Sdílet prostřednictvím

Kurz: Nasazení MODULŮ HSM do existující virtuální sítě pomocí PowerShellu

  • Článek

Služba Azure Dedicated HSM poskytuje fyzické zařízení pro výhradní použití zákazníka s úplnou kontrolou správy a plnou odpovědností za správu. Kvůli poskytování fyzického hardwaru musí Společnost Microsoft řídit, jak se tato zařízení přidělují, aby se zajistila efektivní správa kapacity. V rámci předplatného Azure proto není služba Dedicated HSM běžně viditelná pro zřizování prostředků. Každý zákazník Azure, který vyžaduje přístup ke službě Dedicated HSM, musí nejprve kontaktovat vedoucího pracovníka účtu Microsoft a požádat o registraci pro službu Dedicated HSM. Pouze po úspěšném dokončení tohoto procesu je možné zřizovat.

Cílem tohoto kurzu je ukázat typický proces zřizování, kde:

  • Zákazník už má virtuální síť.
  • Mají virtuální počítač.
  • Musí do stávajícího prostředí přidat prostředky HSM.

Typická architektura nasazení s vysokou dostupností ve více oblastech je následující:

Diagram znázorňující nasazení ve více oblastech

Tento kurz se zaměřuje na pár modulů HSM a požadovanou bránu ExpressRoute (viz podsíť 1 výše), která je integrovaná do existující virtuální sítě (viz virtuální síť 1 výše). Všechny ostatní prostředky jsou standardní prostředky Azure. Stejný proces integrace je možné použít pro moduly HSM v podsíti 4 ve virtuální síti 3 výše.

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Pokud chcete začít, přečtěte si téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Požadavky

Azure Dedicated HSM není v současné době k dispozici na webu Azure Portal, takže všechny interakce se službou jsou přes příkazový řádek nebo pomocí PowerShellu. V tomto kurzu se používá PowerShell v Azure Cloud Shellu. Pokud s PowerShellem začínáte, postupujte podle pokynů začínáme: Začínáme s Azure PowerShellem.

Předpoklady:

  • Máte přiřazeného Správce účtů Microsoftu a splňujete peněžní požadavek pěti milionů USD (5 milionů USD) nebo vyšších v celkovém potvrzených výnosech Azure za rok, abyste získali nárok na onboarding a používání služby Azure Dedicated HSM.
  • Prošli jste procesem registrace azure Dedicated HSM a schválili jste použití této služby. Pokud ne, obraťte se na zástupce účtu Microsoft a požádejte ho o podrobnosti.
  • Vytvořili jste skupinu prostředků pro tyto prostředky a pro nové prostředky nasazené v tomto kurzu.
  • Už jste vytvořili potřebnou virtuální síť, podsíť a virtuální počítače a teď chcete do daného nasazení integrovat 2 moduly HSM.

Následující pokyny předpokládají, že jste už přešli na web Azure Portal a otevřeli jste Cloud Shell (v pravém horním rohu portálu vyberte> _).

Zřízení vyhrazeného HSM

Zřízení modulů hardwarového zabezpečení a integrace do existující virtuální sítě prostřednictvím brány ExpressRoute se ověřuje pomocí nástroje příkazového řádku ssh, který zajistí dostupnost a základní dostupnost zařízení HSM pro jakékoli další aktivity konfigurace. Následující příkazy použijí šablonu Resource Manageru k vytvoření prostředků HSM a přidružených síťových prostředků.

Ověřování registrace funkcí

Jak už bylo zmíněno, jakákoli aktivita zřizování vyžaduje, aby byla pro vaše předplatné zaregistrovaná služba Dedicated HSM. Pokud to chcete ověřit, spusťte na webu Azure Portal Cloud Shell následující příkaz PowerShellu.

Get-AzProviderFeature -ProviderNamespace Microsoft.HardwareSecurityModules -FeatureName AzureDedicatedHsm

Než budete pokračovat, měl by příkaz vrátit stav "Registrováno". Pokud nejste zaregistrovaní pro tuto službu, obraťte se na zástupce účtu Microsoft.

Stav předplatného

Vytváření prostředků HSM

Zařízení HSM je zřízeno do virtuální sítě zákazníka, která vyžaduje podsíť. Závislost pro HSM, která umožňuje komunikaci mezi virtuální sítí a fyzickým zařízením, je brána ExpressRoute a nakonec virtuální počítač je nutný pro přístup k zařízení HSM pomocí klientského softwaru Thales.

Vyhrazený prostředek HSM můžete vytvořit pomocí šablony ARM na základě následujícího příkladu. Parametry musíte aktualizovat tak, že nahradíte řádky obsahující "value":"" upřednostňovanými názvy prostředků.

  • namingInfix Předpona pro názvy prostředků HSM
  • ExistingVirtualNetworkName Název virtuální sítě používané pro moduly hardwarového zabezpečení
  • DedicatedHsmResourceName1 Název prostředku HSM v datovém razíteku 1
  • DedicatedHsmResourceName2 Název prostředku HSM v datovém razítku 2
  • hsmSubnetRange Rozsah IP adres podsítě pro HSM
  • ERSubnetRange Rozsah IP adres podsítě pro bránu virtuální sítě

Příklad těchto změn je následující:

{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "namingInfix": {
      "value": "MyHSM"
    },
    "ExistingVirtualNetworkName": {
      "value": "MyHSM-vnet"
    },
    "DedicatedHsmResourceName1": {
      "value": "HSM1"
    },
    "DedicatedHsmResourceName2": {
      "value": "HSM2"
    },
    "hsmSubnetRange": {
      "value": "10.0.2.0/24"
    },
    "ERSubnetRange": {
      "value": "10.0.255.0/26"
    },
  }
}

Přidružený soubor šablony Resource Manageru vytvoří šest prostředků s touto informací:

  • Podsíť pro hsm v zadané virtuální síti
  • Podsíť pro bránu virtuální sítě
  • Brána virtuální sítě, která připojuje virtuální síť k zařízením HSM
  • Veřejná IP adresa brány
  • HsM v razítku 1
  • HsM v razítku 2

Po nastavení hodnot parametrů je potřeba soubory nahrát do sdílené složky Cloud Shellu na webu Azure Portal, aby bylo možné je použít. Na webu Azure Portal vyberte> vpravo nahoře symbol "_" Cloud Shell, který z dolní části obrazovky vytvoří příkazové prostředí. Možnosti jsou BASH a PowerShell a měli byste vybrat BASH, pokud ještě není nastavený.

Na panelu nástrojů vyberte možnost pro nahrání šablony a souborů parametrů do sdílené složky:

Sdílená složka.

Po nahrání souborů můžete vytvářet prostředky.

Před vytvořením nových prostředků HSM jsou nezbytné některé požadované prostředky. Musíte mít virtuální síť s rozsahy podsítí pro výpočetní prostředky, moduly HSM a bránu. Následující příkazy slouží jako příklad toho, co by takové virtuální sítě vytvořilo.

$compute = New-AzVirtualNetworkSubnetConfig `
  -Name compute `
  -AddressPrefix 10.2.0.0/24

$delegation = New-AzDelegation `
  -Name "myDelegation" `
  -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"


$hsmsubnet = New-AzVirtualNetworkSubnetConfig ` 
  -Name hsmsubnet ` 
  -AddressPrefix 10.2.1.0/24 ` 
  -Delegation $delegation 



$gwsubnet= New-AzVirtualNetworkSubnetConfig `
  -Name GatewaySubnet `
  -AddressPrefix 10.2.255.0/26



New-AzVirtualNetwork `
  -Name myHSM-vnet `
  -ResourceGroupName myRG `
  -Location westus `
  -AddressPrefix 10.2.0.0/16 `
  -Subnet $compute, $hsmsubnet, $gwsubnet

Poznámka:

Nejdůležitější konfigurací pro virtuální síť je, že podsíť pro zařízení HSM musí mít delegování nastavená na Microsoft.HardwareSecurityModules/dedicatedHSMs. Zřizování HSM bez toho nebude fungovat.

Jakmile jsou splněné všechny požadavky a aktualizujte šablonu Resource Manageru vašimi jedinečnými názvy (alespoň názvem skupiny prostředků), spusťte následující příkaz:


New-AzResourceGroupDeployment -ResourceGroupName myRG `
     -TemplateFile .\Deploy-2HSM-toVNET-Template.json `
     -TemplateParameterFile .\Deploy-2HSM-toVNET-Params.json `
     -Name HSMdeploy -Verbose

Dokončení tohoto příkazu by mělo trvat přibližně 20 minut. Použitá možnost -verbose zajistí, že se stav průběžně zobrazuje.

Nasazení dekadovaného HSM

Po úspěšném dokončení se můžete přihlásit ke stávajícímu virtuálnímu počítači a pomocí SSH zajistit dostupnost zařízení HSM.

Ověření nasazení

Pokud chcete ověřit, že jsou zařízení zřízená, a podívejte se na atributy zařízení, spusťte následující sadu příkazů. Ujistěte se, že je skupina prostředků správně nastavená a název prostředku je přesně stejný jako v souboru parametrů.


$subid = (Get-AzContext).Subscription.Id
$resourceGroupName = "myRG"
$resourceName = "HSM1"  
Get-AzResource -Resourceid /subscriptions/$subId/resourceGroups/$resourceGroupName/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/$resourceName

Stav zřizování

Teď také budete moct zobrazit prostředky pomocí Průzkumníka prostředků Azure. Jakmile v průzkumníku rozbalíte "předplatná" na levé straně, rozbalte konkrétní předplatné pro Dedicated HSM, rozbalte "skupiny prostředků", rozbalte použitou skupinu prostředků a nakonec vyberte položku "resources".

Testování nasazení

Testování nasazení je případ připojení k virtuálnímu počítači, který má přístup k modulům HSM a pak se připojuje přímo k zařízení HSM. Tyto akce potvrdí, že je HSM dostupný. Nástroj ssh se používá k připojení k virtuálnímu počítači. Příkaz bude podobný následujícímu, ale s názvem správce a názvem DNS, který jste zadali v parametru.

ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com

Heslo, které se má použít, je heslo ze souboru parametrů. Jakmile se přihlásíte k virtuálnímu počítači s Linuxem, můžete se k hsM přihlásit pomocí privátní IP adresy nalezené na portálu pro předponu>prostředku <hsm_vnic.


(Get-AzResource -ResourceGroupName myRG -Name HSMdeploy -ExpandProperties).Properties.networkProfile.networkInterfaces.privateIpAddress

Pokud máte IP adresu, spusťte následující příkaz:

ssh tenantadmin@<ip address of HSM>

Pokud budete úspěšní, zobrazí se výzva k zadání hesla. Výchozí heslo je HESLO. HSM vás požádá o změnu hesla tak, aby nastavil silné heslo a použil jakýkoli mechanismus, který vaše organizace dává přednost ukládání hesla a zabránění ztrátě.

Důležité

Pokud toto heslo ztratíte, hsm se bude muset resetovat a znamená to ztrátu vašich klíčů.

Pokud jste připojení k zařízení HSM pomocí ssh, spusťte následující příkaz, abyste zajistili, že je HSM funkční.

hsm show

Výstup by měl vypadat jako na následujícím obrázku:

Snímek obrazovky znázorňující výstup příkazu HSM show

V tomto okamžiku jste přidělili všechny prostředky pro vysoce dostupné, dva nasazení HSM a ověřený přístup a provozní stav. Jakákoli další konfigurace nebo testování zahrnuje větší práci se samotným zařízením HSM. V takovém případě byste měli postupovat podle pokynů v průvodci správou hsm Thales Luna 7 kapitoly 7, abyste inicializovali HSM a vytvořili oddíly. Veškerá dokumentace a software jsou k dispozici přímo od společnosti Thales ke stažení po registraci na portálu zákaznické podpory Thales a id zákazníka. Stáhněte si klientský software verze 7.2 a získejte všechny požadované součásti.

Odstranění nebo vyčištění prostředků

Pokud jste dokončili jenom zařízení HSM, můžete ho odstranit jako prostředek a vrátit se do bezplatného fondu. Při tom je zřejmé, že se jedná o citlivá zákaznická data, která jsou na zařízení. Nejlepším způsobem, jak "nulovat" zařízení, je třikrát získat heslo správce HSM (poznámka: nejedná se o správce zařízení, jedná se o skutečného správce HSM). Jako bezpečnostní opatření pro ochranu klíčových materiálů není možné zařízení odstranit jako prostředek Azure, dokud nebude v nulovém stavu.

Poznámka:

Pokud máte potíže s jakoukoli konfigurací zařízení Thales, měli byste kontaktovat zákaznickou podporu společnosti Thales.

Pokud chcete odebrat prostředek HSM v Azure, můžete použít následující příkaz, který nahradí proměnné $vašimi jedinečnými parametry:


$subid = (Get-AzContext).Subscription.Id
$resourceGroupName = "myRG" 
$resourceName = "HSMdeploy"  
Remove-AzResource -Resourceid /subscriptions/$subId/resourceGroups/$resourceGroupName/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/$resourceName

Další kroky

Po dokončení kroků v tomto kurzu se vyhrazené prostředky HSM zřídí a zpřístupní ve vaší virtuální síti. Teď jste v pozici, abyste toto nasazení doplnili o více prostředků, jak to vyžaduje vaše upřednostňovaná architektura nasazení. Další informace o plánování nasazení najdete v dokumentech konceptů. Návrh se dvěma moduly HSM v primární oblasti, které řeší dostupnost na úrovni racku, a doporučuje se dva moduly HSM v sekundární oblasti, které řeší regionální dostupnost. Soubor šablony použitý v tomto kurzu se dá snadno použít jako základ pro dva nasazení HSM, ale musí mít jeho parametry upravené tak, aby splňovaly vaše požadavky.