Hybrid Data Security の要件
Cisco Webex ライセンスの要件
Hybrid Data Security を導入するには、次の要件を満たしている必要があります。
-
Pro Pack for Cisco Webex Control Hub を使用していること(https://www.cisco.com/go/pro-pack を参照してください)。
Docker Desktop の要件
HDS ノードをインストールする前に、セットアッププログラムを実行するための Docker Desktop が必要です。Docker は最近、ライセンスモデルを更新しました。組織によっては、Docker Desktop の有料サブスクリプションが必要な場合があります。詳細については、Docker のブログ投稿「Docker is Updating and Extending Our Product Subscriptions」を参照してください。
X.509 証明書の要件
証明書チェーンは、次の要件を満たしている必要があります。
要件 |
詳細 |
---|---|
|
デフォルトでは、Mozilla リスト(https://wiki.mozilla.org/CA:IncludedCAs)内の CA(WoSign と StartCom を除く)を信頼します。 |
|
この CN は、到達可能またはライブ ホストである必要はありません。組織を反映する名前( CN に *(ワイルドカード)を含めることはできません。 CN は、ハイブリッド データ セキュリティノードを Webex アプリ クライアントに対して確認するために使用されます。クラスタ内の ハイブリッド データ セキュリティ ノードすべてが同じ証明書を使用します。KMS は、x.509v3 SAN フィールドで定義されるドメインではなく、この CN ドメインを使用して自身を識別します。 この証明書を持つノードを登録すると、CN ドメイン名の変更はサポートされなくなります。トライアルと実稼働の両方の導入環境に適用できるドメインを選択してください。 |
|
KMS ソフトウェアは、他の組織の KMS への接続を検証する場合に SHA1 シグニチャをサポートしません。 |
|
証明書の形式は、OpenSSL などのコンバーターを使用して変更できます。 HDS セットアップ ツールを実行するときは、パスワードを入力する必要があります。 |
KMS ソフトウェアは、キー使用法または拡張キー使用法の制約を適用しません。一部の認証局は、各証明書(サーバ認証など)に対して拡張キー使用法の制約を適用することを要求します。サーバ認証やその他の設定を使用しても問題ありません。
仮想ホストの要件
クラスタ内で ハイブリッド データ セキュリティ ノードとしてセットアップする仮想ホストには、次の要件があります。
-
同じセキュアデータセンター内に少なくとも 2 つの個別のホスト(推奨は 3 つ)が配置されていること
-
VMware ESXi 6.5 以降がインストールされ、実行されていること
重要
それ以前のバージョンの ESXi を使用している場合は、アップグレードする必要があります。
-
サーバごとに少なくとも 4 つの vCPU、8 GB のメインメモリ、30 GB のローカルハードディスク容量があること
データベースサーバの要件
重要 |
キー ストレージ用に新しいデータベースを作成します。デフォルトのデータベースは使用しないでください。HDS アプリケーションは、インストール時にデータベース スキーマを作成します。 |
データベース サーバには 2 つのオプションがあります。それぞれの要件は、次のとおりです。
PostgreSQL |
Microsoft SQL Server |
||
---|---|---|---|
|
|
||
最小 8 個の vCPU、16 GB のメイン メモリ、十分なハード ディスク容量とこの容量を超えていないことを確認するためのモニタリング(記憶域を増やすことなく長期間データベースを実行したい場合は、2 TB を推奨) |
最小 8 個の vCPU、16 GB のメイン メモリ、十分なハード ディスク容量とこの容量を超えていないことを確認するためのモニタリング(記憶域を増やすことなく長期間データベースを実行したい場合は、2 TB を推奨) |
現在、HDS ソフトウェアはデータベース サーバとの通信用に次のドライバ バージョンをインストールします。
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC ドライバ 42.2.5 |
SQL Server JDBC ドライバ 4.6 このドライバ バージョンでは、SQL Server Always On(Always On フェールオーバー クラスタ インスタンスと Always ON 可用性グループ)がサポートされています。 |
Microsoft SQL Server に対する Windows 認証の追加要件
HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストアデータベースにアクセスできるようにする場合は、環境に次の構成が必要です。
-
HDS ノード、Active Directory インフラストラクチャ、および MS SQL Server は、すべて NTP と同期する必要があります。
-
HDS ノードに提供する Windows アカウントには、データベースへの読み取り/書き込みアクセス権が必要です。
-
HDS ノードに提供する DNS サーバは、キー発行局(KDC)を解決できる必要があります。
-
Microsoft SQL Server の HDS データベースインスタンスを Active Directory のサービスプリンシパル名(SPN)として登録できます。Kerberos 接続のサービスプリンシパル名の登録を参照してください。
HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、Windows 認証を使用してキーストアデータベースにアクセスする必要があります。これらは、Kerberos 認証でアクセスを要求するときに、ISO 構成の詳細を使用して SPN を構築します。
外部接続の要件
HDS アプリケーション用に次の接続を許可するように、ファイアウォールを設定します。
アプリケーション |
プロトコル |
ポート |
アプリケーションからの方向 |
宛先 |
---|---|---|---|---|
ハイブリッド データ セキュリティ ノード |
TCP |
443 |
アウトバウンド HTTPS および WSS |
|
HDS セットアップ ツール |
TCP |
443 |
アウトバウンド HTTPS |
|
(注) |
上記の表にリストされているドメイン宛先へのアウトバウンド接続が NAT またはファイアウォールで許可されている限り、ハイブリッド データ セキュリティ ノードはネットワーク アクセス変換(NAT)と連動するか、ファイアウォールの背後に配置されます。ハイブリッド データ セキュリティ ノードへのインバウンド接続の場合、インターネットから可視になるポートはありません。データ センター内でクライアントが管理目的で Hybrid Data Security ノードにアクセスするには、TCP ポート 443 および 22 を使用する必要があります。 |
共通アイデンティティ(CI)ホストの URL は、リージョン固有のものです。現在の CI ホストは次のとおりです。
リージョン |
共通アイデンティティ ホストの URL |
---|---|
アメリカ地域 |
|
欧州連合 |
|
Canada |
|
プロキシ サーバの要件
-
Hybrid Data Security ノードに統合できるプロキシ ソリューションとして公式にサポートされているのは、次のプロキシです。
-
透過的なプロキシ:Cisco Web セキュリティ アプライアンス(WSA)
-
明示的なプロキシ:Squid
(注)
HTTPS トラフィックを検査する Squid プロキシは、WebSocket(wss)の接続確立に干渉する可能性があります。この問題を回避するには、「Hybrid Data Security の Squid プロキシの構成」を参照してください。
-
-
明示的なプロキシでは、次の認証タイプの組み合わせがサポートされています。
-
HTTP または HTTPS を使用した認証なし
-
HTTP または HTTPS を使用した基本認証
-
HTTPS のみを使用したダイジェスト認証
-
-
透過的な検査プロキシまたは明示的な HTTPS プロキシの場合、プロキシのルート証明書のコピーが必要です。このガイドの導入手順で、Hybrid Data Security ノードの信頼ストアにコピーをアップロードする方法を説明しています。
-
HDS ノードをホストするネットワークは、ポート 443 でアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように構成されている必要があります。
-
Web トラフィックを検査するプロキシは、WebSocket 接続に干渉する可能性があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする(検査しない)と、問題が解決します。