Integrace spravovaného HSM se službou Azure Private Link

Služba Azure Private Link umožňuje přístup ke službám Azure (například spravované HSM, Azure Storage a Azure Cosmos DB atd.) a službám hostovaným zákazníkům a partnerům Azure přes privátní koncový bod ve vaší virtuální síti.

Privátní koncový bod Azure je síťové rozhraní, které vás soukromě a bezpečně připojuje ke službě využívající Azure Private Link. Privátní koncový bod využívá privátní IP adresu z vaší virtuální sítě, čímž je služba efektivně začleněna do vaší virtuální sítě. Veškeré přenosy do služby lze směrovat přes privátní koncový bod, takže nejsou potřeba žádné brány, zařízení NAT, připojení ExpressRoute nebo VPN ani veřejné IP adresy. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu. Můžete se připojit k instanci prostředku Azure a získat tak nejvyšší úroveň členitosti řízení přístupu.

Další informace najdete v tématu Co je Azure Private Link?

Poznámka:

Managed HSM v současné době nepodporuje pravidla PROTOKOLU IP ani koncové body služeb virtuální sítě.

Požadavky

Pokud chcete integrovat spravovaný HSM se službou Azure Private Link, budete potřebovat následující:

• Spravovaný HSM. Další podrobnosti najdete v tématu Zřízení a aktivace spravovaného HSM pomocí Azure CLI .
• Virtuální síť Azure.
• Podsíť ve virtuální síti.
• Oprávnění vlastníka nebo přispěvatele pro spravovaný HSM i virtuální síť.
• Azure CLI verze 2.25.0 nebo novější. Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace rozhraní příkazového řádku Azure CLI.

Privátní koncový bod a virtuální síť musí být ve stejné oblasti. Když vyberete oblast privátního koncového bodu pomocí portálu, automaticky vyfiltruje jenom virtuální sítě, které jsou v dané oblasti. Váš HSM může být v jiné oblasti.

Váš privátní koncový bod používá privátní IP adresu ve vaší virtuální síti.

Vytvoření připojení privátního propojení ke spravovanému HSM pomocí rozhraní příkazového řádku (počáteční instalace)

az login                                                                   # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                            # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                            # Create a new Resource Group
az provider register -n Microsoft.KeyVault                                 # Register KeyVault as a provider
az keyvault update-hsm --hsm-name {HSM NAME} -g {RG} --default-action deny # Turn on firewall

az network vnet create -g {RG} -n {vNet NAME} --location {REGION}           # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.managedhsm.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.managedhsm.azure.net --name {dnsZoneLinkName} --registration-enabled true

Povolení přístupu ke spravovaným HSM důvěryhodným službám

Když je brána firewall zapnutá, veškerý přístup k HSM z libovolného umístění, které nepoužívají připojení privátních koncových bodů, bude odepřen, včetně veřejného internetu a služeb Azure. Možnost použijte--bypass AzureServices, pokud chcete povolit služby Microsoft přístup ke klíčům ve spravovaném HSM. Jednotlivé entity (například účet služby Azure Storage nebo Azure SQL Server) musí mít stále k dispozici konkrétní přiřazení rolí, aby bylo možné získat přístup k klíči.

Poznámka:

Podporují se pouze konkrétní scénáře použití důvěryhodných služeb. Další podrobnosti najdete v seznamu scénářů využití důvěryhodných služeb.

az keyvault update-hsm --hsm-name {HSM NAME} -g {RG} --default-action deny --bypass AzureServices

Vytvoření privátního koncového bodu (automatické schválení)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/managedHSMs/{HSM NAME}" --group-id managedhsm --connection-name {Private Link Connection Name} --location {AZURE REGION}

Poznámka:

Pokud tento hsm odstraníte, privátní koncový bod přestane fungovat. Pokud obnovení (zrušení odstranění) tohoto modulu HSM později, musíte znovu vytvořit nový privátní koncový bod.

Vytvoření privátního koncového bodu (ruční žádost o schválení)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/managedHSMs/{HSM NAME}" --group-id managedhsm --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Správa připojení Private Link

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --hsm-name {HSM NAME} –-name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --hsm-name {HSM NAME} –-name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --hsm-name {HSM NAME} --name {PRIVATE LINK CONNECTION NAME}

Přidání Privátní DNS záznamů

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.managedhsm.azure.net" -n {HSM NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.managedhsm.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {HSM NAME}.managedhsm.azure.net
nslookup {HSM NAME}.privatelink.managedhsm.azure.net

---

Ověřte, že funguje připojení privátního propojení.

Měli byste ověřit, že se prostředky ve stejné podsíti prostředku privátního koncového bodu připojují k vašemu HSM přes privátní IP adresu a že mají správnou integraci privátní zóny DNS.

Nejprve vytvořte virtuální počítač podle kroků v části Vytvoření virtuálního počítače s Windows na webu Azure Portal.

Na kartě Sítě:

1. Zadejte virtuální síť a podsíť. Můžete vytvořit novou virtuální síť nebo vybrat existující. Pokud vyberete existující, ujistěte se, že oblast odpovídá.
2. Zadejte prostředek veřejné IP adresy.
3. Ve skupině zabezpečení sítě síťových adaptérů vyberte Žádné.
4. V části Vyrovnávání zatížení vyberte Ne.

Otevřete příkazový řádek a spusťte následující příkaz:

nslookup <your-HSM-name>.managedhsm.azure.net

Pokud spustíte příkaz ns lookup k překladu IP adresy spravovaného HSM přes veřejný koncový bod, zobrazí se výsledek, který vypadá takto:

c:\ >nslookup <your-hsm-name>.managedhsm.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-hsm-name>.managedhsm.azure.net

Pokud spustíte příkaz ns lookup pro překlad IP adresy spravovaného HSM přes privátní koncový bod, zobrazí se výsledek, který vypadá takto:

c:\ >nslookup your_hsm_name.managedhsm.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-hsm-name>.managed.azure.net
          <your-hsm-name>.privatelink.managedhsm.azure.net

Průvodce odstraňováním potíží

• Zkontrolujte, jestli je privátní koncový bod ve schváleném stavu.

  1. Pomocí az keyvault private-endpoint-connections show podpříkazu zobrazíte stav připojení privátního koncového bodu.
  2. Ujistěte se, že je stav připojení Schváleno a stav zřizování je Úspěch.
  3. Ujistěte se, že virtuální síť odpovídá virtuální síti, kterou používáte.

• Zkontrolujte, jestli máte prostředek zóny privátního DNS.

  1. Musíte mít prostředek zóny Privátní DNS s přesným názvem: privatelink.managedhsm.azure.net.
  2. Informace o nastavení najdete na následujícím odkazu. Zóny Privátní DNS

• Zkontrolujte, jestli je zóna Privátní DNS propojená s virtuální sítí. V tom může být problém, pokud se vám stále vrací veřejná IP adresa.

  1. Pokud dns privátní zóny není propojené s virtuální sítí, dotaz DNS pocházející z virtuální sítě vrátí veřejnou IP adresu HSM.
  2. Na webu Azure Portal přejděte k prostředku zóny Privátní DNS a klikněte na možnost propojení virtuální sítě.
  3. Virtuální síť, která bude provádět volání hsm, musí být uvedená.
  4. Pokud tam není, přidejte ji.
  5. Podrobný postup najdete v následujícím dokumentu Propojení virtuální sítě s Privátní DNS zónou.

• Zkontrolujte, jestli v zóně Privátní DNS chybí záznam A pro HSM.

  1. Přejděte na stránku Privátní DNS Zóna.
  2. Klikněte na Přehled a zkontrolujte, jestli existuje záznam A s jednoduchým názvem vašeho HSM. Nezadávejte žádnou příponu.
  3. Nezapomeňte zkontrolovat pravopis a vytvořte nebo upravte záznam A. Jako hodnotu TTL můžete použít 3600 (1 hodina).
  4. Ujistěte se, že zadáváte správnou privátní IP adresu.

• Zkontrolujte, jestli má záznam A správnou IP adresu.

  1. IP adresu můžete potvrdit otevřením prostředku privátního koncového bodu na webu Azure Portal.
  2. Na webu Azure Portal přejděte k prostředku Microsoft.Network/privateEndpoints.
  3. Na stránce přehledu vyhledejte síťové rozhraní a klikněte na tento odkaz.
  4. Po kliknutí na odkaz se zobrazí přehled prostředku síťové karty, který obsahuje vlastnost Privátní IP adresa.
  5. Ověřte, jestli se jedná o správnou IP adresu, která je uvedená v záznamu A.

Aspekty omezení a návrhu

Poznámka:

Počet spravovaných HSM s povolenými privátními koncovými body pro každé předplatné je upravitelný limit. Níže uvedený limit je výchozím limitem. Pokud chcete požádat o navýšení limitu předplatného, vytvořte lístek podpora Azure. Tyto žádosti budeme schvalovat pro případ podle případu.

Ceny: Informace o cenách najdete v tématu Ceny služby Azure Private Link.

Maximální počet privátních koncových bodů na spravovaný HSM: 64.

Výchozí počet spravovaných HSM s privátními koncovými body na předplatné: 400.

Další informace najdete ve službě Azure Private Link: Omezení

Další kroky

• Další informace o službě Azure Private Link
• Další informace o spravovaném HSM