Condividi tramite

Esercitazione: Creare un modulo di protezione hardware di pagamento con porta host e gestione in reti virtuali diverse usando il modello di Resource Manager

  • Articolo

Il modulo di protezione hardware di pagamento di Azure è un servizio "BareMetal" fornito tramite moduli di protezione hardware di pagamento Thales payShield 10K (HSM) per fornire operazioni di chiave crittografica per transazioni di pagamento critiche in tempo reale nel cloud di Azure. Il modulo di protezione hardware di pagamento di Azure è progettato specificamente per aiutare un provider di servizi e un singolo istituto finanziario ad accelerare la strategia di trasformazione digitale del sistema di pagamento e adottare il cloud pubblico. Per altre informazioni, vedere Modulo di protezione hardware di pagamento di Azure: Panoramica.

Questa esercitazione descrive come creare un modulo di protezione hardware di pagamento con l'host e la porta di gestione in reti virtuali diverse, usando l'interfaccia della riga di comando di Azure o Azure PowerShell. È invece possibile:

Un modello di Azure Resource Manager è un file JSON (JavaScript Object Notation) che definisce l'infrastruttura e la configurazione del progetto. Il modello utilizza la sintassi dichiarativa. Si descrive la distribuzione prevista senza scrivere la sequenza di comandi di programmazione necessari per creare la distribuzione.

Prerequisiti

Importante

Il modulo di protezione hardware di pagamento di Azure è un servizio specializzato. Per qualificarsi per l'onboarding e l'uso del modulo di protezione hardware di pagamento di Azure, i clienti devono avere un Account Manager designato da Microsoft assegnato e un Cloud Service Architect (CSA).

Per richiedere informazioni sul servizio, avviare il processo di qualificazione e preparare i prerequisiti prima dell'onboarding, chiedere all’Account Manager designato da Microsoft e al CSA di inviare una richiesta tramite posta elettronica.

  • È necessario registrare i provider di risorse "Microsoft.HardwareSecurityModules" e "Microsoft.Network", nonché le funzionalità del modulo di protezione hardware di pagamento di Azure. Per eseguire questa operazione, vedere Registrare il provider di risorse del modulo di protezione hardware di Pagamento di Azure e le funzionalità del provider di risorse.

    Per verificare rapidamente se i provider di risorse e le funzionalità sono già registrati, usare il comando az provider show dell'interfaccia della riga di comando di Azure. (L'output di questo comando è più leggibile quando viene visualizzato in formato tabella.)

    az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table

    È possibile continuare con questa guida introduttiva se tutti e quattro questi comandi restituiscono "Registered".

  • È necessaria una sottoscrizione di Azure. Se non si ha un account, è possibile crearne uno gratuito.

Creare un gruppo di risorse

Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. Usare il comando az group create per creare un gruppo di risorse denominato myResourceGroup nell'area eastus.

az group create --name "myResourceGroup" --location "EastUS"

Creare la rete virtuale e le sottoreti

Prima di creare un modulo di protezione hardware di pagamento, è necessario creare una rete virtuale/sottorete per l'host e una rete virtuale/sottorete diversa per la porta di gestione.

Usare prima di tutto il comando az network vnet createdell'interfaccia della riga di comando di Azure per creare la rete virtuale per l'host:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Successivamente, usare il comando az network vnet subnet update dell'interfaccia della riga di comando di Azure per aggiornare la sottorete e assegnargli una delega di "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Per verificare che la rete virtuale e la sottorete siano state create correttamente, usare il comando az network vnet subnet show dell'interfaccia della riga di comando di Azure:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Prendere nota dell'ID sottorete dell'host, usato durante la creazione del modulo di protezione hardware di pagamento. L'ID della sottorete termina con il nome della sottorete:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Creare ora un'altra rete virtuale e una sottorete per la porta di gestione:

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

Nuovamente, usare il comando az network vnet subnet update dell'interfaccia della riga di comando di Azure per aggiornare la sottorete e assegnargli una delega di "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Per verificare che la rete virtuale e la sottorete di gestione siano state create correttamente, usare il comando az network vnet subnet show dell'interfaccia della riga di comando di Azure:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

È necessario anche l'ID sottorete della gestione durante la creazione del modulo di protezione hardware di pagamento.

Creare un modulo di protezione hardware di pagamento

Creare con host dinamici

Per creare un modulo di protezione hardware di pagamento con host dinamici, usare il comando az dedicated-hsm create. L'esempio seguente crea un modulo HSM dedicato denominato myPaymentHSM nell'area eastus, nel gruppo di risorse myResourceGroup e nella sottoscrizione, nella rete virtuale e nella sottorete specificate.

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

Per visualizzare le interfacce di rete appena create, usare il comando az network nic list, specificando il gruppo di risorse:

az network nic list -g myResourceGroup -o table

Nell'output sono elencati host 1 e host 2, oltre a un'interfaccia di gestione:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Per visualizzare le interfacce di rete appena create, usare il comando az network nic show, specificando il gruppo di risorse e il nome dell'interfaccia di rete:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

L'output contiene questa riga:

  "privateIPAllocationMethod": "Dynamic",

Creare con host statici

Per creare un modulo di protezione hardware di pagamento con host statici, usare il comando az dedicated-hsm create. L'esempio seguente crea un modulo HSM dedicato denominato myPaymentHSM nell'area eastus, nel gruppo di risorse myResourceGroup e nella sottoscrizione, nella rete virtuale e nella sottorete specificate.

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Se si vuole specificare anche un indirizzo IP statico per l'host di gestione, è possibile aggiungere:

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

Per visualizzare le interfacce di rete appena create, usare il comando az network nic list, specificando il gruppo di risorse:

az network nic list -g myResourceGroup -o table

Nell'output, l'host 1 e l'host 2 sono elencati, nonché l'interfaccia di gestione:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Per visualizzare le proprietà di un'interfaccia di rete appena creata, usare il comando az network nic show, specificando il gruppo di risorse e il nome dell'interfaccia di rete:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

L'output contiene questa riga:

  "privateIPAllocationMethod": "Static",

Passaggi successivi

Passare all'articolo successivo per informazioni su come visualizzare il modulo di protezione hardware di pagamento.

Visualizzare i moduli di protezione hardware di pagamento

Informazioni aggiuntive: