Tutorial: Creación de un HSM de pago
Azure Payment HSM es un servicio "BareMetal" que se entrega mediante módulos de seguridad de hardware de pago (HSM) de Thales payShield 10K para proporcionar operaciones de clave criptográfica para transacciones de pago críticas en tiempo real en la nube de Azure. Azure Payment HSM está diseñado específicamente para ayudar a un proveedor de servicios y a una entidad financiera individual a acelerar la estrategia de transformación digital de su sistema de pago y adoptar la nube pública. Para obtener más información, consulte Acerca de Azure Payment HSM.
En este tutorial se describe cómo crear Azure Payment HSM con el puerto de administración y host en la misma red virtual. En su lugar, puede:
- Creación de un HSM de pago con el puerto de administración y host en la misma red virtual con plantillas de ARM
- Creación de un HSM de pago con el puerto de administración y host en diferentes redes virtuales usando la CLI de Azure o PowerShell
- Creación de un HSM de pago con el puerto de administración y host en redes virtuales diferentes mediante plantillas de ARM
- Creación de un recurso de HSM con host y puerto de administración con direcciones IP en diferentes redes virtuales mediante una plantilla de ARM
Nota:
Si desea reutilizar una red virtual existente, compruebe que ha cumplido todos los requisitos previos y, después, lea Cómo reutilizar una red virtual existente.
Requisitos previos
Importante
Azure Payment HSM es un servicio especializado. Para calificar para la incorporación y el uso de Azure Payment HSM, los clientes deben tener asignado un administrador de cuentas de Microsoft y tener un arquitecto de servicios en la nube (CSA).
Para consultar información acerca del servicio, inicie el proceso de calificación y prepare los requisitos previos antes de incorporarse, y solicite a su administrador de cuentas de Microsoft y su CSA que envíen una solicitud por correo electrónico.
Debe registrar los proveedores de recursos "Microsoft.HardwareSecurityModules" y "Microsoft.Network", así como las características de Azure Payment HSM. Los pasos para hacerlo se encuentran en Registro del proveedor de recursos de Azure Payment HSM y las características del proveedor de recursos.
Advertencia
Deberá aplicar la marca de característica "FastPathEnabled" a cada identificador de suscripción y agregar la etiqueta "fastpathenabled" a cada red virtual. Para obtener más información, consulte Fastpathenabled.
Para determinar rápidamente si los proveedores de recursos y las características ya están registrados, use el comando az provider show de la CLI de Azure. (La salida de este comando resultará más legible si la muestra en formato de tabla).
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o table
Puede continuar con este inicio rápido si los cuatro comandos devuelven "Registrado".
Debe tener una suscripción de Azure. En caso de no tener ninguna, puede crear una cuenta gratuita.
Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.
Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.
Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.
En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.
Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.
Crear un grupo de recursos
Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure. Utilice el comando az group create para crear un grupo de recursos denominado myResourceGroup en la ubicación eastus.
az group create --name "myResourceGroup" --location "EastUS"
Creación de una red virtual y una subred
Antes de crear un HSM de pago debe crear una red virtual y una subred. Para ello, use el comando az network vnet create de la CLI de Azure:
az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"
Después, use el comando az network vnet subnet update de la CLI de Azure para actualizar la subred y asígnele una delegación de "Microsoft.HardwareSecurityModules/dedicatedHSMs":
az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Para comprobar que la red virtual y la subred se han creado correctamente, use el comando az network vnet subnet show de la CLI de Azure:
az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet
Anote el identificador de la subred, ya que es necesario en el paso siguiente. El identificador de la subred termina con el nombre de la subred:
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",
Creación de un HSM de pago
Importante
Si crea dos HSM de pago en la misma región, debe asignar uno a "stamp1" y el otro a "stamp2". Para más información, consulte Escenarios de implementación: Implementación de alta disponibilidad.
Creación con hosts dinámicos
Para crear un HSM de pago con hosts dinámicos, use el comando az dedicated-hsm create. En el ejemplo siguiente crea un HSM de pago denominado myPaymentHSM
, que se encuentra en la región eastus
, el grupo de recursos myResourceGroup
y la suscripción, red virtual y subred especificadas:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60"
Para ver las interfaces de red recién creadas, use el comando az network nic list y proporcione el grupo de recursos:
az network nic list -g myResourceGroup -o table
En la salida, se muestran el host 1 y el host 2, así como una interfaz de administración:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Para ver los detalles de una interfaz de red recién creada, use el comando az network nic show y proporcione el grupo de recursos y el nombre de la interfaz de red:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
La salida contiene esta línea:
"privateIPAllocationMethod": "Dynamic",
Creación con hosts estáticos
Para crear un HSM de pago con hosts estáticos, use el comando az dedicated-hsm create. En el ejemplo siguiente crea un HSM de pago denominado myPaymentHSM
, que se encuentra en la región eastus
, el grupo de recursos myResourceGroup
y la suscripción, red virtual y subred especificadas:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")
Si desea especificar también una dirección IP estática para el host de administración, puede agregar:
--mgmt-network-interfaces private-ip-address="10.0.0.7" \
--mgmt-network-subnet="<subnet-id>"
Para ver las interfaces de red recién creadas, use el comando az network nic list y proporcione el grupo de recursos:
az network nic list -g myResourceGroup -o table
En la salida, se muestran el host 1 y el host 2, así como una interfaz de administración:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Para ver las propiedades de una interfaz de red, use el comando az network nic show y proporcione el grupo de recursos y el nombre de la interfaz de red:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
La salida contiene esta línea:
"privateIPAllocationMethod": "Static",
Pasos siguientes
Pase al siguiente artículo, donde aprenderá a ver su HSM de pago.
Información adicional:
- Lea una Introducción a Payment HSM
- Descubra cómo empezar a trabajar con Azure Payment HSM
- Consulte algunos escenarios de implementacióncomunes
- Más información sobre la certificación y el cumplimiento
- Lea las preguntas más frecuentes