Sdílet prostřednictvím

Kurz: Nasazení modulů HSM do existující virtuální sítě pomocí Azure CLI

  • Článek

Azure Dedicated HSM poskytuje fyzické zařízení pro výhradní použití zákazníka s úplnou kontrolou správy a plnou odpovědností za správu. Použití fyzických zařízení vytváří potřebu Microsoftu řídit přidělování zařízení, aby se zajistila efektivní správa kapacity. V rámci předplatného Azure proto služba Dedicated HSM obvykle nebude viditelná pro zřizování prostředků. Každý zákazník Azure, který vyžaduje přístup ke službě Dedicated HSM, musí nejprve kontaktovat manažera účtu Microsoft a požádat o registraci pro službu Dedicated HSM. Zřízení bude možné pouze po úspěšném dokončení tohoto procesu.

Tento kurz ukazuje typický proces zřizování, kde:

  • Zákazník už má virtuální síť.
  • Mají virtuální počítač.
  • Musí do stávajícího prostředí přidat prostředky HSM.

Typická vysoká dostupnost, architektura nasazení ve více oblastech může vypadat takto:

nasazení ve více oblastech

Tento kurz se zaměřuje na pár modulů HSM a požadované brány ExpressRoute (viz podsíť 1 výše), která je integrovaná do existující virtuální sítě (viz virtuální síť 1 výše). Všechny ostatní prostředky jsou standardní prostředky Azure. Stejný proces integrace je možné použít pro moduly HSM v podsíti 4 ve virtuální síti 3 výše.

Požadavky

Azure Dedicated HSM není v současné době k dispozici na webu Azure Portal. Veškerá interakce se službou bude přes příkazový řádek nebo pomocí PowerShellu. V tomto kurzu se použije rozhraní příkazového řádku (CLI) v Azure Cloud Shellu. Pokud s Azure CLI začínáte, postupujte podle pokynů začínáme tady: Azure CLI 2.0 Začínáme.

Předpoklady:

  • Máte přiřazeného Správce účtů Microsoftu a splňujete peněžní požadavek pěti milionů USD (5 milionů USD) nebo vyšších v celkovém potvrzených výnosech Azure za rok, abyste získali nárok na onboarding a používání služby Azure Dedicated HSM.
  • Prošli jste procesem registrace azure Dedicated HSM a schválili jste použití služby. Pokud ne, obraťte se na zástupce účtu Microsoft a požádejte ho o podrobnosti.
  • Vytvořili jste skupinu prostředků pro tyto prostředky a nové prostředky nasazené v tomto kurzu se k této skupině připojí.
  • Už jste vytvořili potřebnou virtuální síť, podsíť a virtuální počítače podle výše uvedeného diagramu a teď chcete do daného nasazení integrovat 2 moduly HSM.

Všechny níže uvedené pokyny předpokládají, že jste už přešli na web Azure Portal a otevřeli jste Cloud Shell (v pravém horním rohu portálu vyberte> _).

Zřízení vyhrazeného HSM

Zřizování modulů HSM a jejich integrace do existující virtuální sítě prostřednictvím brány ExpressRoute se ověří pomocí SSH. Toto ověřování pomáhá zajistit dostupnost a základní dostupnost zařízení HSM pro jakékoli další aktivity konfigurace.

Ověřování registrace funkcí

Jak už bylo zmíněno výše, jakákoli aktivita zřizování vyžaduje, aby byla pro vaše předplatné zaregistrovaná služba Dedicated HSM. Pokud to chcete ověřit, spusťte na portálu Azure Portal Cloud Shell následující příkazy.

az feature show \
   --namespace Microsoft.HardwareSecurityModules \
   --name AzureDedicatedHSM

Příkazy by měly vrátit stav "Registrováno" (jak je znázorněno níže). Pokud příkazy nevrátí "Zaregistrováno", musíte se zaregistrovat pro tuto službu kontaktováním zástupce účtu Microsoft.

stav předplatného

Vytváření prostředků HSM

Než vytvoříte prostředky HSM, budete potřebovat několik požadovaných prostředků. Musíte mít virtuální síť s rozsahy podsítí pro výpočetní prostředky, moduly HSM a bránu. Následující příkazy slouží jako příklad toho, co by takové virtuální sítě vytvořilo.

az network vnet create \
  --name myHSM-vnet \
  --resource-group myRG \
  --address-prefix 10.2.0.0/16 \
  --subnet-name compute \
  --subnet-prefix 10.2.0.0/24

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name hsmsubnet \
  --address-prefixes 10.2.1.0/24 \
  --delegations Microsoft.HardwareSecurityModules/dedicatedHSMs

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name GatewaySubnet \
  --address-prefixes 10.2.255.0/26

Poznámka:

Nejdůležitější konfigurací pro virtuální síť je, že podsíť pro zařízení HSM musí mít delegování nastavená na Microsoft.HardwareSecurityModules/dedicatedHSMs. Zřizování HSM nebude fungovat bez nastavení této možnosti.

Po nakonfigurování sítě pomocí těchto příkazů Azure CLI zřiďte moduly HSM.

  1. Pomocí příkazu az dedicated-hsm create zřiďte první HSM. HSM má název hsm1. Nahraďte své předplatné:

    az dedicated-hsm create --location westus --name hsm1 --resource-group myRG --network-profile-network-interfaces \
     /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet

    Dokončení tohoto nasazení by mělo trvat přibližně 25 až 30 minut, než se zařízení HSM dokončí.

  2. Pokud chcete zobrazit aktuální HSM, spusťte příkaz az dedicated-hsm show :

    az dedicated-hsm show --resource group myRG --name hsm1

  3. Pomocí tohoto příkazu zřiďte druhý HSM:

    az dedicated-hsm create --location westus --name hsm2 --resource-group myRG --network-profile-network-interfaces \
     /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet

  4. Spuštěním příkazu az dedicated-hsm list zobrazte podrobnosti o vašich aktuálních modulech HSM:

    az dedicated-hsm list --resource-group myRG

Některé další příkazy můžou být užitečné. K aktualizaci modulu HSM použijte příkaz az dedicated-hsm update:

az dedicated-hsm update --resource-group myRG –-name hsm1

Pokud chcete odstranit HSM, použijte příkaz az dedicated-hsm delete :

az dedicated-hsm delete --resource-group myRG –-name hsm1

Ověření nasazení

Pokud chcete ověřit, že jsou zařízení zřízená, a podívejte se na atributy zařízení, spusťte následující sadu příkazů. Ujistěte se, že je skupina prostředků správně nastavená a název prostředku je přesně stejný jako v souboru parametrů.

subid=$(az account show --query id --output tsv)
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM1
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM2

Výstup vypadá přibližně takto:

{
    "id": n/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/HSM-RG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSMl",
    "identity": null,
    "kind": null,
    "location": "westus",
    "managedBy": null,
    "name": "HSM1",
    "plan": null,
    "properties": {
        "networkProfile": {
            "networkInterfaces": [
            {
            "id": n/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/HSM-RG/providers/Microsoft.Network/networkInterfaces/HSMl_HSMnic", "privatelpAddress": "10.0.2.5",
            "resourceGroup": "HSM-RG"
            }
            L
            "subnet": {
                "id": n/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/HSM-RG/providers/Microsoft.Network/virtualNetworks/demo-vnet/subnets/hsmsubnet", "resourceGroup": "HSM-RG"
            }
        },
        "provisioningState": "Succeeded",
        "stampld": "stampl",
        "statusMessage": "The Dedicated HSM device is provisioned successfully and ready to use."
    },
    "resourceGroup": "HSM-RG",
    "sku": {
        "capacity": null,
        "family": null,
        "model": null,
        "name": "SafeNet Luna Network HSM A790",
        "size": null,
        "tier": null
    },
    "tags": {
        "Environment": "prod",
        "resourceType": "Hsm"
    },
    "type": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}

Teď také budete moct zobrazit prostředky pomocí Průzkumníka prostředků Azure. Jakmile v průzkumníku rozbalíte "předplatná" na levé straně, rozbalte konkrétní předplatné pro Dedicated HSM, rozbalte "skupiny prostředků", rozbalte použitou skupinu prostředků a nakonec vyberte položku "resources".

Testování nasazení

Testování nasazení je případ připojení k virtuálnímu počítači, který má přístup k HSM a pak se připojuje přímo k zařízení HSM. Tyto akce potvrdí, že je HSM dostupný. Nástroj ssh se používá k připojení k virtuálnímu počítači. Příkaz bude podobný následujícímu, ale s názvem správce a názvem DNS, který jste zadali v parametru.

ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com

IP adresu virtuálního počítače je také možné použít místo názvu DNS ve výše uvedeném příkazu. Pokud je příkaz úspěšný, zobrazí se výzva k zadání hesla a měli byste ho zadat. Po přihlášení k virtuálnímu počítači se můžete k HSM přihlásit pomocí privátní IP adresy nalezené na portálu pro prostředek síťového rozhraní přidruženého k HSM.

seznam součástí

Poznámka:

Všimněte si zaškrtávacího políčka Zobrazit skryté typy, které po výběru zobrazí prostředky HSM.

Na snímku obrazovky výše se po kliknutí na HSM1_HSMnic nebo HSM2_HSMnic zobrazí příslušná privátní IP adresa. Jinak výše az resource show použitý příkaz představuje způsob, jak identifikovat správnou IP adresu.

Pokud máte správnou IP adresu, spusťte následující příkaz, kterým tuto adresu nahraďte:

ssh tenantadmin@10.0.2.4

Pokud budete úspěšní, zobrazí se výzva k zadání hesla. Výchozí heslo je HESLO a MODUL HSM vás nejprve vyzve, abyste změnili heslo, abyste si nastavili silné heslo a použili jakýkoli mechanismus, který vaše organizace dává přednost uložení hesla a zabránění ztrátě.

Důležité

Pokud toto heslo ztratíte, hsm se bude muset resetovat a znamená to ztrátu vašich klíčů.

Pokud jste připojení k HSM pomocí ssh, spusťte následující příkaz, abyste zajistili, že je HSM funkční.

hsm show

Výstup by měl vypadat, jak je znázorněno na následujícím obrázku:

Snímek obrazovky znázorňující výstup v okně PowerShellu

V tomto okamžiku jste přidělili všechny prostředky pro vysoce dostupné, dva nasazení HSM a ověřený přístup a provozní stav. Jakákoli další konfigurace nebo testování zahrnuje větší práci se samotným zařízením HSM. V takovém případě byste měli postupovat podle pokynů v průvodci správou hsm Thales Luna 7 kapitoly 7, abyste inicializovali HSM a vytvořili oddíly. Veškerá dokumentace a software jsou k dispozici přímo od společnosti Thales ke stažení, jakmile jste zaregistrováni na portálu zákaznické podpory Thales a máte ID zákazníka. Stáhněte si klientský software verze 7.2 a získejte všechny požadované součásti.

Odstranění nebo vyčištění prostředků

Pokud jste dokončili jenom zařízení HSM, můžete ho odstranit jako prostředek a vrátit se do bezplatného fondu. Při tom je zřejmé, že se jedná o citlivá zákaznická data, která jsou na zařízení. Nejlepším způsobem, jak "nulovat" zařízení, je třikrát získat heslo správce HSM (poznámka: nejedná se o správce zařízení, jedná se o skutečného správce HSM). Jako bezpečnostní opatření pro ochranu klíčových materiálů není možné zařízení odstranit jako prostředek Azure, dokud nebude v nulovém stavu.

Poznámka:

Pokud máte potíže s jakoukoli konfigurací zařízení Thales, měli byste kontaktovat zákaznickou podporu společnosti Thales.

Pokud jste dokončili všechny prostředky v této skupině prostředků, můžete je všechny odebrat pomocí následujícího příkazu:

az group delete \
   --resource-group myRG \
   --name HSMdeploy \
   --verbose

Další kroky

Po dokončení kroků v tomto kurzu se zřídí vyhrazené prostředky HSM a budete mít virtuální síť s potřebnými moduly HARDWAROVÉHO zabezpečení a další síťové komponenty, které umožní komunikaci s HSM. Teď jste v pozici, abyste toto nasazení doplnili o více prostředků, jak to vyžaduje vaše upřednostňovaná architektura nasazení. Další informace o plánování nasazení najdete v dokumentech konceptů. Návrh se dvěma moduly HSM v primární oblasti, které řeší dostupnost na úrovni racku, a doporučuje se dva moduly HSM v sekundární oblasti, které řeší regionální dostupnost.