Onboarding für On-Premise Quellen (Azure/AWS)
      Zurück zur Startseite
      1. Hilfe-Bereich
      2. IT Onboarding
      3. Onboarding für On-Premise Quellen (Azure/AWS)

      Anforderungen für On-Premises- und Client-Cloud-Umgebungen in Unternehmensinstallationen

      Falls der Data & More Compliance Server (D&MCS) in der Cloud-Umgebung des Unternehmens oder On-Premise installieren werden soll, ist Folgendes zu beachten.

      Du kannst den D&MCS sowohl in einer unternehmenseigenen Azure-, AWS- oder Google-Cloud-Umgebung installieren als auch in jedem verantwortungsvoll betriebenen Rechenzentrum mit geeigneten Service- und Zugriffskontrollen.

      Allerdings brauchst du dafür Erfahrung in der Linux-Administration auf Kundenseite. Wir empfehlen die Installation nur, wenn bei euch bereits Linux-Server laufen und ihr euch mit deren Einrichtung und Verwaltung wohlfühlt.

      Der D&MCS läuft am zuverlässigsten direkt auf Bare-Metal-Hardware. Weil die Server recht groß sind und containerisiert betrieben werden, ist zusätzliche Virtualisierung normalerweise nicht sinnvoll. Wir empfehlen diese drei Stacks:

      1. Bare Metal + Ubuntu / Redhat + Docker

      2. Bare Metal + VMware + Ubuntu / Redhat + Docker

      3. Cloud + Ubuntu / Redhat + Docker

      Der D&MCS unterstützt kein Hyper-V.

      Habt ihr intern keine Linux-Erfahrung, nutzt am besten den D&M On-Premise Service oder das D&M Cloud-Service-Angebot.

       

      Maschine und Betriebssystem für individuelle Installationen

      Der D&MCS lässt sich entweder auf einer einzelnen Maschine oder in einem Cluster installieren. Möchtest du mehr als 25 TB Daten scannen oder über 2 000 Benutzer abdecken, solltest du ein Cluster einplanen. Als Faustregel gilt: Der benötigte Speicherplatz der Installation sollte etwa 20 % der Datenmenge betragen, die Du indexieren willst.

       

      Typ Trial / PoC Single Server
      Betriebssystem (OS) Ubuntu 24.04 Ubuntu 24.04
      OS RedHat EL 8.8 RedHat EL 8.8
      RAM 128 GB 160 GB
      Threads 16 3
      Daten-SSD 2 TB NVMe 4-8 TB NVMe
      Größe < 20 Konten und < 1 TB Daten < 2000 Konten und < 25 TB Daten

       

      Cluster
      App Server1      Node 1  Node 2  Node 3  Node 4  Node 5
      Ubuntu 24.04 Ubuntu 24.04 Ubuntu 24.04 Ubuntu 24.04 Ubuntu 24.04 Ubuntu 24.04
      RedHat RedHat RedHat RedHat RedHat RedHat
      256 GB 64 GB 64 GB 64 GB 64 GB 64 GB
      36 12 12 12 12 12
                 
      2 TB NVMe 4% des Gesamtdatenvolumens 4% des Gesamtdatenvolumens 4% des Gesamtdatenvolumens 4% des Gesamtdatenvolumens 4% des Gesamtdatenvolumens
      Es gibt mehrere Faktoren, die beeinflussen, wie viel Daten ein Cluster verarbeiten kann. Als Faustregel gilt, dass 150 Millionen Datensätze pro Cluster verarbeitet werden können. Für jeden zusätzlichen Nodes kann das Cluster 20-30 Millionen zusätzliche Datensätze handhaben. Es sollten nicht mehr als 7-8 Nodes in einem Cluster vorhanden sein.

      *Formatiere die Festplatte mit ext4 und setze sie als RAID 1 auf.

      **Für Einzelserver gilt: Der verfügbare Speicher sollte 20 % des zu indexierenden Datenvolumens, jedoch mindestens 4 TB betragen.

      Für Clusterinstallationen gilt: Die Speicherkapazität aller Nodes zusammen muss 20 % der gesamten Datenmenge ausmachen, die du indexieren willst, und sie sollte gleichmäßig auf alle Nodes verteilt sein. Eine Mindestkonfiguration von sieben Servern ist erforderlich; du kannst jederzeit weitere Nodes hinzufügen, um das System zu skalieren. Achte darauf, dass alle Nodes im selben Subnetz wie die primäre Toolbox liegen.

       

      High-Level-Infrastruktur

       

      Netzwerk & DMZ
      Der D&MCS muss in einer DMZ bzw. in einem Subnetz platziert werden.

      Bitte aktiviere auf den Ubuntu- bzw. Red-Hat-Servern keine lokale Firewall. Die Kontrolle des Datenverkehrs muss vollständig über die DMZ-Firewall im Netzwerk erfolgen.

      Der einzige eingehende Zugriff auf das Subnetz darf nur aus dem internen Firmennetz auf Port 443 erfolgen. Port 80 leitet zwar auf 443 um, muss aber erreichbar sein, damit die automatische Zertifikatserneuerung funktioniert.

      Der D&MCS braucht ausgehenden Internetzugriff auf Port 80 und 443, um installiert und überwacht werden zu können.

      Auf dem D&M Data Compliance Server müssen die folgenden Ports geöffnet sein; Ports, die als intern markiert sind, dürfen von außerhalb des Subnetzes nicht erreichbar sein.

      Port Protokoll Nutzung
      22 (Nur intern) SSH Installation und Wartung
      80 (Eingehend) HTTP Leitet auf 443 um – muss erreichbar sein für automatische Zertifikatsaktualisierungen
      443 (Ausgehend) HTTPS Zugriff auf das Admin-Interface der Toolbox und für den Endnutzer zum Abrufen von Berichten. Kann für eingehenden Traffic IP-basiert eingeschränkt werden. Nicht für ausgehenden Traffic.
      5601 (Nur intern) HTTPS Kibana
      9001 (Nur intern) HTTPS Portainer
      5432 (Nur intern) TCP/UDP PostgreSQL (PowerBI)

      Falls Deine Sicherheitsrichtlinien einen Proxy-Server zwischen dem D&MCS und dem Internet vorschreiben, spreche uns an und wähle bitte die Option „Custom Security Clearance & Subscriptions“ von D&M.

       

      Während der Installation

      Beachte, dass die Toolbox während der Installation mehrere Domains kontaktiert, um Patches und Updates abzurufen – und zwar nicht nur die unten aufgeführten. Beschränke deshalb den ausgehenden Internetzugang während der Installation bitte nicht.

      *.ubuntu.com
      ubuntu.com
      *.archive.ubuntu.com
      ppa.launchpat.net
      extras.ubuntu.com
      *.openvpn.net
      openvpn.net
      github.com
      *.github.com
      496012525170.dkr.ecr.eu-central-1.amazonaws.com
      hub.docker.com
      *.hub.docker.com
      pypi.python.org
      *.docker.com
      api.snapcraft.io
      *.api.snapcraft.io
      *.githubusercontent.com
      githubusercontent.com
      pypi.org
      *.pypi.org
      files.pythonhosted.org
      *.amazonaws.com
      *.ecr.eu-central-1.amazonaws.com
      *.api.ecr.eu-central-1.amazonaws.com
      *.eu-central-1.amazonaws.com
      amazonaws.com
      *.gcr.io
      *.registry-1.docker.io
      *.docker.io
      gcr.io
      registry-1.docker.io
      docker.io
      *.googleapis.com
      storage.googleapis.comp

      ### Ubuntu default apt and snap repos
      *.ubuntu.com
      ubuntu.com
      *.archive.ubuntu.com
      ppa.launchpad.net
      extras.ubuntu.com
      api.snapcraft.io
      *.api.snapcraft.io

      ### Github to download the installation repository
      github.com
      *.github.com
      *.githubusercontent.com
      githubusercontent.com

      ### AWS to download docker images and 
      *.dkr.ecr.eu-central-1.amazonaws.com
      *.amazonaws.com
      *.ecr.eu-central-1.amazonaws.com
      *.api.ecr.eu-central-1.amazonaws.com
      *.eu-central-1.amazonaws.com
      *.s3.amazonaws.com

      ### Docker to download aditional container images
      hub.docker.com
      *.hub.docker.com
      *.docker.com
      *.registry-1.docker.io
      docker.io


      ### Pypi repos to automate the installation
      pypi.python.org
      pypi.org
      *.pypi.org
      files.pythonhosted.org

      ### Data & More
      mtman.dataandmore.com (3.67.60.116)

       

      Nach der Installation

      Der D&MCS muss per TCP auf mtman.dataandmore.com zugreifen können, um seine Sicherheitsüberwachung zu erweitern. Über diese Verbindung kann der Server sicherheitsrelevante Daten effektiv überwachen und analysieren, sodass potenzielle Bedrohungen oder Schwachstellen zügig erkannt und behoben werden. Mit der permanenten Verbindung zu mtman.dataandmore.com schützt der D&MCS sensible Informationen proaktiv, hält Compliance-Vorgaben ein und trägt so zu einer sicheren und robusten Datenumgebung bei.

      Stelle sicher, dass der D&MCS ausgehenden TCP-Zugriff auf Folgendes hat:

      https://mtman.dataandmore.com | 3.67.60.116
      https://*.s3.eu-central-1.amazonaws.com
      3.127.159.69 | clientvpn.gdpr.dataandmore.com
      65.108.223.211 |  monitor.gdpr.dataandmore.com

       

      Setze keinen Proxy-Server zwischen den D&MCS und dem Internet, außer du verfügst über eine Custom Security Subscription.

      Für Sicherheitsfragen wende dich an support@dataandmore.com.

       

      Zertifikat für den Compliance-Server

      Der Compliance-Server braucht ein gültiges Zertifikat, damit die Verbindung sicher bleibt und die Benachrichtigungsberichte reibungslos funktionieren. Wähle dafür eine passende Domain, zum Beispiel gdpr.deineorganisation.dk.

      Achte darauf, dass gdpr.deineorganisation.dk auf die IP-Adresse des Compliance-Servers zeigt.

      Erstelle anschließend ein .pfx-Zertifikat bei einem Registrar deiner Wahl und schicke das Passwort für dieses Zertifikat an Data & More.

      Graph – E-Mail – Postmark oder SMTP-Gateway

      Der D&MCS braucht Zugriff auf ein gültiges E-Mail-Konto oder ein SMTP-Gateway, um Berichte an die Endnutzer zu versenden. Die Absenderadresse muss aus derselben Domain stammen wie die Empfänger, damit die Nachrichten nicht als Spam markiert werden.

      Weitere Infos: https://support.dataandmore.com/en/knowledge/smtp

      Links direkt in der Outlook-App öffnen (Registry-Eintrag)

      Falls eure Organisation Outlook als Mail-Client nutzt, kannst du E-Mails direkt aus dem GDPR-Task-Board heraus öffnen und sie in Outlook anzeigen lassen. Führe dafür auf den Rechnern der Endnutzer das folgende Reg-Edit-Skript aus:
      http://woshub.com/how-to-create-modify-and-delete-registry-keys-using-gpo/