоматично на рівні кластера, завдяки чому всі вузли завжди працюють одну й ту саму версію програмного забезпечення. Оновлення версії здійснюється відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стане доступним, у вас є можливість вручну оновити версію до запланованого часу оновлення версії. Можна встановити конкретний розклад оновлення версії або використовувати розклад за замовчуванням, який становить 3:00 ранку щоденно у США: Америка/Лос-Анджелес. Ви також можете за потреби відкласти майбутні оновлення версії.

Щоб налаштувати розклад оновлення версії, виконайте наведені нижче дії.

1

Увійдіть у партнерський центр.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Налаштувати.

4

На сторінці ресурсів гібридної безпеки даних виберіть кластер.

5

Клацніть вкладку Налаштування кластера .

6

"На сторінці ""Налаштування кластера"" в розділі ""Розклад оновлення версії"" виберіть час і часовий пояс для розкладу оновлення версії."

Примітки У часовому поясі відображено наступну дату й час оновлення версії. Можна відкласти оновлення на наступний день, якщо потрібно, клацнувши Відкласти на 24 години.

Змінити конфігурацію вузла

Іноді вам може знадобитися змінити конфігурацію вузла гібридної безпеки даних з такої причини, як:

  • Зміна сертифікатів x.509 через закінчення терміну дії або інші причини.

    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовується для реєстрації кластера.

  • Оновлення параметрів бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

    Ми не підтримуємо перенесення даних з PostgreSQL до Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, розпочніть нове розгортання гібридної системи захисту даних.

  • Створення нової конфігурації для підготовки нового центру обробки даних.

Крім того, з метою безпеки Hybrid Data Security використовує паролі службових облікових записів, термін дії яких становить дев'ять місяців. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з ваших вузлів HDS у файлі конфігурації ISO. Коли паролі вашої організації наближаються до закінчення терміну дії, ви отримуєте повідомлення від команди Webex про скидання пароля для облікового запису вашого комп'ютера. (Електронний лист містить текст "Використовуйте API облікового запису машини, щоб оновити пароль.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

  • Програмне скидання— старі й нові паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

  • Жорстке скидання— старі паролі негайно припиняють працювати.

Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

Використовуйте цю процедуру, щоб створити новий файл конфігурації ISO і застосувати його до вашого кластера.

Перш ніж почати

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Partner Hub із повними правами адміністратора партнера.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker у 1.e. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Щоб створити нову конфігурацію, вам потрібна копія поточного файла конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. ISO потрібен під час внесення змін у конфігурацію, включаючи облікові дані бази даних, оновлення сертифікатів або зміни в політиці авторизації.

1

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

    У звичайних середовищах:

    docker rmi ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker rmi ciscocitg/ hds- setup- fedramp: stable

    Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

  2. Щоб увійти до реєстру Docker-зображень, введіть наступне:

    docker login - u hdscustomersro

  3. На запиті пароля введіть цей хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Завантажте останнє стабільне зображення для вашого середовища:

    У звичайних середовищах:

    docker pull ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker pull ciscocitg/hds- setup- fedramp: stable

    Обов 'язково потягніть найновіший інструмент налаштування для цієї процедури. Версії інструмента, створені до 22 лютого 2018 року, не мають екранів скидання пароля.

  5. Після завершення витягування введіть відповідну команду для вашого середовища:

    • У звичайних середовищах без проксі-сервера:

      docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable

    • У звичайних середовищах з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable

    • У звичайних середовищах з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У середовищах FedRAMP без проксі-сервера:

      docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable

    • У середовищах FedRAMP з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable

    • У середовищах FedRAMP з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Коли контейнер запущений, ви бачите "Експрес-прослуховування сервера на порту 8080".

  6. Використовуйте браузер для підключення до localhost, http://127.0.0.1:8080.

    Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

  7. Коли з’явиться відповідний запит, введіть облікові дані для входу клієнта Partner Hub, а потім клацніть Прийняти , щоб продовжити.

  8. Імпортувати поточний файл конфігурації ISO.

  9. Дотримуйтеся вказівок, щоб завершити роботу інструменту та завантажити оновлений файл.

    Щоб закрити інструмент налаштування, введіть CTRL+C.

  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

2

Якщо у вас працює лише один вузол HDS, створіть новий вузол гібридної безпеки даних VM і зареєструйте його, використовуючи новий файл ISO конфігурації. Докладні інструкції див. в розділі Створення та реєстрація додаткових вузлів.

  1. Встановіть HDS-хост OVA.

  2. Налаштуйте віртуальну машину HDS.

  3. Змонтувати оновлений файл конфігурації.

  4. Зареєструйте новий вузол у партнерському центрі.

3

Для існуючих вузлів HDS, у яких запущено старий файл конфігурації, змонтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

  1. Вимкніть віртуальну машину.

  2. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  3. Натисніть CD /DVD-дисковод 1, виберіть параметр для монтування з файлу ISO та перейдіть до розташування, куди ви завантажили файл ISO нової конфігурації.

  4. Перевірте підключення при увімкненому живленні.

  5. Заощаджуйте зміни та енергію на віртуальній машині.

4

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, який виконує стару конфігурацію.

Вимкнення режиму роздільної здатності заблокованих зовнішніх DNS

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. Якщо DNS-серверу вузла не вдається розпізнати загальнодоступні імена DNS, вузол автоматично переходить у режим блокування зовнішньої роздільної здатності DNS.

Якщо ваші вузли можуть вирішувати загальнодоступні імена DNS через внутрішні DNS-сервери, ви можете вимкнути цей режим, повторивши тест проксі-з'єднання на кожному вузлі.

Перш ніж почати

Переконайтеся, що ваші внутрішні DNS-сервери можуть розпізнавати загальнодоступні імена DNS і що ваші вузли можуть зв'язуватися з ними.
1

У браузері відкрийте інтерфейс вузла гібридної безпеки даних (IP-адреса/налаштування), наприклад, введіть облікові дані адміністратора, https://192.0.2.0/setup), які настроєно для вузла, а потім натисніть кнопку Увійти.

2

Перехід до розділу Огляд (сторінка за замовчуванням).

Якщо ввімкнено, для параметра "Заблокована зовнішня роздільна здатність DNS" встановлено значення "Так".

3

Перейдіть на сторінку Надійний магазин і проксі .

4

Натисніть Перевірити підключенняпроксі-сервера.

Якщо ви бачите повідомлення про те, що зовнішнє дозвіл DNS не було успішним, вузол не зміг дістатися до DNS-сервера і залишиться в цьому режимі. В іншому випадку, після того, як ви перезавантажите вузол і повернетеся на сторінку огляду , заблоковане зовнішнє дозвіл DNS має бути встановлено на "ні".

Що далі

Повторіть тест проксі-з'єднання на кожному вузлі в кластері гібридної безпеки даних.

Видалити вузол

Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi та вимкнути віртуальну машину.

2

Видалити вузол:

  1. Увійдіть до концентратора партнера й виберіть Служби.

  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів гібридної безпеки даних.

  3. Виберіть кластер, щоб відобразити його панель огляду.

  4. Клацніть вузол, який потрібно видалити.

  5. Клацніть Скасувати реєстрацію цього вузла на панелі, що з’явиться справа.

  6. Можна також скасувати реєстрацію вузла, клацнувши … праворуч від вузла й вибравши Видалити цей вузол.

3

У клієнті vSphere видаліть VM. (На панелі навігації ліворуч клацніть правою кнопкою миші VM і клацніть Видалити.)

Якщо ви не видалите VM, не забудьте демонтувати файл ISO конфігурації. Без файлу ISO неможливо використовувати VM для доступу до даних безпеки.

Відновлення після відмови за допомогою центру обробки даних у режимі очікування

Найважливішою службою, яку надає кластер гібридної безпеки даних, є створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, призначеного для гібридної безпеки даних, запити на створення нового ключа маршрутизуються в кластер. Кластер також несе відповідальність за повернення створених ключів будь-яким користувачам, авторизованим для їх отримання, наприклад учасникам простору розмови.

Оскільки кластер виконує критичну функцію надання цих ключів, дуже важливо, щоб кластер продовжував працювати та щоб підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕПОПРАВНОЇ ВТРАТИ контенту клієнта. Для запобігання такої втрати є обов'язковими такі практики:

Якщо внаслідок стихійного лиха розгортання HDS у основному центрі обробки даних стане недоступним, виконайте цю процедуру, щоб вручну виконати аварійне перемикання на центр обробки даних у режимі очікування.

Перед початком

Скасуйте реєстрацію всіх вузлів із Партнерського центру, як зазначено в розділі Видалити вузол. Щоб виконати процедуру аварійного перемикання, згадану нижче, використовуйте останній файл ISO, налаштований проти вузлів кластера, який раніше був активний.
1

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створити ISO конфігурації для хостів HDS.

2

Завершіть процес конфігурації та збережіть файл ISO у зручному для пошуку розташуванні.

3

Зробіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

4

У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

5

Клацніть Змінити налаштування >Диск CD/DVD 1 і виберіть файл ISO Datastore.

Переконайтеся, що встановлено прапорець параметрів Підключено та Connect при увімкненні , щоб оновлені зміни конфігурації набули сили після запуску вузлів.

6

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

7

Зареєструйте вузол у партнерському центрі. Див. розділ Зареєструвати перший вузол у кластері.

8

Повторити процес для кожного вузла в центрі обробки даних у режимі очікування.

Що далі

Після аварійного перемикання, якщо основний центр обробки даних знову стане активним, скасуйте реєстрацію вузлів центру обробки даних у режимі очікування та повторіть процес налаштування ISO та реєстрації вузлів основного центру обробки даних, як зазначено вище.

(Необов’язково) Демонтування ISO після конфігурації HDS

Стандартна конфігурація HDS працює зі змонтованим ISO. Але деякі клієнти воліють не залишати файли ISO постійно змонтовані. Можна демонтувати файл ISO після того, як усі вузли HDS підхопили нову конфігурацію.

Ви все ще використовуєте файли ISO для внесення змін до конфігурації. Під час створення нового ISO або оновлення ISO за допомогою інструмента налаштування потрібно змонтувати оновлене ISO на всіх вузлах HDS. Після того як усі ваші вузли отримають зміни конфігурації, можна знову демонтувати ISO за допомогою цієї процедури.

Перед початком

Оновіть версію всіх вузлів HDS до версії 2021.01.22.4720 або пізнішої.

1

Закрийте один із вузлів HDS.

2

У пристрої vCenter Server Device виберіть вузол HDS.

3

Виберіть Змінити налаштування > Диск CD/DVD і зніміть прапорець файлу ISO Datastore.

4

Увімкніть вузол HDS і переконайтеся, що попередження відсутнє щонайменше 20 хвилин.

5

Повторюйте для кожного вузла HDS по черзі.

Усунення несправностей гібридної безпеки даних

Переглянути сповіщення та усунути несправності

Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що вимагає часу очікування. Якщо користувачі не можуть зв’язатися з кластером гібридної безпеки даних, вони відчувають такі симптоми:

  • Не вдалося створити нові простори (неможливо створити нові ключі).

  • Не вдалося розшифрувати повідомлення та назви просторів для:

    • Нові користувачі додані до простору (неможливо отримати ключі)

    • Наявні користувачі в просторі, що використовують новий клієнт (неможливо отримати ключі).

  • Наявні користувачі в просторі продовжуватимуть успішно запускатися, доки їхні клієнти матимуть кеш ключів шифрування.

Важливо належним чином відстежувати кластер гібридної безпеки даних і швидко надсилати будь-які сповіщення, щоб уникнути порушення роботи служби.

Оповіщення

Якщо виникла проблема з налаштуванням гібридної безпеки даних, Партнерський центр відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато загальних сценаріїв.

Таблиця 1. Загальні проблеми та кроки для їх вирішення

Сповіщення

Дія

Помилка доступу до локальної бази даних.

Перевірте наявність помилок бази даних або проблем локальної мережі.

Помилка підключення до локальної бази даних.

Перевірте доступність сервера бази даних і правильні облікові дані облікового запису служби використано в конфігурації вузла.

Помилка доступу до хмарної служби.

Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього з’єднання.

Поновлення реєстрації хмарної служби.

Реєстрацію в хмарних службах скасовано. Триває подовження реєстрації.

Реєстрацію хмарної служби скасовано.

Реєстрацію в хмарних службах припинено. Роботу служби припиняється.

Службу ще не активовано.

Активуйте HDS у Партнерському центрі.

Налаштований домен не відповідає сертифікату сервера.

Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

Найімовірніша причина полягає в тому, що сертифікат CN нещодавно був змінений і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

Не вдалось автентифікувати в хмарних службах.

Перевірте точність і можливий термін дії облікових даних облікового запису обслуговування.

Не вдалося відкрити локальний файл сховища ключів.

Перевірте цілісність і точність пароля у локальному файлі сховища ключів.

Неприпустимий сертифікат локального сервера.

Перевірте дату закінчення терміну дії сертифіката сервера й упевніться, що він був виданий довіреним центром сертифікації.

Не вдалося опублікувати показники.

Перевірте доступ до локальної мережі до зовнішніх хмарних служб.

Каталогу /media/configdrive/hds не існує.

Перевірте конфігурацію змонтування ISO на віртуальному вузлі. Переконайтеся, що файл ISO існує, що його налаштовано на монтування до перезавантаження та що він успішно монтується.

Налаштування організації клієнта не завершено для доданих організацій

Завершіть налаштування, створивши CMK для нещодавно доданих організацій клієнтів за допомогою інструменту налаштування HDS.

Налаштування організації клієнта не завершено для видалених організацій

Завершіть налаштування, відкликавши CMK організацій клієнтів, які були вилучені за допомогою інструменту налаштування HDS.

Усунення несправностей гібридної безпеки даних

Використовуйте наведені далі загальні інструкції під час виправлення неполадок із службою гібридної безпеки даних.
1

Перегляньте Партнерський центр на наявність будь-яких сповіщень і виправте будь-які знайдені в ньому елементи. Для довідки дивіться зображення нижче.

2

Перегляньте вивід сервера syslog для дій із розгортання гібридної безпеки даних. Щоб допомогти у вирішенні неполадок, виконайте фільтр для таких слів, як "Попередження" та "Помилка".

3

Зверніться до служби підтримки Cisco.

Інші примітки

Відомі проблеми гібридної безпеки даних

  • Якщо закрити кластер гібридної безпеки даних (видалити його в партнерському центрі або закрити всі вузли), втратити файл ISO конфігурації або втратити доступ до бази даних сховища ключів, користувачі програми Webex організацій клієнтів більше не зможуть використовувати простори зі списку осіб, створені за допомогою клавіш із KMS. Зараз у нас немає готового рішення або виправлення цієї проблеми. Ми закликаємо вас не закривати ваші служби HDS після того, як вони обробляють облікові записи активних користувачів.

  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом періоду часу (ймовірно, однієї години).

Використовуйте OpenSSL для створення файлу PKCS12

Перед початком

  • OpenSSL — це інструмент, який можна використовувати для створення файлу PKCS12 у належному форматі для завантаження в інструменті налаштування HDS. Є й інші способи зробити це, і ми не підтримуємо чи не просуваємо один шлях над іншим.

  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, щоб допомогти вам створити файл, який відповідає вимогам сертифіката X.509 у Вимогам до сертифіката X.509. Перш ніж продовжити, ознайомтеся з цими вимогами.

  • Установіть OpenSSL у підтримуваному середовищі. Див. https://www.openssl.org програмне забезпечення та документацію.

  • Створіть закритий ключ.

  • Почніть цю процедуру, коли ви отримаєте сертифікат сервера від Certificate Authority (CA).

1

Отримавши сертифікат сервера від ЦС, збережіть його як hdsnode.pem.

2

Відобразити сертифікат у вигляді тексту та перевірте відомості.

openssl x509 -text -noout -in hdsnode.pem

3

Використовуйте текстовий редактор, щоб створити файл пакету сертифікатів під назвою hdsnode-bundle.pem. Файл пакету повинен містити сертифікат сервера, будь-які проміжні сертифікати ЦС і кореневі сертифікати ЦС у форматі нижче:

----BEGIN CERTIFICATE------- ### Сертифікат сервера. ### -----END CERTIFICATE------------BEGIN CERTIFICATE----- ### Проміжний сертифікат CA. ### -----END CERTIFICATE---------BEGIN CERTIFICATE----- ### Кореневий сертифікат CA. ### -----END CERTIFICATE-----

4

Створіть файл .p12 з дружнім ім’ям kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Перевірте відомості про сертифікат сервера.

  1. openssl pkcs12 - in hdsnode.p12

  2. Введіть пароль у поле запиту, щоб зашифрувати закритий ключ так, щоб його було відображено в виведенні. Потім переконайтеся, що закритий ключ і перший сертифікат містять лінії дружніName: kms- private- key.

    Приклад:

    bash$ openssl pkcs12 -in hdsnode.p12 Введіть пароль імпорту: Перевірені MAC атрибути пакету OK дружніІм’я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключові атрибути:  Введіть фразу передавання PEM: Перевірка – введіть фразу передавання PEM: -----BEGIN ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ-----  -----END ЗАШИФРОВАНИЙ ПРИВАТНИЙ КЛЮЧ------ Атрибути сумки дружніІм'я: kms- private- key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------- Bag Attributes friendlyName: CN=Дозволити Encrypt Authority X3,O=Дозволити Encrypt,C=US subject=/C=US/O=Дозволити Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-------

Що далі

Поверніться до завершення обов’язкових умов для гібридної безпеки даних. Файл hdsnode.p12 і налаштований для нього пароль буде використано в Створити ISO конфігурації для хостів HDS.

Можна повторно використовувати ці файли, щоб надіслати запит на новий сертифікат, коли термін дії оригінального сертифіката завершиться.

Трафік між вузлами HDS і хмарою

Трафік збору вихідних показників

Вузли гібридної безпеки даних надсилають певні показники в хмару Webex. До них відносяться системні показники для максимальної кількості ключів, кількості використаних ключів, навантаження ЦП та кількості ланцюжків; показники для синхронізованих і асинхронних потоків; показники для сповіщень, що включають поріг підключень шифрування, затримку або довжину черги запитів; показники на сервері даних; показники підключення шифрування. Вузли надсилають зашифрований матеріал ключа через канал поза смугою (окремо від запиту).

Вхідний трафік

Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

  • Запити на шифрування від клієнтів, маршрутизованих службою шифрування

  • Оновлення версії програмного забезпечення вузла

Налаштувати проксі-сервери Squid для гібридної безпеки даних

Websocket не може підключитися через проксі-сервер Squid

Проксі-сервери, які перевіряють HTTPS-трафік, можуть перешкоджати встановленню з’єднань вебсокетів (wss:), які потребують гібридної безпеки даних. У цих розділах наведено інструкції щодо налаштування різних версій Squid, щоб ігнорувати wss: трафік для належної експлуатації послуг.

Кальмари 4 і 5

Додайте on_unsupported_protocol директиву до squid.conf:

on_unsupported_protocol тунель усі

Кальмари 3.5.27

Ми успішно протестували гібридну безпеку даних за допомогою наступних правил, доданих до squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

acl wssMercuryConnection ssl::Mercury-server_name_regex connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 всі ssl_bump stare step2 всі ssl_bump bump step3 всі

Нова й змінена інформація

Нова й змінена інформація

У цій таблиці наведено нові функції або функції, зміни наявного контенту та будь-які основні помилки, які було виправлено в Посібнику з розгортання гібридної безпеки даних для кількох клієнтів.

Дата

Внесені зміни

04 березня 2025 року

30 січня 2025 року

Додано версію SQL сервера 2022 до списку підтримуваних серверів SQL у Вимоги до сервера бази даних.

15 січня 2025 року

Додано обмеження гібридної безпеки даних для кількох клієнтів.

08 січня 2025 року

У розділі Виконати початкове налаштування та завантажити файли встановлення додано примітку, у якій зазначено, що натискання Налаштування на картці HDS у Партнерському центрі є важливим кроком процесу встановлення.

07 січня 2025 року

Оновлено вимоги до віртуального хоста, Процес розгортання гібридної безпеки даних та Установіть HDS Host OVA , щоб показати нову вимогу ESXi 7.0.

13 грудня 2024 року

Вперше опубліковано.

Деактивувати безпеку гібридних даних із кількома клієнтами

Потік завдань деактивації HDS для кількох клієнтів

Виконайте наведені дії, щоб повністю деактивувати HDS для кількох клієнтів.

Перед початком

Це завдання має виконувати лише адміністратор партнера з повними правами.
1

Видаліть усіх клієнтів з усіх кластерів, як зазначено в Видалити організації клієнтів.

2

Анулюйте CMK усіх клієнтів, як зазначено в Анулюйте CMK клієнтів, видалених із HDS..

3

Видаліть усі вузли з усіх кластерів, як зазначено в Видалити вузол.

4

Видаліть усі кластери з Партнерського центру за допомогою одного з двох наведених нижче способів.

  • Клацніть кластер, який потрібно видалити, і виберіть Видалити цей кластер у правому верхньому куті сторінки огляду.
  • На сторінці Ресурси клацніть … праворуч від кластера та виберіть Видалити кластер.
5

Клацніть вкладку Налаштування на сторінці огляду гібридної безпеки даних і натисніть Деактивувати HDS на картці стану HDS.

Початок роботи з гібридною безпекою даних для кількох клієнтів

Огляд гібридної безпеки даних для кількох клієнтів

З першого дня безпека даних була основним завданням у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, яке ввімкнено клієнтами програми Webex, які взаємодіють зі службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і дешифрування повідомлень і файлів.

За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS у області безпеки Cisco. Гібридна безпека даних переміщує KMS та інші функції, пов'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не тримає ключі до вашого зашифрованого вмісту.

Багатоклієнтська гібридна безпека даних дозволяє організаціям використовувати HDS через довіреного локального партнера, який може виступати як постачальник послуг і керувати локальним шифруванням та іншими службами безпеки. Це налаштування дозволяє партнерській організації мати повний контроль за розгортанням ключів шифрування та керування ними, а також гарантує безпеку даних користувачів організацій клієнта від зовнішнього доступу. Партнерські організації налаштовують екземпляри HDS і створюють кластери HDS за потреби. Кожен екземпляр може підтримувати кілька організацій клієнта, на відміну від звичайного розгортання HDS, яке обмежується однією організацією.

Хоча партнерські організації мають контроль за розгортанням і керуванням, вони не мають доступу до даних і контенту, що створюються клієнтами. Цей доступ обмежено організаціями клієнта та їхніми користувачами.

Це також дозволяє невеликим організаціям використовувати HDS, оскільки Ключові служби керування та інфраструктура безпеки, як-от центри обробки даних, належать довіреним місцевим партнером.

Як багатоклієнтська гібридна безпека даних забезпечує суверенітет і контроль даних

  • Створений користувачами контент захищено від зовнішнього доступу, як-от постачальники хмарних послуг.
  • Надійні місцеві партнери управляють ключами шифрування клієнтів, з якими вони вже мають налагоджені відносини.
  • Варіант місцевої технічної підтримки, якщо надано партнером.
  • Підтримує контент нарад, обміну повідомленнями й викликів.

Цей документ спрямований на допомогу партнерським організаціям у налаштуванні та керуванні клієнтами в системі гібридної безпеки даних із підтримкою кількох клієнтів.

Обмеження гібридної безпеки даних із кількома клієнтами

  • Партнерські організації не повинні мати жодного наявного розгортання HDS, активного в Control Hub.
  • Організації клієнта або клієнта, якими хоче керувати партнер, не повинні мати наявне розгортання HDS у Control Hub.
  • Після розгортання партнером HDS із підтримкою кількох клієнтів усі користувачі організацій клієнта, а також користувачі партнерської організації починають використовувати HDS із підтримкою кількох клієнтів для своїх служб шифрування.

    Партнерська організація та організації клієнтів, якими вони керують, здійснюватимуть те саме розгортання HDS із підтримкою кількох клієнтів.

    Партнерська організація більше не використовуватиме хмарну KMS після розгортання HDS із підтримкою кількох клієнтів.

  • Відсутній механізм для повернення ключів назад до Cloud KMS після розгортання HDS.
  • Зараз кожне розгортання багатоклієнтського HDS може мати лише один кластер із кількома вузлами під ним.
  • Ролі адміністратора мають певні обмеження. Додаткову інформацію див. в розділі нижче.

Ролі в гібридній безпеці даних із кількома клієнтами

  • Повний адміністратор партнера – може керувати налаштуваннями для всіх клієнтів, якими керує партнер. Також може призначати ролі адміністратора наявним користувачам в організації та призначати певних клієнтів, якими керуватимуть адміністратори партнера.
  • Адміністратор партнера – може керувати налаштуваннями клієнтів, підготовленими адміністратором або призначеними користувачу.
  • Повний адміністратор – адміністратор партнерської організації, який має право виконувати такі завдання, як зміна налаштувань організації, керування ліцензіями та призначення ролей.
  • Наскрізне налаштування HDS із підтримкою кількох клієнтів і керування всіма організаціями клієнта – потрібні права повного адміністратора партнера та повного адміністратора.
  • Керування призначеними організаціями клієнта : потрібні права адміністратора партнера та повного адміністратора.

Архітектура області безпеки

Хмарна архітектура Webex розділяє різні типи служб на окремі області або домени довіри, як показано нижче.

Області розділення (без гібридної безпеки даних)

Щоб краще зрозуміти гібридну безпеку даних, спочатку розгляньмо цей випадок у чистому хмарі, де Cisco надає всі функції у своїх хмарних областях. Служба ідентифікації, єдине місце, де користувачі можуть бути безпосередньо пов’язані з їхньою персональною інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зрештою зберігається зашифрований контент, в центрі обробки даних C.

На цій діаграмі клієнтом є програма Webex, що працює на ноутбуці користувача й автентифікувався за допомогою служби ідентифікації. Коли користувач складає повідомлення для надсилання до простору, виконуються такі кроки:

  1. Клієнт встановлює захищене з’єднання зі службою керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Для захищеного з’єднання використовується ECDH, а KMS шифрує ключ за допомогою основного ключа AES-256.

  2. Повідомлення зашифровано перед тим, як воно залишає клієнта. Клієнт надсилає його в службу індексації, яка створює зашифровані пошукові індекси для допомоги в подальшому пошуку контенту.

  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

  4. Зашифроване повідомлення зберігається в області сховища.

Під час розгортання гібридної безпеки даних ви переміщуєте функції області безпеки (KMS, індексація та відповідність) до локального центру обробки даних. Інші хмарні служби, які складають Webex (зокрема, ідентифікаційні дані та сховище контенту), залишаються в області Cisco.

Співпраця з іншими організаціями

Користувачі вашої організації можуть регулярно використовувати програму Webex для співпраці з зовнішніми учасниками в інших організаціях. Коли один із ваших користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), ваш KMS надсилає ключ клієнту через канал, захищений ECDH. Однак, якщо ключ для простору належить іншій організації, ваш KMS надсилає запит в хмару Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в вихідному каналі.

Служба KMS, яку запущено в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Додаткову інформацію про створення сертифіката x.509 для використання з розгортанням гібридної безпеки даних із підтримкою кількох клієнтів див. в розділі Підготовка середовища .

Очікування розгортання гібридної безпеки даних

Розгортання гібридної безпеки даних вимагає значної прихильності та обізнаності про ризики, які виникають при наявності ключів шифрування.

Щоб розгорнути гібридну безпеку даних, необхідно надати:

Повна втрата ISO конфігурації, яку ви створюєте для гібридної безпеки даних, або бази даних, яку ви надаєте, призведе до втрати ключів. Втрата ключа забороняє користувачам розшифрувати контент простору та інші зашифровані дані в програмі Webex. Якщо це станеться, ви зможете створити нове розгортання, але буде відображено лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

  • Керування резервним копіюванням і відновленням бази даних та ISO конфігурації.

  • Будьте готові до швидкого відновлення після відмови в разі виникнення катастрофи, як-от помилка диска бази даних або помилка центру обробки даних.

Відсутній механізм для переміщення ключів назад у хмару після розгортання HDS.

Процес налаштування на високому рівні

Цей документ охоплює налаштування та керування розгортанням гібридної безпеки даних із кількома клієнтами:

  • Налаштування гібридної безпеки даних. Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення гібридної безпеки даних, створення кластера HDS, додавання організацій-клієнтів до кластера та керування їхніми основними ключами клієнта (CMK). Це дозволить усім користувачам в організації клієнта використовувати кластер гібридної безпеки даних для функцій безпеки.

    Етапи налаштування, активації та керування докладно описані в наступних трьох розділах.

  • Підтримуйте розгортання гібридної безпеки даних. Хмара Webex автоматично забезпечує постійні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати сповіщення на екрані та налаштувати сповіщення на основі електронної пошти в Партнерському центрі.

  • Ознайомтеся з поширеними сповіщеннями, кроками усунення несправностей і відомими проблемами. Якщо у вас виникли проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й вирішити цю проблему.

Модель розгортання гібридної безпеки даних

У вашому центрі обробки даних підприємства ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли зв’язуються з хмарою Webex за допомогою захищених вебсокетів і захищеного HTTP.

Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами VM. Ви використовуєте інструмент налаштування HDS для створення користувацького файлу конфігурації ISO кластера, який буде змонтовано на кожному вузлі. Кластер гібридної безпеки даних використовує наданий сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і відомості про підключення до бази даних в інструменті налаштування HDS.)

Модель розгортання гібридної безпеки даних

Мінімальна кількість вузлів, які можна мати в кластері, дорівнює два. Рекомендовано принаймні три для кластера. Наявність кількох вузлів гарантує, що служба не переривається під час оновлення версії програмного забезпечення або іншої діяльності з обслуговування на вузлі. (Хмара Webex оновлює лише один вузол за раз.)

Усі вузли в кластері отримують доступ до одного єдиного сервера системних даних і активності журналу. Самі вузли не мають статусу, і обробляють ключові запити круглим способом, як спрямовано хмарою.

Вузли стають активними, коли їх зареєстровано в Партнерському центрі. Щоб вилучити окремий вузол із експлуатації, його можна скасувати реєстрацію, а в разі потреби повторно зареєструвати.

Центр даних у режимі очікування для відновлення після відмови

Під час розгортання ви налаштували безпечний центр обробки даних у режимі очікування. У разі несправності центру обробки даних ви можете вручну не виконувати перехід до центру обробки даних у режимі очікування.

Перед аварійним переходом центр обробки даних A має активні вузли HDS і основну базу даних PostgreSQL або Microsoft SQL Server, тоді як B має копію файлу ISO з додатковими конфігураціями, зареєстрованими в організації VM, і базу даних у режимі очікування. Після аварійного перемикання центр обробки даних B має активні вузли HDS і основну базу даних, тоді як A має незареєстровані VM і копію файлу ISO, а база даних перебуває в режимі очікування.
Ручне аварійне перемикання на центр обробки даних у режимі очікування

Бази даних активних та резервних центрів обробки даних синхронізуються один з одним, що дозволить мінімізувати час, необхідний для виконання аварійного перемикання.

Активні вузли гібридної безпеки даних завжди мають бути в тому самому центрі обробки даних, що й активний сервер бази даних.

Підтримка проксі

Гібридна безпека даних підтримує явні, прозорі перевірки та неінспектування проксі. Ви можете прив'язати ці проксі до свого розгортання, щоб ви могли захищати та контролювати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для управління сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

Гібридні вузли захисту даних підтримують такі параметри проксі-сервера:

  • Немає проксі— За замовчуванням, якщо для інтеграції проксі не використовується налаштування вузла HDS Store і Proxy. Оновлення сертифіката не потрібне.

  • Прозорий неінспекційний проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін до роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.

  • Прозоре тунелювання чи інспектування проксі— вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах не потрібні зміни конфігурації HTTP або HTTPS. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

  • Явний проксі. За допомогою явного проксі-сервера вузлам HDS слід визначити, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі, необхідно ввести наступну інформацію на кожному вузлі:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:

      • HTTP — Перегляд і контроль усіх запитів, які надсилає клієнт.

      • HTTPS — забезпечує канал серверу. Клієнт отримує та перевіряє сертифікат сервера.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно, лише якщо в якості проксі-протоколу вибрано протокол HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

Приклад гібридних вузлів безпеки даних і проксі-сервера

На цій схемі наведено приклад підключення між гібридною безпекою даних, мережею та проксі-сервером. Для прозорої перевірки та явної перевірки параметрів проксі-сервера HTTPS на проксі-сервері та на вузлах гібридної безпеки даних повинен бути встановлений той самий кореневий сертифікат.

Заблокований зовнішній режим роздільної здатності DNS (явні конфігурації проксі)

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. У розгортаннях з явними конфігураціями проксі-сервера, які не дозволяють зовнішню роздільну здатність DNS для внутрішніх клієнтів, якщо вузол не може запитувати DNS-сервери, він автоматично переходить у режим блокування зовнішньої роздільної здатності DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести проксі-підключення.

Підготовка середовища

Вимоги до гібридної безпеки даних із кількома клієнтами

Вимоги до ліцензії Cisco Webex

Щоб розгорнути безпеку гібридних даних із кількома клієнтами, виконайте наведені нижче дії.

  • Партнерські організації: Зверніться до партнера Cisco або менеджера облікового запису й переконайтеся, що функцію кількох клієнтів увімкнено.

  • Організації осередків: Необхідно мати професійний пакет для Cisco Webex Control Hub. (Див. https://www.cisco.com/go/pro-pack.)

Вимоги до робочого стола Docker

Перш ніж установити вузли HDS, необхідно Docker Desktop, щоб запустити програму встановлення. Docker нещодавно оновив свою ліцензійну модель. Ваша організація може вимагати платну підписку на Docker Desktop. Для отримання детальної інформації див. допис у блозі Docker "Docker оновлює та розширює підписку на наш продукт".

Клієнти без ліцензії Docker Desktop можуть використовувати інструмент керування контейнерами з відкритим кодом, наприклад Podman Desktop, для запуску, керування та створення контейнерів. Докладніше див. в розділі Запуск інструменту налаштування HDS за допомогою робочого стола Podman .

Вимоги до сертифіката X.509

Ланцюжок сертифікатів повинен відповідати таким вимогам:

Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних

Вимоги

Відомості

  • Підписано довіреним центром сертифікації (CA)

За замовчуванням ми довіряємо ценам у списку Mozilla (за винятком WoSign і StartCom) за адресою https://wiki.mozilla.org/CA:IncludedCAs.

  • Має доменне ім’я (CN), яке ідентифікує розгортання гібридної безпеки даних.

  • Не є сертифікатом узагальнення

CN не обов’язково бути доступним або організатором у режимі реального часу. Ми рекомендуємо використовувати ім’я, що відображає вашу організацію, наприклад hds.company.com.

CN не має містити символ * (узагальнення).

CN використовується для перевірки вузлів гібридної безпеки даних клієнтам програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, визначеного в полях SAN x.509v3.

Після реєстрації вузла з цим сертифікатом зміна доменного імені CN не підтримується.

  • Підпис без SHA1

Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключення до KMS інших організацій.

  • Відформатований як файл PKCS #12 із захищеним паролем

  • Використовуйте дружнє ім’я kms-private-key для маркування сертифіката, закритого ключа та будь-яких проміжних сертифікатів для передавання.

Щоб змінити формат сертифіката, можна використовувати перетворювач, наприклад OpenSSL.

Вам потрібно буде ввести пароль, коли ви запустите інструмент налаштування HDS.

Програмне забезпечення KMS не вимагає використання ключів або розширених обмежень використання ключів. Деякі органи сертифікації вимагають, щоб до кожного сертифіката застосовувалися розширені обмеження використання ключа, як-от автентифікація сервера. Цілком нормально використовувати автентифікацію сервера або інші налаштування.

Вимоги до віртуального організатора

Віртуальні вузли, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері, мають такі вимоги:

  • Принаймні два окремих хоста (рекомендовано 3) розташовані в одному захищеному центрі обробки даних

  • VMware ESXi 7.0 (або пізнішої версії) встановлено та запущено.

    Необхідно оновити версію, якщо у вас попередня версія ESXi.

  • Мінімум 4 вЦП, 8 ГБ основної пам’яті, 30 ГБ локального жорсткого диска на сервер

Вимоги до сервера бази даних

Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

Для сервера бази даних існує два параметри. Вимоги до кожного з них такі:

Таблиця 2. Вимоги до сервера бази даних за типом бази даних

Postgre SQL

Сервер Microsoft SQL

  • PostgreSQL 14, 15 або 16, встановлено та запущено.

  • Встановлено SQL Server 2016, 2017, 2019 або 2022 (корпоративний або стандартний).

    SQL Server 2016 вимагає пакета оновлень 2 та кумулятивного оновлення 2 або пізнішої версії.

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Мінімум 8 вЦП, 16 ГБ основної пам’яті, достатній обсяг жорсткого диска і моніторинг, щоб його не перевищено (рекомендовано 2 ТБ, якщо ви хочете довго запускати базу даних без необхідності збільшувати обсяг сховища)

Програмне забезпечення HDS зараз установлює такі версії драйверів для зв’язку з сервером бази даних:

Postgre SQL

Сервер Microsoft SQL

Postgres драйвер JDBC 42.2.5

Драйвер JDBC SQL Server 4.6

Ця версія драйвера підтримує SQL Server Always On (Завжди ввімкнені екземпляри аварійного перемикання кластерів і Always On групи доступності).

Додаткові вимоги до автентифікації Windows проти Microsoft SQL Server

Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для доступу до вашої бази даних ключів на Microsoft SQL Server, то у вашому середовищі потрібна така конфігурація:

  • Вузли HDS, інфраструктуру Active Directory і MS SQL Server мають бути синхронізовані з NTP.

  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ до бази даних для читання та запису.

  • DNS-сервери, які ви надаєте вузлам HDS, повинні мати змогу вирішити ваш центр розподілу ключів (KDC).

  • Можна зареєструвати екземпляр бази даних HDS на сервері Microsoft SQL як основне ім’я служби (SPN) в Active Directory. Див. розділ Реєстрація імені головної служби для з’єднань Kerberos.

    Засіб налаштування HDS, засіб запуску HDS та локальний KMS — усі необхідні для використання автентифікації Windows для доступу до бази даних сховища ключів. Вони використовують відомості з конфігурації ISO для побудови SPN під час запиту доступу за допомогою автентифікації Kerberos.

Вимоги до зовнішнього з’єднання

Налаштуйте брандмауер, щоб дозволити таке підключення для програм HDS:

Застосування

Протокол

Порт

Напрямок з програми

Призначення

Вузли гібридної безпеки даних

TCP

443

Вихідні HTTPS і WSS

  • Сервери Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Усі організатори Common Identity

  • Інші URL-адреси, перелічені для гібридної безпеки даних у таблиці «Додаткові URL-адреси для гібридних служб Webex»«Вимоги до мережі для служб Webex»

Інструмент налаштування HDS

TCP

443

Вихідний HTTPS

  • *.wbx2.com

  • Усі організатори Common Identity

  • hub.docker.com

Вузли гібридної безпеки даних працюють із перекладом мережевого доступу (NAT) або за брандмауером, доки NAT або брандмауер дозволяють необхідні вихідні з’єднання з адресами домену, наведеними в попередній таблиці. Для з’єднань, які надходять на вхідні дані до вузлів гібридної безпеки даних, порти не повинні відображатися з інтернету. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

URL-адреси для хостів Common Identity (CI) притаманні регіонам. Це поточні організатори CI:

Регіон

URL-адреси загальних ідентифікаційних ресурсів

Північна та Південна Америки

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Європейський Союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сінгапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Об’єднані Арабські Емірати

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Вимоги до проксі-сервера

  • Ми офіційно підтримуємо наступні проксі-рішення, які можуть інтегруватися з вашими вузлами гібридної безпеки даних.

  • Ми підтримуємо такі комбінації типів автентифікації для явних проксі:

    • Немає автентифікації за допомогою HTTP або HTTPS

    • Базова автентифікація за допомогою HTTP або HTTPS

    • Автентифікація дайджесту лише за допомогою ПРОТОКОЛУ HTTPS

  • Для прозорої перевірки проксі-сервера або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі-сервера. Інструкції з розгортання в цьому посібнику розповідають, як завантажити копію в надійні сховища вузлів гібридної безпеки даних.

  • Мережа, в якій розміщуються вузли HDS, повинна бути налаштована на примусове витіснення TCP-трафіку на порту 443 для маршрутизації через проксі.

  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з'єднанню веб-сокетів. Якщо виникне ця проблема, обхід (не інспектування) трафіку до wbx2.com і ciscospark.com вирішить проблему.

Виконати передумови для гібридної безпеки даних

Використовуйте цей контрольний список, щоб переконатися, що ви готові встановити та налаштувати кластер гібридної безпеки даних.
1

Переконайтеся, що в партнерській організації ввімкнено функцію HDS для кількох клієнтів, і отримайте облікові дані облікового запису з повним адміністратором партнера та правами повного адміністратора. Переконайтеся, що в організації клієнта Webex увімкнено пакет Pro Pack для Cisco Webex Control Hub. Зверніться до партнера Cisco або менеджера облікового запису по допомогу в цьому процесі.

Організації клієнтів не повинні мати наявне розгортання HDS.

2

Виберіть доменне ім’я для розгортання HDS (наприклад, hds.company.com) і отримайте ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ та будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам Вимог до сертифіката X.509.

3

Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері. Потрібно принаймні два окремих організатори (рекомендовано 3), розташовані в одному захищеному центрі обробки даних, які відповідають вимогам Вимог до віртуального організатора.

4

Підготуйте сервер бази даних, який діятиме як сховище ключових даних для кластера, відповідно до вимог сервера бази даних. Сервер бази даних має бути розташовано в захищеному центрі обробки даних із віртуальними організаторами.

  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Після встановлення програми HDS створюють схему бази даних.)

  2. Зберіть деталі, які будуть використовувати вузли для зв’язку з сервером бази даних:

    • ім’я хоста або IP-адреса (хост) і порт

    • ім’я бази даних (dbname) для сховища ключів

    • ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

5

Для швидкого відновлення після відмови налаштуйте резервне середовище в іншому центрі обробки даних. Середовище резервного копіювання відображає середовище виробництва VM і сервер резервної бази даних. Наприклад, якщо у виробництві є 3 VM, які працюють вузли HDS, резервне середовище має мати 3 VM.

6

Налаштуйте хост syslog, щоб збирати журнали з вузлів у кластері. Зберіть його мережеву адресу та порт системного журналу (за замовчуванням — UDP 514).

7

Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста syslog. Як мінімум, щоб запобігти невиправній втраті даних, потрібно створити резервну копію бази даних і файл ISO конфігурації, створений для вузлів гібридної безпеки даних.

Оскільки вузли гібридної безпеки даних зберігають ключі, які використовуються для шифрування та дешифрування контенту, невдача підтримки оперативного розгортання призведе до НЕЗВОРОТНОЇ ВТРАТИ цього контенту.

Клієнти програми Webex ховають свої ключі, тому перебої в роботі можуть бути непомітні, але з часом ставати очевидними. Хоча тимчасові перебої неможливо запобігти, вони можуть бути відновлені. Однак повна втрата (резервних копій відсутні) файлу бази даних або ISO конфігурації призведе до незворотних даних клієнтів. Очікується, що оператори вузлів гібридної безпеки даних підтримуватимуть часті резервні копії бази даних та файлу конфігурації ISO, а також будуть готові відновити центр обробки даних гібридної безпеки даних у разі виникнення катастрофічного відмови.

8

Переконайтеся, що конфігурація брандмауера дозволяє підключення для вузлів гібридної безпеки даних, як описано в розділі Вимоги до зовнішнього з’єднання.

9

Установіть Docker ( https://www.docker.com) на будь-якому локальному комп’ютері, який працює на підтримуваній ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядній версії або Mac OSX Yosemite 10.10.3 або новіша версія) із веббраузером, який може отримати доступ до нього на сторінці http://127.0.0.1:8080.

Екземпляр Docker використовується для завантаження та запуску інструменту налаштування HDS, який збирає інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Можливо, потрібна ліцензія Docker Desktop. Додаткову інформацію див. в розділі Вимоги до робочого стола Docker .

Щоб установити й запустити інструмент налаштування HDS, локальний комп’ютер повинен мати параметр підключення, описаний у розділі Вимоги до зовнішнього підключення.

10

Під час інтеграції проксі з гібридною безпекою даних переконайтеся, що він відповідає вимогам до проксі-сервера.

Налаштувати кластер гібридної безпеки даних

Процес розгортання гібридної безпеки даних

Перш ніж почати

1

Виконати початкове налаштування та завантажити файли інсталяції

Завантажте файл OVA на локальний комп’ютер для подальшого використання.

2

Створити ISO конфігурації для хостів HDS

Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

3

Установити OVA організатора HDS

Створіть віртуальну машину з файлу OVA та виконайте початкову конфігурацію, наприклад налаштування мережі.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 7.0. Цей параметр може бути недоступний у попередніх версіях.

4

Налаштувати VM гібридної безпеки даних

Увійдіть до консолі VM і встановіть облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо їх не було налаштовано на момент розгортання OVA.

5

Вивантажити та змонтувати ISO конфігурації HDS

Налаштуйте VM із файлу конфігурації ISO, який ви створили за допомогою інструменту налаштування HDS.

6

Налаштування вузла HDS для інтеграції проксі

Якщо мережеве середовище потребує конфігурації проксі, укажіть тип проксі, який буде використовуватися для вузла, а в разі потреби додайте проксі-сертифікат до сховища довірених сертифікатів.

7

Зареєструвати перший вузол у кластері.

Зареєструйте VM із хмарою Cisco Webex як вузол гібридної безпеки даних.

8

Створити й зареєструвати більше вузлів

Завершіть налаштування кластера.

9

Активуйте HDS із підтримкою кількох клієнтів у Партнерському центрі.

Активуйте HDS і керуйте організаціями клієнтів у Партнерському центрі.

Виконати початкове налаштування та завантажити файли інсталяції

У цьому завданні ви завантажуєте файл OVA на комп’ютер (не на сервери, налаштовані як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.

1

Увійдіть до концентратора партнера й клацніть Служби.

2

У розділі «Хмарні служби» знайдіть картку гібридної безпеки даних, а потім клацніть Налаштувати.

Натискання Налаштувати в партнерському центрі має критичне значення для процесу розгортання. Не продовжуйте встановлення, не виконавши цей крок.

3

Клацніть Додати ресурс і клацніть Завантажити файл OVA на картці встановлення та налаштування програмного забезпечення .

Старіші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до виникнення проблем під час оновлення версії програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

OVA також можна завантажити будь-коли з розділу Довідка . Клацніть Налаштування > Довідка > Завантажити програмне забезпечення гібридної безпеки даних.

Файл OVA автоматично розпочне завантаження. Збережіть файл у розташуванні на комп’ютері.
4

Додатково клацніть Переглянути посібник із розгортання гібридної безпеки даних , щоб перевірити, чи доступна пізніша версія цього посібника.

Створити ISO конфігурації для хостів HDS

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

Перш ніж почати
1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login -u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO ви маєте такі параметри:

  • Ні. Якщо ви створюєте перший вузол HDS, у вас немає файлу ISO для передавання.
  • Так. Якщо ви вже створили вузли HDS, виберіть у браузері файл ISO й передайте його.
10

Переконайтеся, що сертифікат X.509 відповідає вимогам Вимогам до сертифіката X.509.

  • Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити.
  • Якщо сертифікат OK, клацніть Продовжити.
  • Якщо термін дії сертифіката завершився або ви хочете замінити його, виберіть Ні , щоб Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO?. Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити.
11

Введіть адресу бази даних та обліковий запис HDS, щоб отримати доступ до свого сервера ключових даних:

  1. Виберіть тип бази даних (PostgreSQL або Microsoft SQL Server).

    Якщо вибрати Microsoft SQL Server, буде отримано поле типу автентифікації.

  2. (тільки Microsoft SQL Server ) Виберіть тип автентифікації:

    • Базова автентифікація: Потрібне локальне ім’я облікового запису SQL Server у полі Ім’я користувача .

    • Автентифікація Windows: Потрібен обліковий запис Windows у форматі username@DOMAIN в полі Ім’я користувача .

  3. Введіть адресу сервера бази даних у формі : або :.

    Приклад:
    dbhost.example.org:1433 або 198.51.100.17:1433

    Для базової автентифікації можна використовувати IP-адресу, якщо вузли не можуть використовувати DNS для вирішення імені хоста.

    Якщо ви використовуєте автентифікацію Windows, ви повинні ввести повне доменне ім’я у форматі dbhost.example.org:1433

  4. Введіть ім’я бази даних.

  5. Введіть ім’я користувача й пароль користувача з усіма правами у базі даних сховища ключів.

12

Виберіть режим підключення до бази даних TLS:

Режим

Опис

Віддавати перевагу TLS (параметр за замовчуванням)

Вузли HDS не потребують TLS для з 'єднання з сервером бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли спробують зашифроване з’єднання.

Вимагати TLS

Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

Вимагати TLS і перевірити підписувача сертифіката

Цей режим не застосовується до баз даних SQL Server.

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Вимагати TLS і перевірити особу, яка підписала сертифікат, і назву вузла

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення підключення TLS вузол порівнює підпис сертифіката з сервера бази даних із центром сертифікації в сертифікаті кореневого сертифіката бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

  • Вузли також перевіряють, чи ім’я хоста в сертифікаті сервера збігається з ім’ям хоста в полі Хост бази даних і порт . Імена повинні точно збігатися, або вузол скасує з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Коли передано кореневий сертифікат (за потреби) і клацніть Продовжити, інструмент налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє особу, яка підписала сертифікат, і назву вузла, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності здатності до з’єднання вузли HDS зможуть встановити підключення TLS, навіть якщо машина інструмента налаштування HDS не може його успішно перевірити.)

13

На сторінці системних журналів налаштуйте сервер Syslogd:

  1. Введіть URL-адресу сервера syslog.

    Якщо сервер DNS-розв’язний із вузлів для кластера HDS, використайте IP-адресу в URL.

    Приклад:
    udp://10.92.43.23:514 вказує на вхід на хост Syslogd 10.92.43.23 на порту UDP 514.

  2. Якщо ви налаштували сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер syslog для шифрування SSL?.

    Якщо встановити цей прапорець, переконайтеся, що ви ввели URL-адресу TCP, як-от tcp://10.92.43.23:514.

  3. У розкривному списку Вибрати завершення запису syslog виберіть відповідні налаштування для вашого файлу ISO: Виберіть або використовується нова лінія для Graylog і Rsyslog TCP

    • Нульовий байт --\ x00

    • Новий рядок -- \n- Виберіть цей вибір для Graylog і Rsyslog TCP.

  4. Клацніть Продовжити.

14

(Необов’язково) Ви можете змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Додаткові налаштування. Загалом, цей параметр є єдиним, який ви можете змінити:

app_datasource_connection_pool_maxSize: 10
15

Клацніть Продовжити на екрані Скинути пароль облікових записів служби .

Паролі облікового запису служби тривають дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів добігає кінця, або ви хочете скинути їх, щоб скасувати попередні файли ISO.

16

Клацніть Завантажити файл ISO. Збережіть файл у зручному для пошуку розташуванні.

17

Зробіть резервну копію файлу ISO у локальній системі.

Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

18

Щоб закрити інструмент налаштування, введіть CTRL+C.

Що далі

Створіть файл ISO конфігурації. Він потрібен для створення більше вузлів для відновлення або для внесення змін до конфігурації. Якщо ви втратите всі копії файлу ISO, ви також втратили основний ключ. Неможливо відновити ключі з бази даних PostgreSQL або Microsoft SQL Server.

У нас ніколи не буде копії цього ключа, і ми не зможемо допомогти, якщо ви його втратите.

Установити OVA організатора HDS

Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi.

2

Виберіть Файл > Розгорнути шаблон OVF.

3

У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі.

4

На сторінці Вибрати ім’я та папку введіть Ім’я віртуальної машини для вузла (наприклад, "HDS_Node_1"), виберіть розташування, де може розміщуватися розгортання вузла віртуальної машини, а потім клацніть Далі.

5

На сторінці Вибрати обчислювальний ресурс , виберіть обчислювальний ресурс призначення, а потім клацніть Далі.

Виконується перевірка перевірки. Після його завершення деталі шаблону з’являться.

6

Перевірте відомості про шаблон, а потім клацніть Далі.

7

Якщо вас попросять вибрати конфігурацію ресурсу на сторінці Конфігурація , клацніть 4 ЦП , а потім клацніть Далі.

8

На сторінці Вибрати сховище клацніть Далі , щоб прийняти формат диска за замовчуванням і політику зберігання VM.

9

На сторінці Вибрати мережі виберіть параметр мережі зі списку записів, щоб забезпечити потрібне підключення до VM.

10

На сторінці Налаштувати шаблон налаштуйте такі налаштування мережі.

  • Ім’я хоста—Введіть повне доменне ім’я (ім’я хоста та домен) або ім’я хоста з одним словом для вузла.

    • Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

    • Щоб забезпечити успішну реєстрацію в хмару, використовуйте лише малі символи в повному домені або імені хоста, налаштованому для вузла. Капіталізація наразі не підтримується.

    • Загальна довжина повного домену не повинна перевищувати 64 символи.

  • IP-адреса— введіть IP-адресу для внутрішнього інтерфейсу вузла.

    Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

  • Маска—Введіть адресу маски підмережі в крапку з комою. Наприклад, 255.255.255.0.
  • Шлюз—Введіть IP-адресу шлюзу. Шлюз – це мережевий вузол, який служить точкою доступу до іншої мережі.
  • Сервери DNS — введіть список, розділений комами, список DNS-серверів, який обробляє перетворення доменних імен на числові IP-адреси. (Дозволено до 4 записів DNS.)
  • Сервери NTP—Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Також можна використовувати список розділених комами, щоб ввести кілька серверів NTP.

  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними від клієнтів у вашій мережі для адміністративних цілей.

За бажанням можна пропустити конфігурацію налаштування мережі та виконати кроки в розділі Налаштування VM гібридної безпеки даних , щоб налаштувати параметри з консолі вузла.

Параметр налаштування мережевих налаштувань під час розгортання OVA був протестований у ESXi 7.0. Цей параметр може бути недоступний у попередніх версіях.

11

Клацніть правою кнопкою миші вузол VM, а потім виберіть Power > Power On.

Програмне забезпечення гібридної безпеки даних встановлюється як гість на хост VM. Тепер ви готові увійти до консолі й налаштувати вузол.

Поради щодо усунення несправностей

Перед появою контейнерів вузла може знадобитися затримка в кілька хвилин. Під час першого завантаження на консолі з’являється повідомлення брандмауера мосту, під час якого ви не можете ввійти.

Налаштувати VM гібридної безпеки даних

Використовуйте цю процедуру, щоб вперше увійти на консоль вузла гібридної безпеки даних VM і встановити облікові дані для входу. Крім того, можна використовувати консоль для налаштування мережевих параметрів для вузла, якщо їх не було налаштовано під час розгортання OVA.

1

У клієнті VMware vSphere виберіть вузол гібридної безпеки даних VM і перейдіть на вкладку Консоль .

VM завантажується, і з’явиться підказка для входу. Якщо вікно підказки не відображається, натисніть Enter.
2

Щоб увійти й змінити облікові дані, використовуйте наведені нижче дані для входу та пароля за замовчуванням:

  1. Вхід: admin

  2. Пароль: cisco

Оскільки ви вперше входите в VM, вам потрібно змінити пароль адміністратора.

3

Якщо ви вже налаштували налаштування мережі в Установити OVA хоста HDS, пропустіть решту цієї процедури. В іншому разі в головному меню виберіть параметр Змінити конфігурацію .

4

Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Вузол має мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.

5

(Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно відповідно до політики мережі.

Не потрібно встановлювати домен, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

6

Збережіть конфігурацію мережі та перезавантажте VM, щоб зміни набули сили.

Вивантажити та змонтувати ISO конфігурації HDS

Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою інструмента налаштування HDS.

Перед початком

Оскільки файл ISO має основний ключ, він повинен бути розкритий лише на основі "потрібно знати" для доступу VM гібридної безпеки даних і будь-яких адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

1

Передайте файл ISO зі свого комп’ютера:

  1. На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.

  2. На вкладці Конфігурація Список обладнання клацніть Сховище.

  3. У списку Datastors клацніть правою кнопкою миші на станції даних для ваших VM і клацніть Browse Datastore.

  4. Клацніть значок «Передати файли», а потім Передати файл.

  5. Перейдіть до розташування, де ви завантажили файл ISO на свій комп’ютер, і клацніть Відкрити.

  6. Клацніть Так , щоб прийняти попередження операції передавання/завантаження, і закрийте діалогове вікно сховища даних.

2

Змонтувати файл ISO:

  1. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  2. Клацніть ОК , щоб прийняти попередження про обмежені параметри редагування.

  3. Клацніть CD/DVD Drive 1, виберіть параметр для змонтування з файлу ISO зі сховища даних і перейдіть до розташування, де передано файл ISO конфігурації.

  4. Перевірте Підключено та Підключитися при увімкненні живлення.

  5. Збережіть зміни та перезавантажте віртуальну машину.

Що далі

Якщо потрібна ваша політика ІТ, ви можете додатково демонтувати файл ISO після того, як всі вузли дослухаються змін конфігурації. Див. (Необов’язково) Демонтування ISO після конфігурації HDS , щоб отримати додаткові відомості.

Налаштування вузла HDS для інтеграції проксі

Якщо для мережного середовища потрібен проксі-сервер, скористайтеся цією процедурою, щоб указати тип проксі-сервера, який потрібно інтегрувати з hybrid Data Security. Якщо ви виберете прозорий проксі-сервер перевірки або явний проксі-сервер HTTPS, ви можете використовувати інтерфейс вузла для завантаження та встановлення кореневого сертифіката. Ви також можете перевірити проксі-з'єднання з інтерфейсу та усунути будь-які потенційні проблеми.

Перш ніж почати

1

Введіть URL-адресу налаштування вузла HDS https://[HDS Node IP or FQDN]/setup у веббраузері, введіть облікові дані адміністратора, які налаштовано для вузла, а потім клацніть Увійти.

2

Перейдіть до Надійного магазину та проксі-сервера, а потім виберіть параметр:

  • Немає проксі— параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібне.
  • Прозорий неінспекційний проксі—вузли не налаштовані на використання конкретної адреси проксі-сервера, і не повинні вимагати внесення змін для роботи з проксі-сервером, що не інспектує. Оновлення сертифіката не потрібне.
  • Прозорий проксі-сервер — вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних не потрібні зміни конфігурації HTTPS, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі-серверу. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
  • Явний проксі — за допомогою явного проксі-сервера клієнту (вузли HDS) можна вказати, який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести такі відомості:

    1. IP/FQDN проксі— адреса, яку можна використовувати для зв’язку з проксі-комп’ютером.

    2. Проксі-порт— номер порту, який проксі використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол — виберіть http (переглядає та контролює всі запити, отримані від клієнта) або https (надає канал на сервер, клієнт отримує та перевіряє сертифікат сервера). Виберіть варіант, виходячи з того, що підтримує ваш проксі-сервер.

    4. Тип автентифікації— виберіть із перелічених нижче типів автентифікації.

      • Немає— подальша автентифікація не потрібна.

        Доступно для проксі HTTP або HTTPS.

      • Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час подання запиту. Використовує кодування Base64.

        Доступно для проксі HTTP або HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

      • Дайджест — використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно лише для проксі HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

Виконайте наступні кроки для прозорої перевірки проксі-сервера, явного HTTP-проксі з базовою автентифікацією або явного проксі-сервера HTTPS.

3

Клацніть « Завантажити кореневий сертифікат» або «Завершити сертифікатсутності», а потім перейдіть до вибору кореневого сертифіката для проксі-сервера.

Сертифікат завантажено, але ще не інстальовано, оскільки для встановлення сертифіката потрібно перезавантажити вузол. Клацніть стрілку шеврона біля імені емітента сертифіката, щоб отримати докладніші відомості, або натисніть кнопку Видалити , якщо ви припустилися помилки та хочете повторно завантажити файл.

4

Натисніть кнопку Перевірити підключення до проксі, щоб перевірити підключення до мережі між вузлом і проксі-сервером.

Якщо тест підключення не пройшов, ви побачите повідомлення про помилку, у якому вказано причину та способи усунення проблеми.

Якщо ви бачите повідомлення про те, що зовнішня роздільна здатність DNS не була успішною, вузол не зміг дістатися до DNS-сервера. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол буде працювати в режимі роздільної здатності заблокованих зовнішніх DNS. Якщо ви вважаєте, що це помилка, виконайте наведені дії, а потім перегляньте Вимкнути режим роздільної здатності заблокованих зовнішніх DNS.

5

Після того, як тест з'єднання пройде, для явного проксі-сервера, встановленого лише на https, увімкніть перемикач до Маршрутизація всіх запитів порту 443/444 https з цього вузла через явний проксі. Для набрання чинності цим параметром потрібно 15 секунд.

6

Натисніть кнопку Інсталювати всі сертифікати в надійний магазин (відображається для проксі-сервера HTTPS відвертої перевірки або прозорого проксі-сервера для перевірки) або Перезавантажити (відображається для явного проксі-сервера HTTP), прочитайте запит і натисніть кнопку Інсталювати , якщо все готово.

Вузол перезавантажується протягом декількох хвилин.

7

Після перезавантаження вузла увійдіть знову, якщо потрібно, а потім відкрийте сторінку Огляду , щоб перевірити перевірки підключення, щоб переконатися, що всі вони в зеленому стані.

Перевірка проксі-з'єднання лише тестує субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі хмарні домени, перелічені в інструкціях з інсталяції, блокуються на проксі-сервері.

Зареєструвати перший вузол у кластері.

Для цього завдання потрібен універсальний вузол, який ви створили в Налаштування VM гібридної безпеки даних, реєструє вузол із хмарою Webex і перетворює його в вузол гібридної безпеки даних.

Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначений вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Налаштувати.

4

На сторінці, що відкривається, клацніть Додати ресурс.

5

У першому полі Додати вузол введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних.

Рекомендовано назвати кластер залежно від місця географічного розташування вузлів кластера. Приклади: "Сан-Франциско" або "Нью-Йорк" або "Даллас"

6

У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Додати внизу екрана.

Ця IP-адреса або повне доменне ім’я хоста й домен, які ви використовували в Налаштуванні VM гібридної безпеки даних.

З’явиться повідомлення, що вказує на те, що можна зареєструвати свій вузол у Webex.
7

Клацніть Перейти до вузла.

Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації Webex дозволи на доступ до вашого вузла.

8

Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.
9

Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

На сторінці Гібридна безпека даних новий кластер, що містить зареєстрований вами вузол, буде відображено на вкладці Ресурси . Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

Створити й зареєструвати більше вузлів

Щоб додати додаткові вузли до кластера, просто створіть додаткові VM і змонтуйте той самий файл ISO конфігурації, а потім зареєструйте вузол. Рекомендовано мати принаймні 3 вузли.

Перед початком

  • Після початку реєстрації вузла потрібно завершити її протягом 60 хвилин, або потрібно почати знову.

  • Переконайтеся, що всі блокувальники спливаючих елементів у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1

Створіть нову віртуальну машину з OVA, повторюючи кроки в Установити OVA організатора HDS.

2

Налаштуйте початкову конфігурацію на новому VM, повторюючи кроки в Налаштуванні VM гібридної безпеки даних.

3

У новому VM повторіть кроки в Передати та змонтувати ISO конфігурації HDS.

4

Якщо ви налаштовуєте проксі для розгортання, повторіть кроки в Налаштуйте вузол HDS для інтеграції проксі відповідно до вимог нового вузла.

5

Зареєструйте вузол.

  1. У https://admin.webex.com виберіть Служби в меню ліворуч від екрана.

  2. У розділі Хмарні служби знайдіть картку гібридної безпеки даних і клацніть Переглянути всі.

    З’явиться сторінка ресурсів гібридної безпеки даних.

  3. Щойно створений кластер відобразиться на сторінці Ресурси .

  4. Клацніть кластер, щоб переглянути вузли, призначені до кластера.

  5. Клацніть Додати вузол у правій частині екрана.

  6. Введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та натисніть Додати.

    Відкривається сторінка з повідомленням про те, що ви можете зареєструвати свій вузол у хмарі Webex. Через кілька секунд вас буде перенаправлено до тестів підключення вузла для служб Webex. Якщо всі тести будуть успішними, з’явиться сторінка Дозволити доступ до вузла гібридної безпеки даних. Там ви підтверджуєте, що хочете надати організації дозволи на доступ до вашого вузла.

  7. Установіть прапорець Дозволити доступ до вузла гібридної безпеки даних , а потім клацніть Продовжити.

    Ваш обліковий запис перевірено, а повідомлення «Реєстрація завершена» вказує на те, що ваш вузол зареєстровано в хмарі Webex.

  8. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку гібридної безпеки даних партнерського центру.

    Доданий вузол спливаюче повідомлення також відображається внизу екрана в Партнерському центрі.

    Ваш вузол зареєстровано.

Керування організаціями клієнтів у розділі гібридної безпеки даних із підтримкою кількох клієнтів

Активувати HDS із підтримкою кількох клієнтів у Партнерському центрі

Це завдання гарантує, що всі користувачі в організації клієнта зможуть почати використовувати HDS для локальних ключів шифрування та інших служб безпеки.

Перед початком

Переконайтеся, що ви завершили налаштування кластера HDS із кількома клієнтами з необхідною кількістю вузлів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

4

Клацніть Активувати HDS на картці стану HDS .

Додати організації осередків у партнерський центр

У цьому завданні призначаються організації клієнтів до кластера гібридної безпеки даних.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

Клацніть кластер, до якого ви хочете призначити клієнта.

5

Перейдіть на вкладку Призначені клієнти .

6

Клацніть Додати клієнтів.

7

Виберіть клієнта, якого потрібно додати з розкривного меню.

8

Клацніть Додати, клієнта буде додано до кластера.

9

Повторіть кроки 6–8, щоб додати декілька клієнтів до кластера.

10

Клацніть Готово внизу екрана після додавання клієнтів.

Що далі

Запустіть інструмент налаштування HDS, як докладніше описано в розділі Створити головні ключі клієнта (CMK), використовуючи інструмент налаштування HDS , щоб завершити процес налаштування.

Створити головні ключі клієнта (CMK) за допомогою інструмента налаштування HDS

Перед початком

Призначте клієнтів до відповідного кластера, як детально описано в Додати організації клієнтів у Партнерському центрі. Запустіть інструмент налаштування HDS, щоб завершити процес налаштування для нещодавно доданих клієнтських організацій.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS проксі без автентифікації

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-проксі з автентифікацією

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS проксі з автентифікацією

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login -u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

Переконайтеся, що підключення до бази даних для виконання керування CMK.
11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Створити CMK для всіх організацій або Створити CMK . Натисніть цю кнопку на банері вгорі екрана, щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Створити CMK , щоб створити CMK для всіх нещодавно доданих організацій.
  • Клацніть … біля керування CMK, що очікує стан конкретної організації в таблиці, і клацніть Створити CMK , щоб створити CMK для цієї організації.
12

Після успішного створення CMK стан у таблиці буде змінено з очікування керування CMK на кероване CMK.

13

Якщо не вдалося створити CMK, буде відображено помилку.

Видалити організації осередків

Перед початком

Після видалення користувачі організацій клієнтів не зможуть використовувати HDS для потреб шифрування та втратять усі наявні простори. Перш ніж видалити організації клієнтів, зверніться до партнера Cisco або менеджера облікових записів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть гібридну безпеку даних і клацніть Переглянути всі.

4

На вкладці Ресурси клацніть кластер, з якого потрібно видалити організації клієнтів.

5

На сторінці, що відкривається, клацніть Призначені клієнти.

6

У списку відображуваних організацій клієнта клацніть ... праворуч від організації клієнта, яку потрібно видалити, і клацніть Видалити з кластера.

Що далі

Завершіть процес видалення, відкликавши CMK організацій клієнтів, як описано в розділі Відкликання CMK клієнтів, видалених із HDS.

Відкликайте CMK клієнтів, видалених з HDS.

Перед початком

Видаліть клієнтів із відповідного кластера, як описано в розділі Видалити організації клієнтів. Запустіть інструмент налаштування HDS, щоб завершити процес видалення для організацій клієнтів, які були видалені.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікового запису Partner Hub із повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS проксі без автентифікації

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-проксі з автентифікацією

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS проксі з автентифікацією

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login -u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

Скористайтеся веббраузером, щоб перейти до локального хоста, http://127.0.0.1:8080 і введіть ім’я користувача адміністратора для концентратора партнера в запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку для входу.

7

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора партнерського центру й клацніть Увійти , щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструментів налаштування клацніть Розпочати роботу.

9

На сторінці Імпорт ISO клацніть Так.

10

Виберіть файл ISO у браузері й передайте його.

11

Перейдіть на вкладку Керування CMK клієнта , де ви знайдете три способи керування CMK клієнта.

  • Відкликати CMK для всіх організацій або Відкликати CMK . Натисніть цю кнопку на банері вгорі екрана, щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть кнопку Керування CMK у правій частині екрана й клацніть Відкликати CMK , щоб відкликати CMK усіх організацій, які було видалено.
  • Клацніть біля CMK, щоб відкликати стан конкретної організації в таблиці, і клацніть Відкликати CMK , щоб відкликати CMK для цієї конкретної організації.
12

Після успішного відкликання CMK організація клієнта більше не відображатиметься в таблиці.

13

Якщо скасування CMK не вдасться, буде відображено помилку.

Протестуйте розгортання гібридної безпеки даних

Перевірити розгортання гібридної безпеки даних

Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних для кількох клієнтів.

Перед початком

  • Налаштуйте розгортання гібридної безпеки даних із кількома клієнтами.

  • Упевніться, що у вас є доступ до syslog, щоб переконатися, що запити ключів передаються до розгортання гібридної безпеки даних із кількома клієнтами.

1

Ключі для певного простору встановлюються його творцем. Увійдіть в програму Webex як один із користувачів організації клієнта, а потім створіть простір.

Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюються користувачами, більше не буде доступний після заміни кешованих клієнтом копій ключів шифрування.

2

Надішліть повідомлення до нового простору.

3

Перевірте вивід syslog, щоб переконатися, що запити ключів передаються розгортанню гібридної безпеки даних.

  1. Щоб перевірити, чи користувач першим установлює безпечний канал для KMS, виконайте фільтрування kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Ви повинні знайти запис, наприклад такий (ідентифікатори скорочено для зручності читання):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Щоб перевірити, чи користувач запитує наявний ключ із KMS, виконайте фільтрування kms.data.method=retrieve й kms.data.type=KEY:

    Необхідно знайти запис, наприклад:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Щоб перевірити користувача, який подав запит на створення нового ключа KMS, виконайте фільтрування kms.data.method=create і kms.data.type=KEY_COLLECTION:

    Необхідно знайти запис, наприклад:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Щоб перевірити, чи користувача, який запитує створення нового ресурсного об’єкта KMS (KRO), під час створення простору або іншого захищеного ресурсу, виконайте фільтрування kms.data.method=create та kms.data.type=RESOURCE_COLLECTION:

    Необхідно знайти запис, наприклад: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Моніторинг гібридної безпеки даних

Індикатор стану в Партнерському центрі показує, чи все гаразд із розгортанням гібридної безпеки даних для кількох клієнтів. Щоб підвищити активність оповіщень, зареєструйтеся в сповіщеннях електронною поштою. Ви отримаєте сповіщення, якщо з’являться попередження, які впливають на службу, або оновлення версії програмного забезпечення.
1

У Партнерському центрі виберіть Служби в меню зліва екрана.

2

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Змінити налаштування.

З’явиться сторінка параметрів гібридної безпеки даних.
3

У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділених комами, і натисніть Enter.

Керуйте розгортанням HDS

Керування розгортанням HDS

Для керування розгортанням гібридної безпеки даних використовуйте завдання, описані тут.

Установити розклад оновлення кластера.

Оновлення версії програмного забезпечення для гібридної безпеки даних здійснюється автоматично на рівні кластера, завдяки чому всі вузли завжди працюють одну й ту саму версію програмного забезпечення. Оновлення версії здійснюється відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стане доступним, у вас є можливість вручну оновити версію до запланованого часу оновлення версії. Можна встановити конкретний розклад оновлення версії або використовувати розклад за замовчуванням, який становить 3:00 ранку щоденно у США: Америка/Лос-Анджелес. Ви також можете за потреби відкласти майбутні оновлення версії.

Щоб налаштувати розклад оновлення версії, виконайте наведені нижче дії.

1

Увійдіть у партнерський центр.

2

У меню ліворуч від екрана виберіть Служби.

3

У розділі Хмарні служби знайдіть Гібридна безпека даних і клацніть Налаштувати.

4

На сторінці ресурсів гібридної безпеки даних виберіть кластер.

5

Клацніть вкладку Налаштування кластера .

6

"На сторінці ""Налаштування кластера"" в розділі ""Розклад оновлення версії"" виберіть час і часовий пояс для розкладу оновлення версії."

Примітки У часовому поясі відображено наступну дату й час оновлення версії. Можна відкласти оновлення на наступний день, якщо потрібно, клацнувши Відкласти на 24 години.

Змінити конфігурацію вузла

Іноді вам може знадобитися змінити конфігурацію вузла гібридної безпеки даних з такої причини, як:

  • Зміна сертифікатів x.509 через закінчення терміну дії або інші причини.

    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовується для реєстрації кластера.

  • Оновлення параметрів бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

    Ми не підтримуємо перенесення даних з PostgreSQL до Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, розпочніть нове розгортання гібридної системи захисту даних.

  • Створення нової конфігурації для підготовки нового центру обробки даних.

Крім того, з метою безпеки Hybrid Data Security використовує паролі службових облікових записів, термін дії яких становить дев'ять місяців. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з ваших вузлів HDS у файлі конфігурації ISO. Коли паролі вашої організації наближаються до закінчення терміну дії, ви отримуєте повідомлення від команди Webex про скидання пароля для облікового запису вашого комп'ютера. (Електронний лист містить текст "Використовуйте API облікового запису машини, щоб оновити пароль.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

  • Програмне скидання— старі й нові паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

  • Жорстке скидання— старі паролі негайно припиняють працювати.

Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

Використовуйте цю процедуру, щоб створити новий файл конфігурації ISO і застосувати його до вашого кластера.

Перш ніж почати

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Partner Hub із повними правами адміністратора партнера.

    Якщо у вас немає ліцензії Docker Desktop, можна використовувати Podman Desktop, щоб запустити інструмент налаштування HDS для кроків 1.a – 1.e в процедурі, наведеній нижче. Докладніше див. в розділі Запуск інструменту налаштування HDS за допомогою робочого стола Podman .

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker у 1.e. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS проксі без автентифікації

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-проксі з автентифікацією

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS проксі з автентифікацією

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Щоб створити нову конфігурацію, вам потрібна копія поточного файла конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. ISO потрібен під час внесення змін у конфігурацію, включаючи облікові дані бази даних, оновлення сертифікатів або зміни в політиці авторизації.

1

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

    У звичайних середовищах:

    docker rmi ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

  2. Щоб увійти до реєстру Docker-зображень, введіть наступне:

    docker login -u hdscustomersro

  3. На запиті пароля введіть цей хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Завантажте останнє стабільне зображення для вашого середовища:

    У звичайних середовищах:

    docker pull ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Обов 'язково потягніть найновіший інструмент налаштування для цієї процедури. Версії інструмента, створені до 22 лютого 2018 року, не мають екранів скидання пароля.

  5. Після завершення витягування введіть відповідну команду для вашого середовища:

    • У звичайних середовищах без проксі-сервера:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • У звичайних середовищах з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У звичайних середовищах з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У середовищах FedRAMP без проксі-сервера:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • У середовищах FedRAMP з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • У середовищах FedRAMP з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

  6. Використовуйте браузер для підключення до localhost, http://127.0.0.1:8080.

    Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

  7. Коли з’явиться відповідний запит, введіть облікові дані для входу клієнта Partner Hub, а потім клацніть Прийняти , щоб продовжити.

  8. Імпортувати поточний файл конфігурації ISO.

  9. Дотримуйтеся вказівок, щоб завершити роботу інструменту та завантажити оновлений файл.

    Щоб закрити інструмент налаштування, введіть CTRL+C.

  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

2

Якщо у вас працює лише один вузол HDS, створіть новий вузол гібридної безпеки даних VM і зареєструйте його, використовуючи новий файл ISO конфігурації. Докладні інструкції див. в розділі Створення та реєстрація додаткових вузлів.

  1. Встановіть HDS-хост OVA.

  2. Налаштуйте віртуальну машину HDS.

  3. Змонтувати оновлений файл конфігурації.

  4. Зареєструйте новий вузол у партнерському центрі.

3

Для існуючих вузлів HDS, у яких запущено старий файл конфігурації, змонтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

  1. Вимкніть віртуальну машину.

  2. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  3. Клацніть CD/DVD Drive 1, виберіть параметр для змонтування з файлу ISO і перейдіть до розташування, де завантажено новий файл ISO конфігурації.

  4. Перевірте підключення при увімкненому живленні.

  5. Заощаджуйте зміни та енергію на віртуальній машині.

4

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, який виконує стару конфігурацію.

Вимкнення режиму роздільної здатності заблокованих зовнішніх DNS

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. Якщо DNS-серверу вузла не вдається розпізнати загальнодоступні імена DNS, вузол автоматично переходить у режим блокування зовнішньої роздільної здатності DNS.

Якщо ваші вузли можуть вирішувати загальнодоступні імена DNS через внутрішні DNS-сервери, ви можете вимкнути цей режим, повторивши тест проксі-з'єднання на кожному вузлі.

Перш ніж почати

Переконайтеся, що ваші внутрішні DNS-сервери можуть розпізнавати загальнодоступні імена DNS і що ваші вузли можуть зв'язуватися з ними.
1

У браузері відкрийте інтерфейс вузла гібридної безпеки даних (IP-адреса/налаштування), наприклад, введіть облікові дані адміністратора, https://192.0.2.0/setup), які настроєно для вузла, а потім натисніть кнопку Увійти.

2

Перехід до розділу Огляд (сторінка за замовчуванням).

Якщо ввімкнено, для параметра "Заблокована зовнішня роздільна здатність DNS" встановлено значення "Так".

3

Перейдіть на сторінку Надійний магазин і проксі .

4

Натисніть Перевірити підключенняпроксі-сервера.

Якщо ви бачите повідомлення про те, що зовнішнє дозвіл DNS не було успішним, вузол не зміг дістатися до DNS-сервера і залишиться в цьому режимі. В іншому випадку, після того, як ви перезавантажите вузол і повернетеся на сторінку огляду , заблоковане зовнішнє дозвіл DNS має бути встановлено на "ні".

Що далі

Повторіть тест проксі-з'єднання на кожному вузлі в кластері гібридної безпеки даних.

Видалити вузол

Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.
1

Використовуйте клієнт VMware vSphere на комп’ютері, щоб увійти в віртуальний хост ESXi та вимкнути віртуальну машину.

2

Видалити вузол:

  1. Увійдіть до концентратора партнера й виберіть Служби.

  2. На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів гібридної безпеки даних.

  3. Виберіть кластер, щоб відобразити його панель огляду.

  4. Клацніть вузол, який потрібно видалити.

  5. Клацніть Скасувати реєстрацію цього вузла на панелі, що з’явиться справа.

  6. Можна також скасувати реєстрацію вузла, клацнувши … праворуч від вузла й вибравши Видалити цей вузол.

3

У клієнті vSphere видаліть VM. (На панелі навігації ліворуч клацніть правою кнопкою миші VM і клацніть Видалити.)

Якщо ви не видалите VM, не забудьте демонтувати файл ISO конфігурації. Без файлу ISO неможливо використовувати VM для доступу до даних безпеки.

Відновлення після відмови за допомогою центру обробки даних у режимі очікування

Найважливішою службою, яку надає кластер гібридної безпеки даних, є створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, призначеного для гібридної безпеки даних, запити на створення нового ключа маршрутизуються в кластер. Кластер також несе відповідальність за повернення створених ключів будь-яким користувачам, авторизованим для їх отримання, наприклад учасникам простору розмови.

Оскільки кластер виконує критичну функцію надання цих ключів, дуже важливо, щоб кластер продовжував працювати та щоб підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕПОПРАВНОЇ ВТРАТИ контенту клієнта. Для запобігання такої втрати є обов'язковими такі практики:

Якщо внаслідок стихійного лиха розгортання HDS у основному центрі обробки даних стане недоступним, виконайте цю процедуру, щоб вручну виконати аварійне перемикання на центр обробки даних у режимі очікування.

Перед початком

Скасуйте реєстрацію всіх вузлів із Партнерського центру, як зазначено в розділі Видалити вузол. Щоб виконати процедуру аварійного перемикання, згадану нижче, використовуйте останній файл ISO, налаштований проти вузлів кластера, який раніше був активний.
1

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створити ISO конфігурації для хостів HDS.

2

Завершіть процес конфігурації та збережіть файл ISO у зручному для пошуку розташуванні.

3

Зробіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить основний ключ шифрування для вмісту бази даних. Обмежте доступ лише тими адміністраторами гібридної безпеки даних, які повинні вносити зміни конфігурації.

4

У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

5

Клацніть Змінити налаштування >Диск CD/DVD 1 і виберіть файл ISO Datastore.

Переконайтеся, що встановлено прапорець параметрів Підключено та Connect при увімкненні , щоб оновлені зміни конфігурації набули сили після запуску вузлів.

6

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

7

Зареєструйте вузол у партнерському центрі. Див. розділ Зареєструвати перший вузол у кластері.

8

Повторити процес для кожного вузла в центрі обробки даних у режимі очікування.

Що далі

Після аварійного перемикання, якщо основний центр обробки даних знову стане активним, скасуйте реєстрацію вузлів центру обробки даних у режимі очікування та повторіть процес налаштування ISO та реєстрації вузлів основного центру обробки даних, як зазначено вище.

(Необов’язково) Демонтування ISO після конфігурації HDS

Стандартна конфігурація HDS працює зі змонтованим ISO. Але деякі клієнти воліють не залишати файли ISO постійно змонтовані. Можна демонтувати файл ISO після того, як усі вузли HDS підхопили нову конфігурацію.

Ви все ще використовуєте файли ISO для внесення змін до конфігурації. Під час створення нового ISO або оновлення ISO за допомогою інструмента налаштування потрібно змонтувати оновлене ISO на всіх вузлах HDS. Після того як усі ваші вузли отримають зміни конфігурації, можна знову демонтувати ISO за допомогою цієї процедури.

Перед початком

Оновіть версію всіх вузлів HDS до версії 2021.01.22.4720 або пізнішої.

1

Закрийте один із вузлів HDS.

2

У пристрої vCenter Server Device виберіть вузол HDS.

3

Виберіть Змінити налаштування > Диск CD/DVD і зніміть прапорець файлу ISO Datastore.

4

Увімкніть вузол HDS і переконайтеся, що попередження відсутнє щонайменше 20 хвилин.

5

Повторюйте для кожного вузла HDS по черзі.

Усунення несправностей гібридної безпеки даних

Переглянути сповіщення та усунути несправності

Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що вимагає часу очікування. Якщо користувачі не можуть зв’язатися з кластером гібридної безпеки даних, вони відчувають такі симптоми:

  • Не вдалося створити нові простори (неможливо створити нові ключі).

  • Не вдалося розшифрувати повідомлення та назви просторів для:

    • Нові користувачі додані до простору (неможливо отримати ключі)

    • Наявні користувачі в просторі, що використовують новий клієнт (неможливо отримати ключі).

  • Наявні користувачі в просторі продовжуватимуть успішно запускатися, доки їхні клієнти матимуть кеш ключів шифрування.

Важливо належним чином відстежувати кластер гібридної безпеки даних і швидко надсилати будь-які сповіщення, щоб уникнути порушення роботи служби.

Оповіщення

Якщо виникла проблема з налаштуванням гібридної безпеки даних, Партнерський центр відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато загальних сценаріїв.

Таблиця 1. Загальні проблеми та кроки для їх вирішення

Сповіщення

Дія

Помилка доступу до локальної бази даних.

Перевірте наявність помилок бази даних або проблем локальної мережі.

Помилка підключення до локальної бази даних.

Перевірте доступність сервера бази даних і правильні облікові дані облікового запису служби використано в конфігурації вузла.

Помилка доступу до хмарної служби.

Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього з’єднання.

Поновлення реєстрації хмарної служби.

Реєстрацію в хмарних службах скасовано. Триває подовження реєстрації.

Реєстрацію хмарної служби скасовано.

Реєстрацію в хмарних службах припинено. Роботу служби припиняється.

Службу ще не активовано.

Активуйте HDS у Партнерському центрі.

Налаштований домен не відповідає сертифікату сервера.

Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби.

Найімовірніша причина полягає в тому, що сертифікат CN нещодавно був змінений і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

Не вдалось автентифікувати в хмарних службах.

Перевірте точність і можливий термін дії облікових даних облікового запису обслуговування.

Не вдалося відкрити локальний файл сховища ключів.

Перевірте цілісність і точність пароля у локальному файлі сховища ключів.

Неприпустимий сертифікат локального сервера.

Перевірте дату закінчення терміну дії сертифіката сервера й упевніться, що він був виданий довіреним центром сертифікації.

Не вдалося опублікувати показники.

Перевірте доступ до локальної мережі до зовнішніх хмарних служб.

Каталогу /media/configdrive/hds не існує.

Перевірте конфігурацію змонтування ISO на віртуальному вузлі. Переконайтеся, що файл ISO існує, що його налаштовано на монтування до перезавантаження та що він успішно монтується.

Налаштування організації клієнта не завершено для доданих організацій

Завершіть налаштування, створивши CMK для нещодавно доданих організацій клієнтів за допомогою інструменту налаштування HDS.

Налаштування організації клієнта не завершено для видалених організацій

Завершіть налаштування, відкликавши CMK організацій клієнтів, які були вилучені за допомогою інструменту налаштування HDS.

Усунення несправностей гібридної безпеки даних

Використовуйте наведені далі загальні інструкції під час виправлення неполадок із службою гібридної безпеки даних.
1

Перегляньте Партнерський центр на наявність будь-яких сповіщень і виправте будь-які знайдені в ньому елементи. Для довідки дивіться зображення нижче.

2

Перегляньте вивід сервера syslog для дій із розгортання гібридної безпеки даних. Щоб допомогти у вирішенні неполадок, виконайте фільтр для таких слів, як "Попередження" та "Помилка".

3

Зверніться до служби підтримки Cisco.

Інші примітки

Відомі проблеми гібридної безпеки даних

  • Якщо закрити кластер гібридної безпеки даних (видалити його в партнерському центрі або закрити всі вузли), втратити файл ISO конфігурації або втратити доступ до бази даних сховища ключів, користувачі програми Webex організацій клієнтів більше не зможуть використовувати простори зі списку осіб, створені за допомогою клавіш із KMS. Зараз у нас немає готового рішення або виправлення цієї проблеми. Ми закликаємо вас не закривати ваші служби HDS після того, як вони обробляють облікові записи активних користувачів.

  • Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом періоду часу (ймовірно, однієї години).

Запустіть інструмент налаштування HDS за допомогою робочого стола Podman

Podman — це безкоштовний інструмент керування контейнерами з відкритим кодом, який надає спосіб запускати, керувати та створювати контейнери. Робочий стіл Podman можна завантажити з https://podman-desktop.io/downloads.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ, завантажте й запустіть Podman на цьому комп’ютері. Для процесу настроювання потрібні облікові дані облікового запису Центру керування з повними правами адміністратора вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час підйому контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS проксі без автентифікації

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-проксі з автентифікацією

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS проксі з автентифікацією

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Створений вами файл ISO конфігурації містить основний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни конфігурації, як-от ці:

    • Облікові дані бази даних

    • Оновлення сертифіката

    • Зміни політики авторизації

  • Якщо ви плануєте зашифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює файл ISO. Потім ви використовуєте ISO, щоб налаштувати вузол гібридної безпеки даних.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

podman rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

podman rmi ciscocitg/hds-setup-fedramp:stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

podman login docker.io -u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

podman pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • У звичайних середовищах з http проксі:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із проксі-сервером HTTPS:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з http проксі:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

Що далі

Виконайте решту кроків у розділі Створити ISO конфігурації для хостів HDS або Змініть конфігурацію вузла , щоб створити або змінити конфігурацію ISO.

Використовуйте OpenSSL для створення файлу PKCS12

Перед початком

  • OpenSSL — це інструмент, який можна використовувати для створення файлу PKCS12 у належному форматі для завантаження в інструменті налаштування HDS. Є й інші способи зробити це, і ми не підтримуємо чи не просуваємо один шлях над іншим.

  • Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, щоб допомогти вам створити файл, який відповідає вимогам сертифіката X.509 у Вимогам до сертифіката X.509. Перш ніж продовжити, ознайомтеся з цими вимогами.

  • Установіть OpenSSL у підтримуваному середовищі. Див. https://www.openssl.org програмне забезпечення та документацію.

  • Створіть закритий ключ.

  • Почніть цю процедуру, коли ви отримаєте сертифікат сервера від Certificate Authority (CA).

1

Коли ви отримаєте сертифікат сервера від ЦС, збережіть його як hdsnode.pem.

2

Відобразити сертифікат у вигляді тексту та перевірте відомості.

openssl x509 -text -noout -in hdsnode.pem

3

Використовуйте текстовий редактор, щоб створити файл пакету сертифікатів під назвою hdsnode-bundle.pem. Файл пакету повинен містити сертифікат сервера, будь-які проміжні сертифікати ЦС і кореневі сертифікати ЦС у форматі нижче:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Створіть файл .p12 із дружнім ім’ям kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Перевірте відомості про сертифікат сервера.

  1. openssl pkcs12 -in hdsnode.p12

  2. Введіть пароль у поле запиту, щоб зашифрувати закритий ключ так, щоб його було відображено в виведенні. Потім переконайтеся, що закритий ключ і перший сертифікат містять лінії friendlyName: kms-private-key.

    Приклад:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Що далі

Поверніться до завершення обов’язкових умов для гібридної безпеки даних. Ви використовуватимете hdsnode.p12 файл і налаштований для нього пароль у Створити ISO конфігурації для хостів HDS.

Можна повторно використовувати ці файли, щоб надіслати запит на новий сертифікат, коли термін дії оригінального сертифіката завершиться.

Трафік між вузлами HDS і хмарою

Трафік збору вихідних показників

Вузли гібридної безпеки даних надсилають певні показники в хмару Webex. До них відносяться системні показники для максимальної кількості ключів, кількості використаних ключів, навантаження ЦП та кількості ланцюжків; показники для синхронних та асинхронних потоків; показники для сповіщень, що включають поріг підключень шифрування, затримку або довжину черги запитів; показники на сервері даних; а також показники підключення шифрування. Вузли надсилають зашифрований матеріал ключа через канал поза смугою (окремо від запиту).

Вхідний трафік

Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

  • Запити на шифрування від клієнтів, маршрутизованих службою шифрування

  • Оновлення версії програмного забезпечення вузла

Налаштувати проксі-сервери Squid для гібридної безпеки даних

Websocket не може підключитися через проксі-сервер Squid

Проксі-сервери, які перевіряють HTTPS-трафік, можуть перешкоджати встановленню з’єднань вебсокетів (wss:), які потребують гібридної безпеки даних. У цих розділах наведено інструкції щодо налаштування різних версій Squid, щоб ігнорувати wss: трафік для належної роботи служб.

Кальмари 4 і 5

Додайте on_unsupported_protocol директиву до squid.conf:

on_unsupported_protocol tunnel all

Кальмари 3.5.27

Ми успішно перевірили гібридну безпеку даних. У squid.conf додано наведені нижче правила. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Нова та змінена інформація

Нова та змінена інформація

У цій таблиці описано нові функції або можливості, зміни до існуючого вмісту та будь-які основні помилки, виправлені в Посібнику з розгортання багатоклієнтської гібридної безпеки даних.

Дата

Внесені зміни

8 травня 2025 року
4 березня 2025 року

30 січня 2025 року

Додано SQL Server версії 2022 до списку підтримуваних SQL-серверів у Вимоги до сервера бази даних.

15 січня 2025 року

Додано обмеження гібридної безпеки даних для кількох орендарів.

8 січня 2025 року

Додано примітку в розділі Виконання початкового налаштування та завантаження файлів інсталяції про те, що натискання кнопки Налаштувати на картці HDS у Центрі партнерів є важливим кроком у процесі інсталяції.

7 січня 2025 року

Оновлено вимоги до віртуального хоста, потік завдань розгортання гібридної безпеки данихта встановлення OVA хоста HDS для відображення нових вимог ESXi 7.0.

13 грудня 2024 року

Вперше опубліковано.

Деактивація гібридної безпеки даних для кількох клієнтів

Послідовність завдань деактивації багатокористувацького HDS

Виконайте ці кроки, щоб повністю деактивувати Multi-Tenant HDS.

Перш ніж почати

Це завдання має виконувати лише повноправний адміністратор партнера.
1

Видаліть усіх клієнтів з усіх ваших кластерів, як зазначено в Видалення організацій-орендарів.

2

Скасувати CMK усіх клієнтів, як зазначено в Скасувати CMK орендарів, видалених з HDS..

3

Видаліть усі вузли з усіх ваших кластерів, як зазначено в Видалення вузла.

4

Видаліть усі кластери з Центру партнерів одним із двох наведених нижче способів.

  • Клацніть на кластері, який потрібно видалити, і виберіть Видалити цей кластер у верхньому правому куті сторінки огляду.
  • На сторінці «Ресурси» натисніть … праворуч від кластера та виберіть Видалити кластер.
5

На сторінці огляду гібридної безпеки даних натисніть вкладку Налаштування та натисніть Деактивувати HDS на картці «Стан HDS».

Почніть роботу з багатоклієнтською гібридною безпекою даних

Огляд безпеки гібридних даних для кількох орендарів

З першого дня безпека даних була основним пріоритетом під час розробки застосунку Webex. Основою цієї безпеки є наскрізне шифрування контенту, яке забезпечується клієнтами Webex App, що взаємодіють зі Службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і дешифрування повідомлень і файлів.

За замовчуванням усі клієнти Webex App отримують наскрізне шифрування з динамічними ключами, що зберігаються в хмарній KMS у сфері безпеки Cisco. Гібридна безпека даних переміщує KMS та інші функції, пов'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не тримає ключі до вашого зашифрованого вмісту.

Багатокористувацька гібридна безпека даних дозволяє організаціям використовувати HDS через надійного локального партнера, який може виступати постачальником послуг та керувати локальним шифруванням та іншими службами безпеки. Така конфігурація дозволяє партнерській організації мати повний контроль над розгортанням та керуванням ключами шифрування, а також гарантує безпеку даних користувачів організацій клієнтів від зовнішнього доступу. Партнерські організації налаштовують екземпляри HDS та створюють кластери HDS за потреби. Кожен екземпляр може підтримувати кілька організацій клієнтів, на відміну від звичайного розгортання HDS, яке обмежене однією організацією.

Хоча партнерські організації контролюють розгортання та управління, вони не мають доступу до даних і контенту, створених клієнтами. Цей доступ обмежений для організацій-клієнтів та їхніх користувачів.

Це також дозволяє меншим організаціям використовувати HDS, оскільки служба управління ключами та інфраструктура безпеки, така як центри обробки даних, належать довіреному місцевому партнеру.

Як багатокористувацька гібридна безпека даних забезпечує суверенітет даних та контроль над ними

  • Користувацький контент захищений від зовнішнього доступу, наприклад, від постачальників хмарних послуг.
  • Місцеві довірені партнери керують ключами шифрування клієнтів, з якими вони вже мають усталені відносини.
  • Можливість локальної технічної підтримки, якщо її надає партнер.
  • Підтримує зустрічі, обмін повідомленнями та дзвінки.

Цей документ має на меті допомогти організаціям-партнерам налаштувати та керувати клієнтами в рамках багатоклієнтської гібридної системи безпеки даних.

Обмеження гібридної безпеки даних для кількох орендарів

  • Організації-партнери не повинні мати жодного активного розгортання HDS у Control Hub.
  • Організації-орендарі або клієнти, які бажають, щоб ними керував партнер, не повинні мати жодного розгортання HDS у Control Hub.
  • Після розгортання партнером Multi-Tenant HDS усі користувачі організацій клієнтів, а також користувачі організації-партнера почнуть використовувати Multi-Tenant HDS для своїх послуг шифрування.

    Організація-партнер та організації-клієнти, якими вони керують, будуть використовуватись в одному розгортанні Multi-Tenant HDS.

    Організація-партнер більше не використовуватиме хмарну службу керування ключами (KMS) після розгортання багатоклієнтської HDS.

  • Немає механізму для переміщення ключів назад до Cloud KMS після розгортання HDS.
  • Наразі кожне розгортання багатоорендарної HDS може мати лише один кластер з кількома вузлами під ним.
  • Ролі адміністратора мають певні обмеження; докладніше див. розділ нижче.

Ролі в багатоклієнтній гібридній безпеці даних

  • Повний адміністратор партнера – Може керувати налаштуваннями для всіх клієнтів, якими керує партнер. Також може призначати ролі адміністратора наявним користувачам в організації та призначати певних клієнтів, якими керуватимуть адміністратори партнера.
  • Адміністратор партнера – Може керувати налаштуваннями для клієнтів, яким адміністратор надав послуги або яких було призначено користувачеві.
  • Повний адміністратор – адміністратор організації-партнера, який має право виконувати такі завдання, як зміна налаштувань організації, керування ліцензіями та призначення ролей.
  • Комплексне налаштування та управління багатокористувацькою HDS для всіх організацій клієнтів - Потрібні повні права адміністратора партнера та повні права адміністратора.
  • Керування призначеними організаціями-орендарями - Потрібен адміністратор-партнер та повні права адміністратора.

Архітектура області безпеки

Хмарна архітектура Webex розділяє різні типи послуг на окремі області або довірчі домени, як показано нижче.

Сфери розділення (без гібридної безпеки даних)

Щоб краще зрозуміти гібридну безпеку даних, спочатку розглянемо цей випадок із чисто хмарними технологіями, де Cisco надає всі функції у своїх хмарних сферах. Служба ідентифікації, єдине місце, де користувачі можуть бути безпосередньо пов'язані зі своєю особистою інформацією, такою як адреса електронної пошти, логічно та фізично відокремлена від сфери безпеки в центрі обробки даних B. Обидві, у свою чергу, відокремлені від сфери, де зрештою зберігається зашифрований контент, у центрі обробки даних C.

На цій діаграмі клієнтом є додаток Webex, що працює на ноутбуці користувача та пройшов автентифікацію за допомогою служби ідентифікації. Коли користувач створює повідомлення для надсилання до простору, відбуваються такі кроки:

  1. Клієнт встановлює безпечне з'єднання зі службою керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Безпечне з’єднання використовує ECDH, а KMS шифрує ключ за допомогою головного ключа AES-256.

  2. Повідомлення шифрується перед тим, як залишити клієнта. Клієнт надсилає його до служби індексування, яка створює зашифровані пошукові індекси для полегшення подальшого пошуку контенту.

  3. Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.

  4. Зашифроване повідомлення зберігається в області сховища.

Під час розгортання гібридної безпеки даних ви переміщуєте функції області безпеки (KMS, індексування та відповідність вимогам) до локального центру обробки даних. Інші хмарні сервіси, що входять до складу Webex (включаючи сховище ідентифікаційних даних та контенту), залишаються у сфері Cisco.

Співпраця з іншими організаціями

Користувачі у вашій організації можуть регулярно використовувати застосунок Webex для співпраці із зовнішніми учасниками з інших організацій. Коли один із ваших користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), ваша KMS надсилає ключ клієнту через захищений канал ECDH. Однак, коли ключем для простору володіє інша організація, ваша KMS направляє запит до хмари Webex через окремий канал ECDH, щоб отримати ключ від відповідної KMS, а потім повертає ключ вашому користувачеві через вихідний канал.

Служба KMS, що працює в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Див. Підготовка середовища для отримання детальної інформації про створення сертифіката x.509 для використання з розгортанням багатоклієнтської гібридної безпеки даних.

Очікування щодо розгортання гібридної безпеки даних

Розгортання гібридної безпеки даних вимагає значних зобов'язань та усвідомлення ризиків, пов'язаних з володінням ключами шифрування.

Щоб розгорнути гібридну безпеку даних, необхідно надати:

  • Безпечний центр обробки даних у країні, що є підтримуваним місцем розташування для планів Cisco Webex Teams.

  • Обладнання, програмне забезпечення та доступ до мережі, описані в Підготовка середовища.

Повна втрата ISO-образу конфігурації, який ви створюєте для Hybrid Data Security, або наданої вами бази даних призведе до втрати ключів. Втрата ключа не дозволяє користувачам розшифрувати вміст простору та інші зашифровані дані в застосунку Webex. Якщо це станеться, ви можете створити нове розгортання, але буде видно лише новий вміст. Щоб уникнути втрати доступу до даних, необхідно:

  • Керувати резервним копіюванням та відновленням бази даних і ISO-образу конфігурації.

  • Будьте готові до швидкого аварійного відновлення у разі виникнення катастрофи, такої як збій диска бази даних або аварія центру обробки даних.

Немає механізму для переміщення ключів назад до хмари після розгортання HDS.

Процес налаштування високого рівня

У цьому документі розглядається налаштування та керування розгортанням гібридної системи безпеки даних для кількох клієнтів:

  • Налаштування гібридної безпеки даних— Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення гібридної безпеки даних, створення кластера HDS, додавання організацій-орендарів до кластера та керування їхніми основними ключами клієнтів (CMK). Це дозволить усім користувачам ваших організацій-клієнтів використовувати ваш кластер гібридної безпеки даних для функцій безпеки.

    Етапи налаштування, активації та управління детально розглянуті в наступних трьох розділах.

  • Підтримуйте розгортання гібридної безпеки даних— Хмара Webex автоматично забезпечує постійні оновлення. Ваш ІТ-відділ може забезпечити підтримку першого рівня для цього розгортання та за потреби залучити службу підтримки Cisco. Ви можете використовувати екранні сповіщення та налаштувати сповіщення на основі електронної пошти в Центрі партнерів.

  • Розуміння поширених сповіщень, кроків усунення несправностей та відомих проблем— Якщо у вас виникли проблеми з розгортанням або використанням Hybrid Data Security, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити та вирішити проблему.

Гібридна модель розгортання безпеки даних

У вашому корпоративному центрі обробки даних ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли взаємодіють з хмарою Webex через захищені вебсокети та захищений HTTP.

Під час процесу встановлення ми надаємо вам OVA-файл для налаштування віртуального пристрою на наданих вами віртуальних машинах. Ви використовуєте інструмент налаштування HDS для створення ISO-файлу конфігурації кластера, який монтується на кожному вузлі. Кластер гібридної безпеки даних використовує наданий вами сервер Syslogd та базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте Syslogd та деталі підключення до бази даних у засобі налаштування HDS.)

Гібридна модель розгортання безпеки даних

Мінімальна кількість вузлів, яку можна мати в кластері, становить два. Ми рекомендуємо щонайменше три на кластер. Наявність кількох вузлів гарантує, що обслуговування не переривається під час оновлення програмного забезпечення або інших робіт з технічного обслуговування вузла. (Хмара Webex оновлює лише один вузол за раз.)

Усі вузли в кластері мають доступ до одного й того ж сховища ключових даних і реєструють активність на одному й тому ж сервері системного журналу. Самі вузли не мають стану та обробляють ключові запити циклічним способом, згідно з вказівками хмари.

Вузли стають активними після реєстрації їх у Центрі партнерів. Щоб вивести окремий вузол з експлуатації, ви можете скасувати його реєстрацію, а потім за потреби повторно зареєструвати.

Резервний центр обробки даних для аварійного відновлення

Під час розгортання ви налаштовуєте безпечний резервний центр обробки даних. У разі аварії центру обробки даних ви можете вручну перевести розгортання до резервного центру обробки даних.

До відновлення після відмови центр обробки даних A має активні вузли HDS та основну базу даних PostgreSQL або Microsoft SQL Server, тоді як B має копію ISO-файлу з додатковими конфігураціями, віртуальні машини, зареєстровані в організації, та резервну базу даних. Після відновлення після відмови, центр обробки даних B має активні вузли HDS та основну базу даних, тоді як A має незареєстровані віртуальні машини та копію ISO-файлу, а база даних знаходиться в режимі очікування.
Ручне перемикання на резервний центр обробки даних

Бази даних активних та резервних центрів обробки даних синхронізовані одна з одною, що мінімізує час, необхідний для виконання резервного перемикання.

Активні вузли гібридної безпеки даних завжди повинні знаходитися в тому ж центрі обробки даних, що й активний сервер бази даних.

Підтримка проксі

Гібридна безпека даних підтримує явні, прозорі перевірки та неінспектування проксі. Ви можете прив'язати ці проксі до свого розгортання, щоб ви могли захищати та контролювати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для управління сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

Гібридні вузли захисту даних підтримують такі параметри проксі-сервера:

  • Без проксі-сервера— значення за замовчуванням, якщо ви не використовуєте сховище довірених сертифікатів налаштування вузла HDS & Налаштування проксі-сервера для інтеграції проксі-сервера. Оновлення сертифіката не потрібне.

  • Прозорий неінспектуючий проксі-сервер— Вузли не налаштовані на використання певної адреси проксі-сервера та не повинні потребувати жодних змін для роботи з неінспектуючим проксі-сервером. Оновлення сертифіката не потрібне.

  • Прозоре тунелювання або перевірка проксі-сервера— Вузли не налаштовані на використання певної адреси проксі-сервера. На вузлах не потрібні зміни конфігурації HTTP або HTTPS. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).

  • Явний проксі-сервер— За допомогою явного проксі-сервера ви повідомляєте вузлам HDS, який проксі-сервер та схему автентифікації використовувати. Щоб налаштувати явний проксі, необхідно ввести наступну інформацію на кожному вузлі:

    1. Проксі IP/FQDN— Адреса, яку можна використовувати для зв’язку з проксі-машиною.

    2. Порт проксі-сервера— Номер порту, який проксі-сервер використовує для прослуховування проксі-трафіку.

    3. Протокол проксі-сервера— Залежно від того, що підтримує ваш проксі-сервер, виберіть один із наступних протоколів:

      • HTTP — Перегляд і контроль усіх запитів, які надсилає клієнт.

      • HTTPS — забезпечує канал серверу. Клієнт отримує та перевіряє сертифікат сервера.

    4. Тип автентифікації— Виберіть один із наведених нижче типів автентифікації:

      • Немає— Подальша автентифікація не потрібна.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

      • Базовий— Використовується для того, щоб HTTP-агент користувача надавав ім'я користувача та пароль під час здійснення запиту. Використовує кодування Base64.

        Доступно, якщо в якості проксі-протоколу вибрано HTTP або HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

      • Дайджест— Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно, лише якщо в якості проксі-протоколу вибрано протокол HTTPS.

        Потрібно ввести ім'я користувача і пароль на кожному вузлі.

Приклад гібридних вузлів безпеки даних і проксі-сервера

На цій схемі наведено приклад підключення між гібридною безпекою даних, мережею та проксі-сервером. Для прозорої перевірки та явної перевірки параметрів проксі-сервера HTTPS на проксі-сервері та на вузлах гібридної безпеки даних повинен бути встановлений той самий кореневий сертифікат.

Заблокований зовнішній режим роздільної здатності DNS (явні конфігурації проксі)

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. У розгортаннях з явними конфігураціями проксі-сервера, які не дозволяють зовнішню роздільну здатність DNS для внутрішніх клієнтів, якщо вузол не може запитувати DNS-сервери, він автоматично переходить у режим блокування зовнішньої роздільної здатності DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести проксі-підключення.

Підготовка середовища

Вимоги до безпеки даних для багатокористувацьких гібридних систем

Вимоги до ліцензії Cisco Webex

Щоб розгорнути багатоклієнтську гібридну безпеку даних:

  • Організації-партнери: Зверніться до свого партнера Cisco або менеджера облікового запису та переконайтеся, що функція «Мультикенант» увімкнена.

  • Організації орендарів: Для Cisco Webex Control Hub вам потрібен Pro Pack. (Див. https://www.cisco.com/go/pro-pack.)

Вимоги до робочого столу Docker

Перш ніж встановлювати вузли HDS, вам потрібно запустити програму налаштування Docker Desktop. Docker нещодавно оновив свою модель ліцензування. Ваша організація може вимагати платну підписку на Docker Desktop. Для отримання детальної інформації див. допис у блозі Docker "Docker оновлює та розширює підписку на наш продукт".

Клієнти без ліцензії Docker Desktop можуть використовувати інструмент керування контейнерами з відкритим кодом, такий як Podman Desktop, для запуску, керування та створення контейнерів. Див. Запуск інструменту налаштування HDS за допомогою Podman Desktop для отримання детальної інформації.

Вимоги до сертифіката X.509

Ланцюжок сертифікатів повинен відповідати таким вимогам:

Таблиця 1. Вимоги до сертифіката X.509 для гібридного розгортання безпеки даних

Вимоги

Відомості

  • Підписано довіреним центром сертифікації (CA)

За замовчуванням ми довіряємо центрам сертифікації (CA) зі списку Mozilla (за винятком WoSign та StartCom) за адресою https://wiki.mozilla.org/CA:IncludedCAs.

  • Має доменне ім'я Common Name (CN), яке ідентифікує ваше розгортання гібридної безпеки даних

  • Не є шаблонним сертифікатом

CN не обов'язково має бути доступним або активним хостом. Ми рекомендуємо використовувати назву, яка відображає вашу організацію, наприклад, hds.company.com.

Комбінований номер не повинен містити * (підстановлювальний знак).

CN використовується для перевірки вузлів гібридної безпеки даних для клієнтів Webex App. Усі вузли гібридної безпеки даних у вашому кластері використовують один і той самий сертифікат. Ваша KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, визначеного в полях SAN x.509v3.

Після реєстрації вузла з цим сертифікатом зміна доменного імені CN не підтримується.

  • Підпис, що не є SHA1

Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключень до KMS інших організацій.

  • Відформатовано як PKCS, захищений паролем #12 файл

  • Використовуйте зрозуміле ім'я kms-private-key, щоб позначити сертифікат, закритий ключ та будь-які проміжні сертифікати для завантаження.

Ви можете скористатися конвертером, таким як OpenSSL, щоб змінити формат вашого сертифіката.

Вам потрібно буде ввести пароль під час запуску інструменту налаштування HDS.

Програмне забезпечення KMS не передбачає використання ключів або розширених обмежень на їх використання. Деякі центри сертифікації вимагають, щоб до кожного сертифіката застосовувалися розширені обмеження на використання ключів, такі як автентифікація сервера. Можна використовувати автентифікацію сервера або інші налаштування.

Вимоги до віртуального хоста

Віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у вашому кластері, мають такі вимоги:

  • Принаймні два окремі хости (рекомендовано 3), розташовані в одному безпечному центрі обробки даних

  • Встановлено та запущено VMware ESXi 7.0 або 8.0.

    Вам потрібно оновити систему, якщо у вас є попередня версія ESXi.

  • Мінімум 4 віртуальних процесори, 8 ГБ основної пам'яті, 30 ГБ місця на локальному жорсткому диску на сервер

Вимоги до сервера бази даних

Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Після встановлення програми HDS створюють схему бази даних.

Існує два варіанти для сервера баз даних. Вимоги до кожного з них такі:

Таблиця 2. Вимоги до сервера бази даних за типом бази даних

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 або 16, встановлено та запущено.

  • Встановлено SQL Server 2016, 2017, 2019 або 2022 (Enterprise або Standard).

    Для SQL Server 2016 потрібен пакет оновлень 2 (SP2) та сукупний пакет оновлень 2 (Commulative Update 2) або пізніша версія.

Мінімум 8 віртуальних процесорів, 16 ГБ основної пам'яті, достатньо місця на жорсткому диску та моніторинг, щоб гарантувати, що цей обсяг не перевищено (рекомендується 2 ТБ, якщо ви хочете запускати базу даних протягом тривалого часу без необхідності збільшення обсягу сховища).

Мінімум 8 віртуальних процесорів, 16 ГБ основної пам'яті, достатньо місця на жорсткому диску та моніторинг, щоб гарантувати, що цей обсяг не перевищено (рекомендується 2 ТБ, якщо ви хочете запускати базу даних протягом тривалого часу без необхідності збільшення обсягу сховища).

Програмне забезпечення HDS наразі встановлює такі версії драйверів для зв'язку із сервером бази даних:

PostgreSQL

Microsoft SQL Server

Драйвер Postgres JDBC 42.2.5

Драйвер JDBC для SQL Server версії 4.6

Ця версія драйвера підтримує SQL Server Always On ( екземпляри кластера Always On Failover Cluster та групи доступності Always On).

Додаткові вимоги для автентифікації Windows на Microsoft SQL Server

Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для отримання доступу до вашої бази даних сховища ключів на Microsoft SQL Server, вам потрібна така конфігурація у вашому середовищі:

  • Вузли HDS, інфраструктура Active Directory та MS SQL Server повинні бути синхронізовані з NTP.

  • Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати read/write доступ до бази даних.

  • DNS-сервери, які ви надаєте вузлам HDS, повинні мати можливість розпізнавати ваш центр розподілу ключів (KDC).

  • Ви можете зареєструвати екземпляр бази даних HDS на вашому Microsoft SQL Server як ім'я принципала-служби (SPN) в Active Directory. Див. Реєстрація імені принципала служби для підключень Kerberos.

    Інструмент налаштування HDS, засіб запуску HDS та локальна KMS повинні використовувати автентифікацію Windows для доступу до бази даних сховища ключів. Вони використовують дані з вашої конфігурації ISO для створення SPN під час запиту доступу з автентифікацією Kerberos.

Вимоги до зовнішнього підключення

Налаштуйте брандмауер, щоб дозволити такі підключення для програм HDS:

Програма

Протокол

Порт

Вказівки з програми

Призначення

Гібридні вузли безпеки даних

TCP

443

Вихідний HTTPS та WSS

  • Сервери Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Усі хости Common Identity

  • Інші URL-адреси, перелічені для гібридної безпеки даних у таблиці Додаткові URL-адреси для гібридних служб Webex у розділі Мережеві вимоги для служб Webex

Інструмент налаштування HDS

TCP

443

Вихідний HTTPS

  • *.wbx2.com

  • Усі хости Common Identity

  • hub.docker.com

Вузли гібридної безпеки даних працюють із трансляцією мережевого доступу (NAT) або за брандмауером, якщо NAT або брандмауер дозволяє необхідні вихідні підключення до доменних пунктів призначення, зазначених у попередній таблиці. Для вхідних з’єднань, що надходять до вузлів гібридної безпеки даних, жодні порти не повинні бути видимими з Інтернету. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на TCP-портах 443 та 22 для адміністративних цілей.

URL-адреси для хостів Common Identity (CI) залежать від регіону. Ось поточні хости CI:

Регіон

URL-адреси спільних хостів ідентифікації

Північна та Південна Америки

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Європейський Союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сінгапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Об’єднані Арабські Емірати

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Вимоги до проксі-сервера

  • Ми офіційно підтримуємо наступні проксі-рішення, які можуть інтегруватися з вашими вузлами гібридної безпеки даних.

  • Ми підтримуємо такі комбінації типів автентифікації для явних проксі:

    • Немає автентифікації за допомогою HTTP або HTTPS

    • Базова автентифікація за допомогою HTTP або HTTPS

    • Автентифікація дайджесту лише за допомогою ПРОТОКОЛУ HTTPS

  • Для прозорої перевірки проксі-сервера або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі-сервера. Інструкції з розгортання в цьому посібнику розповідають, як завантажити копію в надійні сховища вузлів гібридної безпеки даних.

  • Мережа, в якій розміщуються вузли HDS, повинна бути налаштована на примусове витіснення TCP-трафіку на порту 443 для маршрутизації через проксі.

  • Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з'єднанню веб-сокетів. Якщо ця проблема виникає, обхід (не перевірка) трафіку до wbx2.com та ciscospark.com вирішить її.

Виконайте попередні умови для гібридної безпеки даних

Скористайтеся цим контрольним списком, щоб переконатися, що ви готові до встановлення та налаштування кластера гібридної безпеки даних.
1

Переконайтеся, що у вашій партнерській організації ввімкнено функцію Multi-Tenant HDS, і отримайте облікові дані облікового запису з повними правами адміністратора партнера та повними правами адміністратора. Переконайтеся, що ваша організація клієнта Webex увімкнена для Pro Pack для Cisco Webex Control Hub. Зверніться до свого партнера Cisco або менеджера з обслуговування клієнтів, щоб отримати допомогу з цим процесом.

Організації-клієнти не повинні мати жодного розгорнутого HDS.

2

Виберіть доменне ім'я для розгортання HDS (наприклад, hds.company.com) та отримайте ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ та будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам, наведеним у Вимоги до сертифікатів X.509.

3

Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері. Вам потрібно щонайменше два окремі хости (рекомендовано 3), розташовані в одному захищеному центрі обробки даних, які відповідають вимогам, наведеним у Вимоги до віртуального хоста.

4

Підготуйте сервер бази даних, який слугуватиме сховищем ключових даних для кластера, відповідно до вимог до сервера бази даних. Сервер бази даних має бути розміщений у захищеному центрі обробки даних разом із віртуальними хостами.

  1. Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням.) Після встановлення програми HDS створюють схему бази даних.

  2. Зберіть деталі, які вузли використовуватимуть для зв'язку із сервером бази даних:

    • ім'я хоста або IP-адреса (хост) та порт

    • ім'я бази даних (dbname) для зберігання ключів

    • ім'я користувача та пароль користувача з усіма правами доступу до бази даних сховища ключів

5

Для швидкого аварійного відновлення налаштуйте резервне середовище в іншому центрі обробки даних. Середовище резервного копіювання відображає виробниче середовище віртуальних машин та резервного сервера бази даних. Наприклад, якщо у виробничому середовищі є 3 віртуальні машини з вузлами HDS, то й у середовищі резервного копіювання повинно бути 3 віртуальні машини.

6

Налаштуйте хост системних журналів для збору журналів з вузлів кластера. Зберіть його мережеву адресу та порт системного журналу (за замовчуванням UDP 514).

7

Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних та хоста системного журналу. Як мінімум, щоб запобігти безповоротній втраті даних, необхідно створити резервну копію бази даних та ISO-файлу конфігурації, згенерованого для вузлів гібридної безпеки даних.

Оскільки вузли гібридної безпеки даних зберігають ключі, що використовуються для шифрування та дешифрування контенту, нездатність підтримувати робоче розгортання призведе до НЕПОВОРОТНОЇ ВТРАТИ цього контенту.

Клієнти Webex App кешують свої ключі, тому збій може бути помітним не одразу, але стане очевидним з часом. Хоча тимчасових перебоїв неможливо запобігти, їх можна усунути. Однак повна втрата (без резервних копій) бази даних або ISO-файлу конфігурації призведе до неможливості відновлення даних клієнта. Оператори вузлів гібридної безпеки даних повинні регулярно створювати резервні копії бази даних та ISO-файлу конфігурації, а також бути готовими до відновлення центру обробки даних гібридної безпеки даних у разі катастрофічного збою.

8

Переконайтеся, що конфігурація вашого брандмауера дозволяє підключення для вузлів гібридної безпеки даних, як зазначено в Вимоги до зовнішнього підключення.

9

Встановіть Docker ( https://www.docker.com) на будь-який локальний комп'ютер з підтримуваною ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядна версія, або Mac OSX Yosemite 10.10.3 або вище) з веббраузером, який може отримати до нього доступ за адресою http://127.0.0.1:8080.

Ви використовуєте екземпляр Docker для завантаження та запуску інструменту налаштування HDS, який створює локальну конфігураційну інформацію для всіх вузлів Hybrid Data Security. Вам може знадобитися ліцензія Docker Desktop. Див. Вимоги до робочого столу Docker для отримання додаткової інформації.

Щоб встановити та запустити інструмент налаштування HDS, локальний комп’ютер повинен мати підключення, описане в Вимоги до зовнішнього підключення.

10

Якщо ви інтегруєте проксі-сервер із Hybrid Data Security, переконайтеся, що він відповідає вимогам до проксі-сервера.

Налаштування гібридного кластера безпеки даних

Послідовність завдань розгортання гібридної безпеки даних

Перш ніж почати

1

Виконайте початкове налаштування та завантажте інсталяційні файли

Завантажте OVA-файл на свій локальний комп'ютер для подальшого використання.

2

Створення ISO-образу конфігурації для хостів HDS

Використайте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

3

Встановлення OVA хоста HDS

Створіть віртуальну машину з OVA-файлу та виконайте початкову конфігурацію, таку як мережеві налаштування.

Можливість налаштування мережевих параметрів під час розгортання OVA була протестована з ESXi 7.0 та 8.0. Ця опція може бути недоступна в попередніх версіях.

4

Налаштування віртуальної машини гібридної безпеки даних

Увійдіть до консолі віртуальної машини та встановіть облікові дані для входу. Налаштуйте мережеві параметри для вузла, якщо ви не налаштували їх під час розгортання OVA.

5

Завантажте та змонтуйте ISO-файл конфігурації HDS

Налаштуйте віртуальну машину з файлу конфігурації ISO, який ви створили за допомогою інструмента налаштування HDS.

6

Налаштування вузла HDS для інтеграції проксі

Якщо мережеве середовище вимагає налаштування проксі-сервера, вкажіть тип проксі-сервера, який використовуватиметься для вузла, і за потреби додайте сертифікат проксі-сервера до сховища довірених сертифікатів.

7

Зареєструйте перший вузол у кластері

Зареєструйте віртуальну машину в хмарі Cisco Webex як вузол гібридної безпеки даних.

8

Створення та реєстрація додаткових вузлів

Завершіть налаштування кластера.

9

Активуйте багатокористувацьку HDS у Центрі партнерів.

Активуйте HDS та керуйте організаціями орендарів у Центрі партнерів.

Виконайте початкове налаштування та завантажте інсталяційні файли

У цьому завданні ви завантажуєте файл OVA на свій комп’ютер (не на сервери, які ви налаштували як вузли гібридної безпеки даних). Ви використаєте цей файл пізніше в процесі встановлення.

1

Увійдіть до Центру партнерів і натисніть Послуги.

2

У розділі «Хмарні служби» знайдіть картку «Гібридна безпека даних» і натисніть «Налаштувати.

Натискання кнопки Налаштувати у Центрі партнерів є критично важливим для процесу розгортання. Не продовжуйте встановлення без завершення цього кроку.

3

Натисніть Додати ресурс та натисніть Завантажити файл .OVA на картці Встановлення та налаштування програмного забезпечення.

Старіші версії програмного пакету (OVA) не будуть сумісні з останніми оновленнями Hybrid Data Security. Це може призвести до проблем під час оновлення програми. Переконайтеся, що ви завантажили останню версію OVA-файлу.

Ви також можете завантажити OVA будь-коли з розділу Довідка. Натисніть Налаштування > Довідка > Завантажити програмне забезпечення гібридної безпеки даних.

Файл OVA автоматично почне завантажуватися. Збережіть файл у певному місці на вашому комп’ютері.
4

За потреби натисніть Див. посібник з розгортання гібридної безпеки даних, щоб перевірити, чи доступна пізніша версія цього посібника.

Створення ISO-образу конфігурації для хостів HDS

Процес налаштування гібридної безпеки даних створює ISO-файл. Потім ви використовуєте ISO-образ для налаштування хоста Hybrid Data Security.

Перш ніж почати
1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login -u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до локального хоста.

За допомогою веббраузера перейдіть на локальний хост, http://127.0.0.1:8080, і введіть ім'я користувача admin для Центру партнерів у запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити відповідне середовище для цього облікового запису. Після цього інструмент відображає стандартне вікно входу.

7

Коли з’явиться відповідний запит, введіть свої облікові дані адміністратора для входу в Центр партнерів, а потім натисніть Увійти, щоб надати доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструмента налаштування натисніть Початок роботи.

9

На сторінці Імпорт ISO у вас є такі опції:

  • Ні— Якщо ви створюєте свій перший вузол HDS, у вас немає ISO-файлу для завантаження.
  • Так— Якщо ви вже створили вузли HDS, тоді вибираєте свій ISO-файл у вікні перегляду та завантажуєте його.
10

Перевірте, чи відповідає ваш сертифікат X.509 вимогам, наведеним у Вимоги до сертифіката X.509.

  • Якщо ви ніколи раніше не завантажували сертифікат, завантажте сертифікат X.509, введіть пароль і натисніть «Продовжити».
  • Якщо ваш сертифікат в порядку, натисніть Продовжити.
  • Якщо термін дії вашого сертифіката минув або ви хочете його замінити, виберіть Ні для Продовжити використовувати ланцюжок сертифікатів HDS та закритий ключ з попереднього ISO?. Завантажте новий сертифікат X.509, введіть пароль і натисніть «Продовжити».
11

Введіть адресу бази даних та обліковий запис для HDS, щоб отримати доступ до вашого сховища ключових даних:

  1. Виберіть тип бази даних (PostgreSQL або Microsoft SQL Server).

    Якщо ви оберете Microsoft SQL Server, ви отримаєте поле «Тип автентифікації».

  2. (Тільки для Microsoft SQL Server ) Виберіть тип автентифікації:

    • Базова автентифікація: Вам потрібно вказати ім'я локального облікового запису SQL Server у полі Ім'я користувача.

    • Автентифікація Windows: Вам потрібен обліковий запис Windows у форматі username@DOMAIN у полі Ім’я користувача.

  3. Введіть адресу сервера бази даних у форматі : або :.

    Приклад:
    dbhost.example.org:1433 або 198.51.100.17:1433

    Ви можете використовувати IP-адресу для базової автентифікації, якщо вузли не можуть використовувати DNS для визначення імені хоста.

    Якщо ви використовуєте автентифікацію Windows, потрібно ввести повне доменне ім'я у форматі dbhost.example.org:1433

  4. Введіть назву бази даних.

  5. Введіть Ім’я користувача та Пароль користувача з усіма правами доступу до бази даних сховища ключів.

12

Виберіть Режим підключення до бази даних TLS:

Режим

Опис

Надавати перевагу TLS (параметр за замовчуванням)

Вузли HDS не потребують TLS для з 'єднання з сервером бази даних. Якщо ви ввімкнете TLS на сервері бази даних, вузли спробують встановити зашифроване з’єднання.

Вимагати TLS

Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

Вимагати TLS і перевірити підписувача сертифіката

Цей режим не застосовується для баз даних SQL Server.

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення TLS-з’єднання вузол порівнює підписанта сертифіката з сервера бази даних із центром сертифікації в кореневому сертифікаті бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Вимагати TLS і перевірити особу, яка підписала сертифікат, і назву вузла

  • Вузли HDS з 'єднуються, лише якщо сервер бази даних може узгоджувати TLS.

  • Після встановлення TLS-з’єднання вузол порівнює підписанта сертифіката з сервера бази даних із центром сертифікації в кореневому сертифікаті бази даних. Якщо вони не збігаються, вузол припиняє з 'єднання.

  • Вузли також перевіряють, чи ім'я хоста в сертифікаті сервера збігається з іменем хоста в полі Хост та порт бази даних. Імена повинні точно збігатися, або вузол скасує з 'єднання.

Використовуйте елемент керування кореневим сертифікатом бази даних під спадним списком, щоб завантажити кореневий сертифікат для цього параметра.

Коли ви завантажуєте кореневий сертифікат (за потреби) та натискаєте кнопку «Продовжити» , інструмент налаштування HDS перевіряє TLS-з’єднання із сервером бази даних. Інструмент також перевіряє особу, яка підписала сертифікат, і назву вузла, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через різницю в підключенні вузли HDS можуть встановити TLS-з’єднання, навіть якщо машина HDS Setup Tool не може успішно його протестувати.)

13

На сторінці «Системні журнали» налаштуйте сервер Syslogd:

  1. Введіть URL-адресу сервера системного журналу.

    Якщо сервер не може бути розпізнаний за допомогою DNS з вузлів вашого кластера HDS, використовуйте IP-адресу в URL-адресі.

    Приклад:
    udp://10.92.43.23:514 вказує на ведення журналу на хості Syslogd 10.92.43.23 на порту UDP 514.

  2. Якщо ви налаштували свій сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер системного журналу на шифрування SSL?.

    Якщо ви встановите цей прапорець, переконайтеся, що ви ввели URL-адресу TCP, наприклад tcp://10.92.43.23:514.

  3. У розкривному списку Вибрати завершення запису системного журналу виберіть відповідний параметр для вашого ISO-файлу: Для Graylog та Rsyslog TCP використовується символ «choose» або «Newline».

    • Нульовий байт -- \x00

    • Новий рядок -- \n— Виберіть цей варіант для Graylog та Rsyslog TCP.

  4. Клацніть Продовжити.

14

(Необов’язково) Ви можете змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Додаткові налаштування. Зазвичай, цей параметр єдиний, який ви можете захотіти змінити:

app_datasource_connection_pool_maxSize: 10
15

Натисніть Продовжити на екрані Скинути пароль облікового запису служби.

Паролі облікових записів служби мають термін дії дев'ять місяців. Використовуйте цей екран, коли термін дії ваших паролів наближається до закінчення терміну дії або ви хочете скинути їх, щоб зробити недійсними попередні ISO-файли.

16

Натисніть Завантажити ISO-файл. Збережіть файл у місці, яке легко знайти.

17

Зробіть резервну копію ISO-файлу на вашій локальній системі.

Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни до конфігурації.

18

Щоб закрити інструмент налаштування, введіть CTRL+C.

Що далі

Зробіть резервну копію ISO-файлу конфігурації. Він потрібен для створення додаткових вузлів для відновлення або для внесення змін до конфігурації. Якщо ви втратите всі копії ISO-файлу, ви також втратите головний ключ. Відновлення ключів з бази даних PostgreSQL або Microsoft SQL Server неможливе.

У нас ніколи немає копії цього ключа, і ми не зможемо допомогти, якщо ви його втратите.

Встановлення OVA хоста HDS

Використайте цю процедуру для створення віртуальної машини з OVA-файлу.
1

Використайте клієнт VMware vSphere на вашому комп'ютері для входу до віртуального хоста ESXi.

2

Виберіть Файл > Розгорнути шаблон OVF.

3

У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім натисніть кнопку «Далі» .

4

На сторінці Виберіть ім'я та папку введіть ім'я віртуальної машини для вузла (наприклад, "HDS_Node_1"), виберіть розташування, де може знаходитися розгортання вузла віртуальної машини, а потім натисніть Далі.

5

На сторінці Виберіть обчислювальний ресурс виберіть цільовий обчислювальний ресурс і натисніть Далі.

Виконується перевірка валідації. Після завершення з'являться деталі шаблону.

6

Перевірте дані шаблону та натисніть Далі.

7

Якщо вас попросять вибрати конфігурацію ресурсів на сторінці Конфігурація, натисніть 4 ЦП, а потім натисніть Далі.

8

На сторінці Вибір сховища натисніть Далі, щоб прийняти формат диска за замовчуванням і політику сховища віртуальної машини.

9

На сторінці Вибір мереж виберіть параметр мережі зі списку записів, щоб забезпечити потрібне підключення до віртуальної машини.

10

На сторінці Налаштування шаблону налаштуйте такі параметри мережі:

  • Ім’я хоста— Введіть повне доменне ім’я (ім’я хоста та домен) або ім’я хоста з одного слова для вузла.

    • Вам не потрібно встановлювати домен таким, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

    • Щоб забезпечити успішну реєстрацію в хмарі, використовуйте лише малі символи в повному домені (FQDN) або імені хоста, яке ви встановили для вузла. Капіталізація наразі не підтримується.

    • Загальна довжина повного доменного імені (FQDN) не повинна перевищувати 64 символів.

  • IP-адреса— Введіть IP-адресу внутрішнього інтерфейсу вузла.

    Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім'я. DHCP не підтримується.

  • Маска— Введіть адресу маски підмережі у крапково-десятковому форматі. Наприклад, 255.255.255.0.
  • Шлюз— Введіть IP-адресу шлюзу. Шлюз – це мережевий вузол, який служить точкою доступу до іншої мережі.
  • DNS-сервери— Введіть список DNS-серверів, розділених комами, які обробляють перетворення доменних імен у числові IP-адреси. (Дозволено до 4 записів DNS.)
  • NTP-сервери— Введіть NTP-сервер вашої організації або інший зовнішній NTP-сервер, який можна використовувати у вашій організації. NTP-сервери за замовчуванням можуть працювати не для всіх підприємств. Ви також можете використовувати список, розділений комами, щоб ввести кілька NTP-серверів.

  • Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступні для клієнтів у вашій мережі для адміністративних цілей.

За бажанням, ви можете пропустити налаштування мережевих параметрів і виконати кроки, описані в розділі Налаштування віртуальної машини гібридної безпеки даних, щоб налаштувати параметри з консолі вузла.

Можливість налаштування мережевих параметрів під час розгортання OVA була протестована з ESXi 7.0 та 8.0. Ця опція може бути недоступна в попередніх версіях.

11

Клацніть правою кнопкою миші вузол віртуальної машини та виберіть Живлення > Увімкнення живлення.

Програмне забезпечення Hybrid Data Security інстальовано як гостьову систему на хості віртуальної машини. Тепер ви готові увійти в консоль і налаштувати вузол.

Поради щодо усунення несправностей

Можлива затримка в кілька хвилин перед запуском контейнерів вузлів. Під час першого завантаження на консолі з’являється повідомлення брандмауера мосту, під час якого ви не можете ввійти.

Налаштування віртуальної машини гібридної безпеки даних

Використайте цю процедуру, щоб уперше ввійти до консолі віртуальної машини вузла гібридної безпеки даних і встановити облікові дані для входу. Ви також можете використовувати консоль для налаштування мережевих параметрів вузла, якщо ви не налаштували їх під час розгортання OVA.

1

У клієнті VMware vSphere виберіть віртуальну машину вузла Hybrid Data Security та перейдіть на вкладку Консоль.

Віртуальна машина завантажується, і з'являється запит на вхід. Якщо запит на вхід не відображається, натисніть Enter.
2

Використовуйте наступні логін та пароль за замовчуванням для входу та зміни облікових даних:

  1. Вхід: admin

  2. Пароль: cisco

Оскільки ви вперше входите у свою віртуальну машину, вам потрібно змінити пароль адміністратора.

3

Якщо ви вже налаштували параметри мережі в розділі Встановлення OVA хоста HDS, пропустіть решту цієї процедури. В іншому випадку, у головному меню виберіть опцію Редагувати конфігурацію.

4

Налаштуйте статичну конфігурацію з IP-адресою, маскою, шлюзом та інформацією про DNS. Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім'я. DHCP не підтримується.

5

(Необов’язково) За потреби змініть ім’я хоста, домен або NTP-сервер(и) відповідно до політики вашої мережі.

Вам не потрібно встановлювати домен таким, щоб він відповідав домену, який ви використовували для отримання сертифіката X.509.

6

Збережіть конфігурацію мережі та перезавантажте віртуальну машину, щоб зміни набули чинності.

Завантажте та змонтуйте ISO-файл конфігурації HDS

Використайте цю процедуру для налаштування віртуальної машини з ISO-файлу, створеного за допомогою інструмента налаштування HDS.

Перш ніж почати

Оскільки ISO-файл містить головний ключ, його слід надавати лише за принципом «необхідності» для доступу віртуальних машин гібридної безпеки даних та будь-яких адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

1

Завантажте ISO-файл з вашого комп'ютера:

  1. У лівій навігаційній панелі клієнта VMware vSphere натисніть на сервер ESXi.

  2. У списку Обладнання на вкладці «Конфігурація» натисніть «Сховище» .

  3. У списку сховищ даних клацніть правою кнопкою миші на сховищі даних для ваших віртуальних машин і виберіть Огляд сховища даних.

  4. Натисніть на значок «Завантажити файл», а потім натисніть Завантажити файл.

  5. Перейдіть до місця, куди ви завантажили ISO-файл на свій комп’ютер, і натисніть Відкрити.

  6. Натисніть Так, щоб прийняти upload/download попередження про операцію та закрийте діалогове вікно сховища даних.

2

Змонтуйте ISO-файл:

  1. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  2. Натисніть кнопку «ОК», щоб прийняти попередження про обмежені можливості редагування.

  3. Натисніть CD/DVD Drive 1, виберіть опцію монтування з ISO-файлу сховища даних і перейдіть до місця, куди ви завантажили ISO-файл конфігурації.

  4. Перевірте Підключено та Підключитися при ввімкненні живлення.

  5. Збережіть зміни та перезавантажте віртуальну машину.

Що далі

Якщо цього вимагає ваша ІТ-політика, ви можете додатково відмонтувати ISO-файл після того, як усі ваші вузли отримають зміни конфігурації. Див. (Додатково) Відмонтування ISO після налаштування HDS для отримання детальної інформації.

Налаштування вузла HDS для інтеграції проксі

Якщо для мережного середовища потрібен проксі-сервер, скористайтеся цією процедурою, щоб указати тип проксі-сервера, який потрібно інтегрувати з hybrid Data Security. Якщо ви виберете прозорий проксі-сервер перевірки або явний проксі-сервер HTTPS, ви можете використовувати інтерфейс вузла для завантаження та встановлення кореневого сертифіката. Ви також можете перевірити проксі-з'єднання з інтерфейсу та усунути будь-які потенційні проблеми.

Перш ніж почати

1

Введіть URL-адресу налаштування вузла HDS https://[HDS Node IP or FQDN]/setup у веббраузері, введіть облікові дані адміністратора, які ви налаштували для вузла, а потім натисніть Увійти.

2

Перейдіть до Надійного магазину та проксі-сервера, а потім виберіть параметр:

  • Без проксі-сервера— Параметр за замовчуванням перед інтеграцією проксі-сервера. Оновлення сертифіката не потрібне.
  • Прозорий неінспекційний проксі-сервер— Вузли не налаштовані на використання певної адреси проксі-сервера та не повинні потребувати жодних змін для роботи з неінспекційним проксі-сервером. Оновлення сертифіката не потрібне.
  • Прозорий інспектуючий проксі-сервер— Вузли не налаштовані на використання певної адреси проксі-сервера. У розгортанні гібридної безпеки даних не потрібні зміни конфігурації HTTPS, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі-серверу. Інспекційні проксі зазвичай використовуються ІТ-серверами для забезпечення дотримання політик, на яких веб-сайтах можна відвідувати та які типи вмісту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
  • Явний проксі-сервер— За допомогою явного проксі-сервера ви повідомляєте клієнту (вузлам HDS), який проксі-сервер використовувати, і ця опція підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести такі відомості:

    1. Проксі IP/FQDN— Адреса, яку можна використовувати для зв’язку з проксі-машиною.

    2. Порт проксі-сервера— Номер порту, який проксі-сервер використовує для прослуховування проксі-трафіку.

    3. Проксі-протокол— Виберіть http (переглядає та контролює всі запити, отримані від клієнта) або https (надає канал до сервера, а клієнт отримує та перевіряє сертифікат сервера). Виберіть варіант, виходячи з того, що підтримує ваш проксі-сервер.

    4. Тип автентифікації— Виберіть один із наведених нижче типів автентифікації:

      • Немає— Подальша автентифікація не потрібна.

        Доступно для проксі HTTP або HTTPS.

      • Базовий— Використовується для того, щоб HTTP-агент користувача надавав ім'я користувача та пароль під час здійснення запиту. Використовує кодування Base64.

        Доступно для проксі HTTP або HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

      • Дайджест— Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед відправкою по мережі.

        Доступно лише для проксі HTTPS.

        Якщо вибрати цей варіант, необхідно також ввести ім'я користувача і пароль.

Виконайте наступні кроки для прозорої перевірки проксі-сервера, явного HTTP-проксі з базовою автентифікацією або явного проксі-сервера HTTPS.

3

Клацніть « Завантажити кореневий сертифікат» або «Завершити сертифікатсутності», а потім перейдіть до вибору кореневого сертифіката для проксі-сервера.

Сертифікат завантажено, але ще не інстальовано, оскільки для встановлення сертифіката потрібно перезавантажити вузол. Клацніть стрілку шеврона біля імені емітента сертифіката, щоб отримати докладніші відомості, або натисніть кнопку Видалити , якщо ви припустилися помилки та хочете повторно завантажити файл.

4

Натисніть кнопку Перевірити підключення до проксі, щоб перевірити підключення до мережі між вузлом і проксі-сервером.

Якщо тест підключення не пройшов, ви побачите повідомлення про помилку, у якому вказано причину та способи усунення проблеми.

Якщо ви бачите повідомлення про те, що зовнішня роздільна здатність DNS не була успішною, вузол не зміг дістатися до DNS-сервера. Ця умова очікується в багатьох явних конфігураціях проксі. Ви можете продовжити налаштування, і вузол працюватиме в режимі блокування зовнішнього DNS-доступу. Якщо ви вважаєте, що це помилка, виконайте ці кроки, а потім перегляньте статтю Вимкнення режиму розв’язання заблокованих зовнішніх DNS-адрес.

5

Після того, як тест з'єднання пройде, для явного проксі-сервера, встановленого лише на https, увімкніть перемикач до Маршрутизація всіх запитів порту 443/444 https з цього вузла через явний проксі. Для набрання чинності цим параметром потрібно 15 секунд.

6

Натисніть кнопку Інсталювати всі сертифікати в надійний магазин (відображається для проксі-сервера HTTPS відвертої перевірки або прозорого проксі-сервера для перевірки) або Перезавантажити (відображається для явного проксі-сервера HTTP), прочитайте запит і натисніть кнопку Інсталювати , якщо все готово.

Вузол перезавантажується протягом декількох хвилин.

7

Після перезавантаження вузла увійдіть знову, якщо потрібно, а потім відкрийте сторінку Огляду , щоб перевірити перевірки підключення, щоб переконатися, що всі вони в зеленому стані.

Перевірка проксі-з'єднання лише тестує субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі хмарні домени, перелічені в інструкціях з інсталяції, блокуються на проксі-сервері.

Зареєструйте перший вузол у кластері

Це завдання бере універсальний вузол, створений у розділі Налаштування віртуальної машини гібридної безпеки даних, реєструє вузол у хмарі Webex і перетворює його на вузол гібридної безпеки даних.

Під час реєстрації першого вузла створюється кластер, до якого призначається цей вузол. Кластер містить один або декілька вузлів, розгорнутих для забезпечення резервування.

Перш ніж почати

  • Після початку реєстрації вузла ви повинні завершити її протягом 60 хвилин, інакше вам доведеться починати спочатку.

  • Переконайтеся, що всі блокувальники спливаючих вікон у вашому браузері вимкнено або що ви дозволили виняток для admin.webex.com.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч на екрані виберіть Послуги.

3

У розділі «Хмарні сервіси» знайдіть картку «Гібридна безпека даних» і натисніть «Налаштувати.

4

На сторінці, що відкриється, натисніть Додати ресурс.

5

У першому полі картки Додати вузол введіть назву кластера, до якого потрібно призначити вузол гібридної безпеки даних.

Ми рекомендуємо називати кластер на основі географічного розташування вузлів кластера. Приклади: «Сан-Франциско», «Нью-Йорк» або «Даллас»

6

У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та натисніть Додати внизу екрана.

Ця IP-адреса або повне доменне ім'я має збігатися з IP-адресою або іменем хоста та доменом, які ви використовували в Налаштування віртуальної машини гібридної безпеки даних.

З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у Webex.
7

Натисніть Перейти до вузла.

Через кілька хвилин вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройдуть успішно, з’явиться сторінка «Дозволити доступ до вузла гібридної безпеки даних». Там ви підтверджуєте, що хочете надати дозволи своїй організації Webex на доступ до вашого вузла.

8

Установіть прапорець Дозволити доступ до вашого гібридного вузла безпеки даних, а потім натисніть Продовжити.

Ваш обліковий запис підтверджено, і повідомлення «Реєстрацію завершено» вказує на те, що ваш вузол тепер зареєстровано в хмарі Webex.
9

Натисніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Центру партнерів.

На сторінці Гібридна безпека даних новий кластер, що містить зареєстрований вами вузол, відображається на вкладці Ресурси. Вузол автоматично завантажить найновіше програмне забезпечення з хмари.

Створення та реєстрація додаткових вузлів

Щоб додати додаткові вузли до кластера, просто створіть додаткові віртуальні машини та змонтуйте той самий ISO-файл конфігурації, а потім зареєструйте вузол. Ми рекомендуємо мати щонайменше 3 вузли.

Перш ніж почати

  • Після початку реєстрації вузла ви повинні завершити її протягом 60 хвилин, інакше вам доведеться починати спочатку.

  • Переконайтеся, що всі блокувальники спливаючих вікон у вашому браузері вимкнено або що ви дозволили виняток для admin.webex.com.

1

Створіть нову віртуальну машину з OVA, повторивши кроки, описані в Встановлення OVA хоста HDS.

2

Налаштуйте початкову конфігурацію на новій віртуальній машині, повторивши кроки, описані в Налаштування гібридної віртуальної машини безпеки даних.

3

На новій віртуальній машині повторіть кроки, описані в розділі Завантаження та монтування ISO-файлу конфігурації HDS.

4

Якщо ви налаштовуєте проксі-сервер для розгортання, повторіть кроки, описані в розділі Налаштування вузла HDS для інтеграції проксі-сервера, за потреби для нового вузла.

5

Зареєструйте вузол.

  1. У меню ліворуч на екрані виберіть https://admin.webex.com«Послуги».

  2. У розділі «Хмарні сервіси» знайдіть картку «Гібридна безпека даних» і натисніть «Переглянути всі.

    З’явиться сторінка «Ресурси гібридної безпеки даних».

  3. Новостворений кластер з’явиться на сторінці Ресурси.

  4. Клацніть на кластері, щоб переглянути вузли, призначені кластеру.

  5. Натисніть Додати вузол у правій частині екрана.

  6. Введіть внутрішню IP-адресу або повне доменне ім'я (FQDN) вашого вузла та натисніть Додати.

    Відкриється сторінка з повідомленням про те, що ви можете зареєструвати свій вузол у хмарі Webex. Через кілька хвилин вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройдуть успішно, з’явиться сторінка «Дозволити доступ до вузла гібридної безпеки даних». Там ви підтверджуєте, що хочете надати своїй організації дозволи на доступ до вашого вузла.

  7. Установіть прапорець Дозволити доступ до вашого гібридного вузла безпеки даних, а потім натисніть Продовжити.

    Ваш обліковий запис підтверджено, і повідомлення «Реєстрацію завершено» вказує на те, що ваш вузол тепер зареєстровано в хмарі Webex.

  8. Натисніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Центру партнерів.

    Спливаюче повідомленняВузол додано також відображається внизу екрана в Центрі партнерів.

    Ваш вузол зареєстровано.

Керування організаціями орендарів у багатоклієнтській гібридній безпеці даних

Активуйте багатокористувацьку HDS у Центрі партнерів

Це завдання гарантує, що всі користувачі організацій клієнтів зможуть почати використовувати HDS для локальних ключів шифрування та інших служб безпеки.

Перш ніж почати

Переконайтеся, що ви завершили налаштування кластера Multi-Tenant HDS з необхідною кількістю вузлів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч на екрані виберіть Послуги.

3

У розділі «Хмарні сервіси» знайдіть «Гібридна безпека даних» і натисніть «Редагувати налаштування» .

4

Натисніть Активувати HDS на картці Стан HDS.

Додавання організацій-орендарів у Центрі партнерів

У цьому завданні ви призначаєте організації клієнтів до вашого гібридного кластера безпеки даних.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч на екрані виберіть Послуги.

3

У розділі «Хмарні сервіси» знайдіть «Гібридна безпека даних» і натисніть «Переглянути всі.

4

Клацніть на кластері, до якого потрібно призначити клієнта.

5

Перейдіть на вкладку Призначені клієнти.

6

Натисніть Додати клієнтів.

7

Виберіть клієнта, якого ви хочете додати, з випадаючого меню.

8

Натисніть Додати, клієнта буде додано до кластера.

9

Повторіть кроки з 6 по 8, щоб додати кількох клієнтів до кластера.

10

Після додавання клієнтів натисніть «Готово » внизу екрана.

Що далі

Запустіть інструмент налаштування HDS, як описано в розділі Створення основних ключів клієнта (CMK) за допомогою інструмента налаштування HDS, щоб завершити процес налаштування.

Створення основних ключів клієнта (CMK) за допомогою інструмента налаштування HDS

Перш ніж почати

Призначте клієнтів до відповідного кластера, як детально описано в Додавання організацій-клієнтів у Центрі партнерів. Запустіть інструмент налаштування HDS, щоб завершити процес налаштування для щойно доданих організацій клієнтів.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Для процесу налаштування потрібні облікові дані облікового запису Центру партнерів із повними правами адміністратора вашої організації.

    Якщо інструмент налаштування HDS працює за проксі-сервером у вашому середовищі, надайте параметри проксі-сервера (сервер, порт, облікові дані) через змінні середовища Docker під час запуску контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS проксі без автентифікації

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-проксі з автентифікацією

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS проксі з автентифікацією

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Згенерований вами ISO-файл конфігурації містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни до конфігурації, як-от:

    • Облікові дані бази даних

    • Оновлення сертифікатів

    • Зміни в політиці авторизації

  • Якщо ви плануєте шифрувати з’єднання з базою даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює ISO-файл. Потім ви використовуєте ISO-образ для налаштування хоста Hybrid Data Security.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login -u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

За допомогою веббраузера перейдіть на локальний хост, http://127.0.0.1:8080, і введіть ім'я користувача admin для Центру партнерів у запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити відповідне середовище для цього облікового запису. Після цього інструмент відображає стандартне вікно входу.

7

Коли з’явиться відповідний запит, введіть свої облікові дані адміністратора для входу в Центр партнерів, а потім натисніть Увійти, щоб надати доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструмента налаштування натисніть Початок роботи.

9

На сторінці Імпорт ISO натисніть Так.

10

Виберіть свій ISO-файл у браузері та завантажте його.

Забезпечте підключення до вашої бази даних для керування CMK.
11

Перейдіть на вкладку Керування CMK орендаря, де ви знайдете три такі способи керування CMK орендаря.

  • Створити CMK для всіх організацій або Створити CMK – Натисніть цю кнопку на банері у верхній частині екрана, щоб створити CMK для всіх щойно доданих організацій.
  • Натисніть кнопку Керування CMK у правій частині екрана та натисніть Створити CMK, щоб створити CMK для всіх щойно доданих організацій.
  • Натисніть … біля статусу очікування керування CMK для певної організації в таблиці та натисніть Створити CMK, щоб створити CMK для цієї організації.
12

Після успішного створення CMK статус у таблиці зміниться з «Керування CMK очікується» на «Керується CMK».

13

Якщо створення CMK не вдалося, з’явиться повідомлення про помилку.

Видалити організації-орендарі

Перш ніж почати

Після видалення користувачі організацій клієнтів не зможуть використовувати HDS для своїх потреб шифрування та втратять усі існуючі профілі. Перш ніж видаляти організації клієнтів, зверніться до свого партнера Cisco або менеджера з обслуговування клієнтів.

1

Увійдіть у https://admin.webex.com.

2

У меню ліворуч на екрані виберіть Послуги.

3

У розділі «Хмарні сервіси» знайдіть «Гібридна безпека даних» і натисніть «Переглянути всі.

4

На вкладці Ресурси клацніть кластер, з якого потрібно видалити організації клієнтів.

5

На сторінці, що відкриється, натисніть Призначені клієнти.

6

Зі списку відображених організацій клієнтів натисніть ... праворуч від організації клієнта, яку потрібно видалити, і натисніть Видалити з кластера.

Що далі

Завершіть процес видалення, скасувавши CMK організацій-клієнтів, як зазначено в Скасування CMK орендарів, видалених з HDS.

Скасувати CMK орендарів, видалених з HDS.

Перш ніж почати

Видаліть клієнтів з відповідного кластера, як детально описано в Видалення організацій-орендарів. Запустіть засіб налаштування HDS, щоб завершити процес видалення видалених організацій клієнтів.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Для процесу налаштування потрібні облікові дані облікового запису Центру партнерів із повними правами адміністратора вашої організації.

    Якщо інструмент налаштування HDS працює за проксі-сервером у вашому середовищі, надайте параметри проксі-сервера (сервер, порт, облікові дані) через змінні середовища Docker під час запуску контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS проксі без автентифікації

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-проксі з автентифікацією

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS проксі з автентифікацією

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Згенерований вами ISO-файл конфігурації містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни до конфігурації, як-от:

    • Облікові дані бази даних

    • Оновлення сертифікатів

    • Зміни в політиці авторизації

  • Якщо ви плануєте шифрувати з’єднання з базою даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює ISO-файл. Потім ви використовуєте ISO-образ для налаштування хоста Hybrid Data Security.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

docker login -u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • У звичайних середовищах з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з http проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

6

Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

За допомогою веббраузера перейдіть на локальний хост, http://127.0.0.1:8080, і введіть ім'я користувача admin для Центру партнерів у запиті.

Інструмент використовує цей перший запис імені користувача, щоб встановити відповідне середовище для цього облікового запису. Після цього інструмент відображає стандартне вікно входу.

7

Коли з’явиться відповідний запит, введіть свої облікові дані адміністратора для входу в Центр партнерів, а потім натисніть Увійти, щоб надати доступ до необхідних служб для гібридної безпеки даних.

8

На сторінці огляду інструмента налаштування натисніть Початок роботи.

9

На сторінці Імпорт ISO натисніть Так.

10

Виберіть свій ISO-файл у браузері та завантажте його.

11

Перейдіть на вкладку Керування CMK орендаря, де ви знайдете три такі способи керування CMK орендаря.

  • Скасувати CMK для всіх організацій або Скасувати CMK – Натисніть цю кнопку на банері у верхній частині екрана, щоб скасувати CMK усіх видалених організацій.
  • Натисніть кнопку Керування CMK у правій частині екрана та натисніть Скасувати CMK, щоб скасувати CMK усіх видалених організацій.
  • Натисніть поруч зі статусом CMK, який потрібно скасувати для певної організації в таблиці та натисніть Скасувати CMK, щоб скасувати CMK для цієї конкретної організації.
12

Після успішного скасування CMK організація клієнта більше не відображатиметься в таблиці.

13

Якщо скасування CMK не вдасться, з’явиться повідомлення про помилку.

Перевірте розгортання гібридної безпеки даних

Перевірте розгортання гібридної безпеки даних

Використовуйте цю процедуру для тестування сценаріїв шифрування багатоклієнтської гібридної безпеки даних.

Перш ніж почати

  • Налаштуйте розгортання гібридної безпеки даних для кількох клієнтів.

  • Переконайтеся, що у вас є доступ до системного журналу, щоб перевірити, чи ключові запити передаються до вашого розгортання багатоклієнтської гібридної безпеки даних.

1

Ключі для певного простору встановлює його творець. Увійдіть у застосунок Webex як один з користувачів організації клієнта, а потім створіть простір.

Якщо деактивувати розгортання гібридної безпеки даних, вміст у просторах, створених користувачами, більше не буде доступним після заміни кешованих клієнтом копій ключів шифрування.

2

Надсилайте повідомлення до нового простору.

3

Перевірте вивід системного журналу, щоб переконатися, що запити ключів передаються до вашого розгортання гібридної безпеки даних.

Якщо користувач щойно доданої організації клієнта виконує будь-яку дію, ідентифікатор організації з’явиться в журналах, і це можна буде використовувати для перевірки того, чи використовує організація Multi-Tenant HDS. Перевірте значення kms.data.orgId у системних журналах.

  1. Щоб перевірити, чи користувач спочатку встановлює безпечний канал до KMS, відфільтруйте за kms.data.method=create та kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Ви маєте знайти запис, подібний до наступного (ідентифікатори скорочені для зручності читання):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. Щоб перевірити, чи користувач запитує наявний ключ від KMS, відфільтруйте за kms.data.method=retrieve та kms.data.type=KEY:

    Ви повинні знайти запис, наприклад:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. Щоб перевірити, чи користувач запитує створення нового ключа KMS, відфільтруйте за kms.data.method=create та kms.data.type=KEY_COLLECTION:

    Ви повинні знайти запис, наприклад:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. Щоб перевірити, чи користувач запитує створення нового об'єкта ресурсу KMS (KRO), коли створюється простір або інший захищений ресурс, відфільтруйте за kms.data.method=create та kms.data.type=RESOURCE_COLLECTION:

    Ви повинні знайти запис, наприклад: 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Моніторинг стану безпеки гібридних даних

Індикатор стану в Центрі партнерів показує, чи все гаразд із розгортанням багатоклієнтської гібридної безпеки даних. Для більш проактивного отримання сповіщень підпишіться на сповіщення електронною поштою. Ви отримуватимете сповіщення про тривоги, що впливають на обслуговування, або оновлення програмного забезпечення.
1

У Центрі партнеріввиберіть Послуги у меню ліворуч на екрані.

2

У розділі «Хмарні сервіси» знайдіть «Гібридна безпека даних» і натисніть «Редагувати налаштування» .

З’явиться сторінка «Налаштування гібридної безпеки даних».
3

У розділі «Сповіщення електронною поштою» введіть одну або кілька адрес електронної пошти, розділених комами, і натисніть Enter.

Керуйте розгортанням HDS

Керування розгортанням HDS

Використовуйте описані тут завдання для керування розгортанням гібридної безпеки даних.

Встановити розклад оновлення кластера

Оновлення програмного забезпечення для гібридної безпеки даних виконуються автоматично на рівні кластера, що гарантує, що всі вузли завжди використовують одну й ту саму версію програмного забезпечення. Оновлення виконуються відповідно до графіка оновлення кластера. Коли оновлення програмного забезпечення стає доступним, ви маєте можливість оновити кластер вручну до запланованого часу оновлення. Ви можете встановити певний графік оновлення або скористатися розкладом за замовчуванням 3:00 AM Daily Сполучені Штати: America/Los Анджелес. Ви також можете відкласти майбутнє оновлення, якщо це необхідно.

Щоб налаштувати розклад оновлення:

1

Увійдіть у партнерський центр.

2

У меню ліворуч на екрані виберіть Послуги.

3

У розділі Хмарні служби знайдіть Гібридну безпеку даних і натисніть Налаштувати

4

На сторінці «Ресурси гібридної безпеки даних» виберіть кластер.

5

Натисніть на вкладку Налаштування кластера.

6

На сторінці «Параметри кластера» в розділі «Графік оновлення» виберіть час і часовий пояс для розкладу оновлення.

Примітки Під часовим поясом відображається наступна доступна дата та час оновлення. За потреби ви можете відкласти оновлення на наступний день, натиснувши Відкласти на 24 години.

Зміна конфігурації вузла

Іноді вам може знадобитися змінити конфігурацію вузла гібридної безпеки даних з такої причини, як:

  • Зміна сертифікатів x.509 через закінчення терміну дії або інші причини.

    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовується для реєстрації кластера.

  • Оновлення параметрів бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

    Ми не підтримуємо перенесення даних з PostgreSQL до Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, розпочніть нове розгортання гібридної системи захисту даних.

  • Створення нової конфігурації для підготовки нового центру обробки даних.

Крім того, з метою безпеки Hybrid Data Security використовує паролі службових облікових записів, термін дії яких становить дев'ять місяців. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з ваших вузлів HDS у файлі конфігурації ISO. Коли паролі вашої організації наближаються до закінчення терміну дії, ви отримуєте повідомлення від команди Webex про скидання пароля для облікового запису вашого комп'ютера. (Електронний лист містить текст "Використовуйте API облікового запису машини, щоб оновити пароль.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

  • М’яке скидання— Старий та новий паролі діятимуть до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

  • Жорстке скидання— Старі паролі негайно перестають працювати.

Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

Використовуйте цю процедуру, щоб створити новий файл конфігурації ISO і застосувати його до вашого кластера.

Перш ніж почати

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Для процесу налаштування потрібні облікові дані облікового запису Центру партнерів із повними правами адміністратора партнера.

    Якщо у вас немає ліцензії Docker Desktop, ви можете скористатися Podman Desktop для запуску інструмента налаштування HDS для кроків 1.a – 1.e у наведеній нижче процедурі. Див. Запуск інструменту налаштування HDS за допомогою Podman Desktop для отримання детальної інформації.

    Якщо інструмент налаштування HDS працює за проксі-сервером у вашому середовищі, надайте параметри проксі-сервера (сервер, порт, облікові дані) через змінні середовища Docker під час запуску контейнера Docker у 1.e. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS проксі без автентифікації

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-проксі з автентифікацією

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS проксі з автентифікацією

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Щоб створити нову конфігурацію, вам потрібна копія поточного файла конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. ISO потрібен під час внесення змін у конфігурацію, включаючи облікові дані бази даних, оновлення сертифікатів або зміни в політиці авторизації.

1

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

    У звичайних середовищах:

    docker rmi ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

  2. Щоб увійти до реєстру Docker-зображень, введіть наступне:

    docker login -u hdscustomersro

  3. На запиті пароля введіть цей хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Завантажте останнє стабільне зображення для вашого середовища:

    У звичайних середовищах:

    docker pull ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Обов 'язково потягніть найновіший інструмент налаштування для цієї процедури. Версії інструмента, створені до 22 лютого 2018 року, не мають екранів скидання пароля.

  5. Після завершення витягування введіть відповідну команду для вашого середовища:

    • У звичайних середовищах без проксі-сервера:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • У звичайних середовищах з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У звичайних середовищах з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У середовищах FedRAMP без проксі-сервера:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • У середовищах FedRAMP з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • У середовищах FedRAMP з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

  6. Використовуйте браузер для підключення до localhost, http://127.0.0.1:8080.

    Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до локального хоста.

  7. Коли з’явиться відповідний запит, введіть свої облікові дані для входу в Центр партнерів, а потім натисніть Прийняти, щоб продовжити.

  8. Імпортувати поточний файл конфігурації ISO.

  9. Дотримуйтеся вказівок, щоб завершити роботу інструменту та завантажити оновлений файл.

    Щоб закрити інструмент налаштування, введіть CTRL+C.

  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

2

Якщо у вас запущено лише один вузол HDS, створіть нову віртуальну машину вузла Hybrid Data Security та зареєструйте її за допомогою нового ISO-файлу конфігурації. Для отримання детальніших інструкцій див. Створення та реєстрація додаткових вузлів.

  1. Встановіть HDS-хост OVA.

  2. Налаштуйте віртуальну машину HDS.

  3. Змонтувати оновлений файл конфігурації.

  4. Зареєструйте новий вузол у Центрі партнерів.

3

Для існуючих вузлів HDS, у яких запущено старий файл конфігурації, змонтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

  1. Вимкніть віртуальну машину.

  2. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  3. Натисніть CD/DVD Drive 1, виберіть опцію монтування з ISO-файлу та перейдіть до місця, куди ви завантажили новий ISO-файл конфігурації.

  4. Перевірте підключення при увімкненому живленні.

  5. Заощаджуйте зміни та енергію на віртуальній машині.

4

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, який виконує стару конфігурацію.

Вимкнення режиму роздільної здатності заблокованих зовнішніх DNS

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі-сервера вузла, процес перевіряє пошук DNS і підключення до хмари Cisco Webex. Якщо DNS-серверу вузла не вдається розпізнати загальнодоступні імена DNS, вузол автоматично переходить у режим блокування зовнішньої роздільної здатності DNS.

Якщо ваші вузли можуть вирішувати загальнодоступні імена DNS через внутрішні DNS-сервери, ви можете вимкнути цей режим, повторивши тест проксі-з'єднання на кожному вузлі.

Перш ніж почати

Переконайтеся, що ваші внутрішні DNS-сервери можуть розпізнавати загальнодоступні імена DNS і що ваші вузли можуть зв'язуватися з ними.
1

У браузері відкрийте інтерфейс вузла гібридної безпеки даних (IP-адреса/налаштування), наприклад, введіть облікові дані адміністратора, https://192.0.2.0/setup), які настроєно для вузла, а потім натисніть кнопку Увійти.

2

Перехід до розділу Огляд (сторінка за замовчуванням).

Якщо ввімкнено, для параметра "Заблокована зовнішня роздільна здатність DNS" встановлено значення "Так".

3

Перейдіть на сторінку Надійний магазин і проксі .

4

Натисніть Перевірити підключенняпроксі-сервера.

Якщо ви бачите повідомлення про те, що зовнішнє дозвіл DNS не було успішним, вузол не зміг дістатися до DNS-сервера і залишиться в цьому режимі. В іншому випадку, після того, як ви перезавантажите вузол і повернетеся на сторінку огляду , заблоковане зовнішнє дозвіл DNS має бути встановлено на "ні".

Що далі

Повторіть тест проксі-з'єднання на кожному вузлі в кластері гібридної безпеки даних.

Видалити вузол

Використайте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до ваших даних безпеки.
1

Використайте клієнт VMware vSphere на вашому комп'ютері, щоб увійти до віртуального хоста ESXi та вимкнути віртуальну машину.

2

Видалити вузол:

  1. Увійдіть до Центру партнерів і виберіть Послуги.

  2. На картці «Гібридна безпека даних» натисніть «Переглянути всі » , щоб відобразити сторінку «Ресурси гібридної безпеки даних».

  3. Виберіть свій кластер, щоб відобразити його панель «Огляд».

  4. Клацніть на вузол, який потрібно видалити.

  5. Натисніть Скасувати реєстрацію цього вузла на панелі, що з’явиться праворуч

  6. Ви також можете скасувати реєстрацію вузла, натиснувши … праворуч від вузла та вибравши Видалити цей вузол.

3

У клієнті vSphere видаліть віртуальну машину. (У лівій навігаційній області клацніть правою кнопкою миші на віртуальній машині та виберіть Видалити.)

Якщо ви не видаляєте віртуальну машину, не забудьте відмонтувати ISO-файл конфігурації. Без ISO-файлу ви не можете використовувати віртуальну машину для доступу до своїх даних безпеки.

Аварійне відновлення з використанням резервного центру обробки даних

Найважливішою послугою, яку надає ваш кластер гібридної безпеки даних, є створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, призначеного для гібридної безпеки даних, нові запити на створення ключів надсилаються до кластера. Кластер також відповідає за повернення створених ним ключів будь-яким користувачам, уповноваженим їх отримувати, наприклад, учасникам простору розмов.

Оскільки кластер виконує критично важливу функцію надання цих ключів, вкрай важливо, щоб кластер продовжував працювати, а також щоб підтримувалися належні резервні копії. Втрата бази даних Hybrid Data Security або ISO-файлу конфігурації, що використовується для схеми, призведе до НЕПОВОРОТНОЇ ВТРАТИ клієнтського контенту. Для запобігання таким втратам обов'язкові такі дії:

Якщо внаслідок катастрофи розгортання HDS в основному центрі обробки даних стане недоступним, виконайте цю процедуру, щоб вручну переключитися на резервний центр обробки даних.

Перш ніж почати

Скасуйте реєстрацію всіх вузлів у Центрі партнерів, як зазначено в Видалення вузла. Використайте найновіший ISO-файл, налаштований для вузлів кластера, який раніше був активним, щоб виконати процедуру відновлення після відмови, зазначену нижче.
1

Запустіть інструмент налаштування HDS та виконайте кроки, зазначені в Створення ISO-образу конфігурації для хостів HDS.

2

Завершіть процес налаштування та збережіть ISO-файл у місці, яке легко знайти.

3

Зробіть резервну копію ISO-файлу на вашій локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни до конфігурації.

4

У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

5

Натисніть Редагувати налаштування >CD/DVD Диск 1 та виберіть ISO-файл сховища даних.

Переконайтеся, що позначено опції Підключено та Підключатися при ввімкненні живлення, щоб оновлені зміни конфігурації могли набути чинності після запуску вузлів.

6

Увімкніть вузол HDS та переконайтеся, що протягом щонайменше 15 хвилин немає тривог.

7

Зареєструйте вузол у Центрі партнерів. Див. Зареєструйте перший вузол у кластері.

8

Повторіть процес для кожного вузла в резервному центрі обробки даних.

Що далі

Після відновлення після збою, якщо основний центр обробки даних знову стане активним, скасуйте реєстрацію вузлів резервного центру обробки даних і повторіть процес налаштування ISO та реєстрації вузлів основного центру обробки даних, як зазначено вище.

(Необов'язково) Відмонтувати ISO після налаштування HDS

Стандартна конфігурація HDS працює зі змонтованим ISO-образом. Але деякі користувачі вважають за краще не залишати ISO-файли постійно змонтованими. Ви можете відмонтувати ISO-файл після того, як усі вузли HDS отримають нову конфігурацію.

Ви все ще використовуєте ISO-файли для внесення змін до конфігурації. Під час створення нового ISO-образу або оновлення ISO-образу за допомогою інструмента налаштування необхідно змонтувати оновлений ISO-образ на всіх вузлах HDS. Після того, як усі ваші вузли приймуть зміни конфігурації, ви можете знову відмонтувати ISO за допомогою цієї процедури.

Перш ніж почати

Оновіть усі вузли HDS до версії 2021.01.22.4720 або пізнішої.

1

Вимкніть один із вузлів HDS.

2

У vCenter Server Appliance виберіть вузол HDS.

3

Виберіть Редагувати налаштування > CD/DVD диск та зніміть прапорець ISO-файл сховища даних.

4

Увімкніть вузол HDS та переконайтеся, що протягом принаймні 20 хвилин немає тривог.

5

Повторіть по черзі для кожного вузла HDS.

Вирішення проблем гібридної безпеки даних

Перегляд сповіщень та усунення несправностей

Гібридне розгортання безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює так повільно, що запитується тайм-аут. Якщо користувачі не можуть отримати доступ до вашого кластера гібридної безпеки даних, вони стикаються з такими симптомами:

  • Нові пробіли створити неможливо (неможливо створити нові ключі)

  • Не вдається розшифрувати повідомлення та назви приміщень для:

    • До простору додано нових користувачів (не вдається отримати ключі)

    • Існуючі користувачі в просторі, які використовують нового клієнта (не можуть отримати ключі)

  • Існуючі користувачі в просторі продовжуватимуть успішно працювати, доки їхні клієнти мають кеш ключів шифрування.

Важливо належним чином контролювати свій кластер гібридної безпеки даних і своєчасно реагувати на будь-які сповіщення, щоб уникнути перебоїв у роботі.

Оповіщення

Якщо виникла проблема з налаштуванням гібридної безпеки даних, Центр партнерів відображає сповіщення для адміністратора організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато поширених сценаріїв.

Таблиця 1. Поширені проблеми та кроки для їх вирішення

Оповіщення

Дія

Помилка доступу до локальної бази даних.

Перевірте наявність помилок бази даних або проблем із локальною мережею.

Помилка підключення до локальної бази даних.

Перевірте, чи доступний сервер бази даних, і чи в конфігурації вузла було використано правильні облікові дані облікового запису служби.

Помилка доступу до хмарного сервісу.

Перевірте, чи вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього підключення.

Поновлення реєстрації хмарного сервісу.

Реєстрацію в хмарних сервісах скасовано. Триває процес поновлення реєстрації.

Реєстрацію хмарного сервісу скасовано.

Реєстрацію в хмарних сервісах припинено. Сервіс закривається.

Послугу ще не активовано.

Активуйте HDS у Центрі партнерів.

Налаштований домен не відповідає сертифікату сервера.

Переконайтеся, що сертифікат вашого сервера відповідає налаштованому домену активації служби.

Найімовірніша причина полягає в тому, що CN сертифіката нещодавно змінили, і тепер він відрізняється від CN, який використовувався під час початкового налаштування.

Не вдалося автентифікацію в хмарних сервісах.

Перевірте точність та можливий термін дії облікових даних облікового запису служби.

Не вдалося відкрити локальний файл сховища ключів.

Перевірте цілісність та точність пароля у локальному файлі сховища ключів.

Сертифікат локального сервера недійсний.

Перевірте термін дії сертифіката сервера та переконайтеся, що його видано надійним центром сертифікації.

Не вдається опублікувати показники.

Перевірте доступ локальної мережі до зовнішніх хмарних сервісів.

/media/configdrive/hds каталог не існує.

Перевірте конфігурацію монтування ISO на віртуальному хості. Перевірте, чи існує ISO-файл, чи налаштовано його монтування після перезавантаження, і чи монтування відбулося успішно.

Налаштування організації-клієнта не завершено для доданих організацій.

Завершіть налаштування, створивши CMK для щойно доданих організацій-орендарів за допомогою інструмента налаштування HDS.

Налаштування організації-клієнта не завершено для видалених організацій.

Завершіть налаштування, скасувавши CMK організацій-орендарів, які було видалено за допомогою інструмента налаштування HDS.

Вирішення проблем гібридної безпеки даних

Використовуйте наведені нижче загальні рекомендації під час усунення неполадок із гібридною безпекою даних.
1

Перегляньте Центр партнерів на наявність сповіщень і виправте будь-які знайдені там проблеми. Дивіться зображення нижче для довідки.

2

Перегляньте вивідні дані сервера системного журналу на наявність активності під час розгортання гібридної безпеки даних. Фільтруйте за словами, такими як «Попередження» та «Помилка», щоб допомогти у вирішенні проблем.

3

Зверніться до служби підтримки Cisco.

Інші нотатки

Відомі проблеми гібридної безпеки даних

  • Якщо ви вимкнете кластер Hybrid Data Security (видаливши його в Центрі партнерів або вимкнувши всі вузли), втратите ISO-файл конфігурації або доступ до бази даних сховища ключів, користувачі Webex App з організацій клієнтів більше не зможуть використовувати пробіли у своєму списку людей, створені за допомогою ключів з вашої KMS. Наразі ми не маємо способу вирішення цієї проблеми та наполегливо закликаємо вас не вимикати служби HDS після того, як вони обробляють активні облікові записи користувачів.

  • Клієнт, який має існуюче підключення ECDH до KMS, підтримує це підключення протягом певного періоду часу (ймовірно, однієї години).

Запустіть інструмент налаштування HDS за допомогою Podman Desktop

Podman — це безкоштовний інструмент з відкритим кодом для керування контейнерами, який надає спосіб запуску, керування та створення контейнерів. Робочий стіл Podman можна завантажити з https://podman-desktop.io/downloads.

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати до нього доступ, завантажте та запустіть Podman на цьому комп'ютері. Для процесу настроювання потрібні облікові дані облікового запису Центру керування з повними правами адміністратора вашої організації.

    Якщо інструмент налаштування HDS працює за проксі-сервером у вашому середовищі, надайте параметри проксі-сервера (сервер, порт, облікові дані) через змінні середовища Docker під час запуску контейнера Docker на кроці 5. У цій таблиці наведено деякі можливі змінні середовища:

    Опис

    Змінна

    HTTP-проксі без автентифікації

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS проксі без автентифікації

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-проксі з автентифікацією

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS проксі з автентифікацією

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Згенерований вами ISO-файл конфігурації містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Вам потрібна остання копія цього файлу щоразу, коли ви вносите зміни до конфігурації, як-от:

    • Облікові дані бази даних

    • Оновлення сертифікатів

    • Зміни в політиці авторизації

  • Якщо ви плануєте шифрувати з’єднання з базою даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

Процес налаштування гібридної безпеки даних створює ISO-файл. Потім ви використовуєте ISO-образ для налаштування хоста Hybrid Data Security.

1

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних середовищах:

podman rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

podman rmi ciscocitg/hds-setup-fedramp:stable

Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

2

Щоб увійти до реєстру Docker-зображень, введіть наступне:

podman login docker.io -u hdscustomersro
3

На запиті пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних середовищах:

podman pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Після завершення витягування введіть відповідну команду для вашого середовища:

  • У звичайних середовищах без проксі-сервера:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • У звичайних середовищах з http проксі:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У звичайних середовищах із HTTPS-проксі:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • У середовищах FedRAMP без проксі-сервера:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з http проксі:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • У середовищах FedRAMP з HTTPS-проксі:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

Що далі

Виконайте решту кроків у розділі Створення ISO-образу конфігурації для хостів HDS або Зміна конфігурації вузла, щоб створити або змінити конфігурацію ISO.

Перенесіть існуюче розгортання HDS для одного клієнта партнерської організації в Control Hub до багатоклієнтської конфігурації HDS у Partner Hub.

Перетворення існуючого одноклієнтного розгортання HDS партнерської організації, керованого в Control Hub, на багатоклієнтське розгортання HDS, кероване в Partner Hub, в першу чергу передбачає деактивацію служби HDS в Control Hub, скасування реєстрації вузлів та видалення кластера. Потім ви можете увійти до Центру партнерів, зареєструвати вузли, активувати багатокористувацьку HDS та додати клієнтів до свого кластера.

Термін «одноорендарний» просто стосується існуючого розгортання HDS у Control Hub.

Деактивуйте HDS, скасуйте реєстрацію вузлів та видаліть кластер у Центрі керування

1

Увійдіть до Центру керування. На лівій панелі натисніть Гібрид. На картці «Гібридна безпека даних» натисніть «Редагувати налаштування».

2

На сторінці налаштувань прокрутіть униз до розділу «Деактивувати» та натисніть Деактивувати.

3

Після деактивації натисніть на вкладку Ресурси.

4

На сторінці Ресурси перелічено кластери у вашому розгортанні HDS. Клацніть на кластері, відкриється сторінка з усіма вузлами цього кластера.

5

Натисніть ... праворуч і натисніть Скасувати реєстрацію вузла. Повторіть процес для всіх вузлів у кластері.

6

Якщо ваше розгортання має кілька кластерів, повторюйте кроки 4 та 5, доки всі вузли не будуть скасовані з реєстрації.

7

Натисніть Налаштування кластера > Видалити.

8

Натисніть Підтвердити видалення, щоб скасувати реєстрацію кластера.

9

Повторіть цей процес для всіх кластерів у вашому розгортанні HDS.

Після деактивації HDS, скасування реєстрації вузлів та видалення кластерів, внизу картки Hybrid Data Service у Control Hub відображатиметься повідомлення Налаштування не завершено.

Активуйте багатоклієнтську HDS для організації-партнера в Центрі партнерів і додайте клієнтів

Перш ніж почати

Усі передумови, згадані у Вимоги до безпеки гібридних даних для кількох орендарів, застосовуються тут. Крім того, переконайтеся, що під час переходу до багатокористувацького HDS використовуються та сама база даних і сертифікати.

1

Увійдіть до Центру партнерів. Натисніть Послуги на лівій панелі.

Використовуйте той самий ISO-образ з попереднього розгортання HDS для налаштування вузлів. Це гарантуватиме, що повідомлення та контент, створені користувачами в попередньому розгортанні HDS, будуть доступні в новій конфігурації Multi-Tenant.

2

У розділі «Хмарні сервіси» знайдіть картку «Гібридна безпека даних» і натисніть «Налаштувати.

3

На сторінці, що відкриється, натисніть Додати ресурс.

4

У першому полі картки Додати вузол введіть назву кластера, до якого потрібно призначити вузол гібридної безпеки даних.

Ми рекомендуємо називати кластер на основі географічного розташування вузлів кластера. Приклади: «Сан-Франциско», «Нью-Йорк» або «Даллас»

5

У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та натисніть Додати внизу екрана.

Ця IP-адреса або повне доменне ім'я має збігатися з IP-адресою або іменем хоста та доменом, які ви використовували в Налаштування віртуальної машини гібридної безпеки даних.

З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у Webex.
6

Натисніть Перейти до вузла.

Через кілька хвилин вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройдуть успішно, з’явиться сторінка «Дозволити доступ до вузла гібридної безпеки даних». Там ви підтверджуєте, що хочете надати дозволи своїй організації Webex на доступ до вашого вузла.

7

Установіть прапорець Дозволити доступ до вашого гібридного вузла безпеки даних, а потім натисніть Продовжити.

Ваш обліковий запис підтверджено, і повідомлення «Реєстрація завершена» вказує на те, що ваш вузол тепер зареєстровано в хмарі Webex. На сторінці Гібридна безпека даних новий кластер, що містить зареєстрований вами вузол, відображається на вкладці Ресурси. Вузол автоматично завантажить найновіше програмне забезпечення з хмари.
8

Перейдіть на вкладку Налаштування та натисніть Активувати на картці стану HDS.

ПовідомленняАктивовано HDS з’явиться внизу екрана.
9

У розділі Ресурсиклацніть на щойно створеному кластері.

10

На сторінці, що відкриється, натисніть вкладку Призначені клієнти.

11

Натисніть Додати клієнтів.

12

Виберіть клієнта, якого ви хочете додати, з випадаючого меню.

13

Натисніть Додати, клієнта буде додано до кластера.

14

Повторіть кроки з 11 по 13, щоб додати кількох клієнтів до кластера.

15

Після додавання клієнтів натисніть «Готово » внизу екрана.

Що далі

Запустіть інструмент налаштування HDS, як описано в розділі Створення основних ключів клієнта (CMK) за допомогою інструмента налаштування HDS, щоб завершити процес налаштування.

Використання OpenSSL для створення файлу PKCS12

Перш ніж почати

  • OpenSSL – це один із інструментів, який можна використовувати для створення файлу PKCS12 у правильному форматі для завантаження в інструмент налаштування HDS. Є й інші способи зробити це, і ми не підтримуємо та не просуваємо один спосіб над іншим.

  • Якщо ви все ж таки вирішите використовувати OpenSSL, ми надаємо цю процедуру як рекомендації, щоб допомогти вам створити файл, який відповідає вимогам сертифіката X.509, описаним у Вимоги до сертифіката X.509. Зрозумійте ці вимоги, перш ніж продовжувати.

  • Встановіть OpenSSL у підтримуваному середовищі. Див. https://www.openssl.org для отримання інформації про програмне забезпечення та документацію.

  • Створіть закритий ключ.

  • Розпочніть цю процедуру, коли отримаєте сертифікат сервера від вашого центру сертифікації (CA).

1

Коли ви отримаєте сертифікат сервера від вашого центру сертифікації, збережіть його як hdsnode.pem.

2

Відобразіть сертифікат у текстовому форматі та перевірте деталі.

openssl x509 -text -noout -in hdsnode.pem

3

Використайте текстовий редактор, щоб створити файл пакета сертифікатів під назвою hdsnode-bundle.pem. Файл пакета має містити сертифікат сервера, будь-які проміжні сертифікати CA та кореневі сертифікати CA у форматі, наведеному нижче:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Створіть файл .p12 із зручною назвою kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Перевірте деталі сертифіката сервера.

  1. openssl pkcs12 -in hdsnode.p12

  2. Введіть пароль у запиті, щоб зашифрувати закритий ключ, і він відображатиметься у виводі. Потім перевірте, чи закритий ключ і перший сертифікат містять рядки friendlyName: kms-private-key.

    Приклад:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Що далі

Повернутися до Виконайте попередні умови для гібридної безпеки даних. Ви будете використовувати файл hdsnode.p12 та пароль, який ви для нього встановили, у розділі «Створення ISO-образу конфігурації для хостів HDS.

Ви можете повторно використати ці файли, щоб запросити новий сертифікат, коли термін дії оригінального сертифіката закінчиться.

Трафік між вузлами HDS та хмарою

Вихідний трафік збору показників

Вузли гібридної безпеки даних надсилають певні показники до хмари Webex. До них належать системні метрики для максимального обсягу купи, використання купи, завантаження процесора та кількості потоків; метрики для синхронних та асинхронних потоків; метрики для сповіщень, що стосуються порогу шифрованих підключень, затримки або довжини черги запитів; метрики для сховища даних; та метрики шифрованих підключень. Вузли надсилають зашифрований ключовий матеріал через позасмуговий (окремий від запиту) канал.

Вхідний трафік

Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

  • Запити на шифрування від клієнтів, які маршрутизуються службою шифрування

  • Оновлення програмного забезпечення вузла

Налаштування проксі-серверів Squid для гібридної безпеки даних

Websocket не може підключитися через проксі-сервер Squid

Проксі-сервери Squid, які перевіряють HTTPS-трафік, можуть перешкоджати встановленню з’єднань websocket (wss:), яких вимагає гібридна безпека даних. У цих розділах наведено інструкції щодо налаштування різних версій Squid для ігнорування wss: трафіку для належної роботи сервісів.

Кальмари 4 і 5

Додайте директиву on_unsupported_protocol до squid.conf:

on_unsupported_protocol tunnel all

Кальмари 3.5.27

Ми успішно протестували гібридну безпеку даних, додавши до squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Чи була ця стаття корисною?
Чи була ця стаття корисною?
ТарифиПрограма WebexНарадиCallingОбмін повідомленнямиСпільний доступ до екрана
Webex SuiteCallingНарадиОбмін повідомленнямиSlidoВебінариПодіїКонтакт-центрCPaaSБезпекаControl Hub
ГарнітуриКамериСерія настільних пристроївСерія RoomСерія дощокСерія PhoneАксесуари
Освітні закладиМедичні установиДержавні установиФінансиСпорт і розвагиРобота з клієнтамиНекомерційні організаціїСтартапиГібридна робота
ЗавантаженняПриєднатися до тестової нарадиОнлайн-заняттяМожливості інтеграціїСпеціальні можливостіІнклюзивністьВебінари наживо й на вимогуСпільнота WebexРозробники WebexНовини й інновації
CiscoЗв’язатися зі службою підтримкиЗв’язатися з відділом продажуWebex BlogНоваторські ідеї WebexМагазин брендованої продукції WebexВакансії
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
Умови та положенняЗаява про конфіденційністьФайли cookieТоварні знаки
©2025 Cisco і (або) афілійовані компанії. Усі права захищено.
Умови та положенняЗаява про конфіденційністьФайли cookieТоварні знаки