Guida introduttiva: Creare un modulo di protezione hardware di pagamento di Azure con l'interfaccia della riga di comando di Azure

Articolo
08/08/2024

Il modulo di protezione hardware di pagamento di Azure è un servizio "BareMetal" fornito tramite moduli di protezione hardware di pagamento Thales payShield 10K (HSM) per fornire operazioni di chiave crittografica per transazioni di pagamento critiche in tempo reale nel cloud di Azure. Il modulo di protezione hardware di pagamento di Azure è progettato specificamente per aiutare un provider di servizi e un singolo istituto finanziario ad accelerare la strategia di trasformazione digitale del sistema di pagamento e adottare il cloud pubblico. Per altre informazioni, vedere Modulo di protezione hardware di pagamento di Azure: Panoramica.

Questa guida introduttiva descrive come creare, aggiornare ed eliminare un modulo di protezione hardware di pagamento di Azure usando il comando az dedicated-hsm dell'interfaccia della riga di comando di Azure.

Prerequisiti

Importante

Il modulo di protezione hardware di pagamento di Azure è un servizio specializzato. Per qualificarsi per l'onboarding e l'uso del modulo di protezione hardware di pagamento di Azure, i clienti devono avere un Account Manager designato da Microsoft assegnato e un Cloud Service Architect (CSA).

Per richiedere informazioni sul servizio, avviare il processo di qualificazione e preparare i prerequisiti prima dell'onboarding, chiedere all’Account Manager designato da Microsoft e al CSA di inviare una richiesta tramite posta elettronica.

È necessario registrare i provider di risorse "Microsoft.HardwareSecurityModules" e "Microsoft.Network", nonché le funzionalità del modulo di protezione hardware di pagamento di Azure. Per eseguire questa operazione, vedere Registrare il provider di risorse del modulo di protezione hardware di Pagamento di Azure e le funzionalità del provider di risorse.

Avviso

È necessario applicare il flag di funzionalità "FastPathEnabled" a ogni ID sottoscrizione e aggiungere il tag "fastpathenabled" a ogni rete virtuale. Per altre informazioni, vedere Fastpathenabled.

Per verificare rapidamente se i provider di risorse e le funzionalità sono già registrati, usare il comando az provider show dell'interfaccia della riga di comando di Azure (L'output di questo comando sarà più leggibile se viene visualizzato in formato tabella.)
```
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
```
È possibile continuare con questa guida introduttiva se tutti e quattro questi comandi restituiscono "Registered".
È necessaria una sottoscrizione di Azure. Se non si ha un account, è possibile crearne uno gratuito.

Se si hanno più sottoscrizioni di Azure, impostare quella da usare per la fatturazione con il comando az account set dell'interfaccia della riga di comando di Azure.
```
az account set --subscription <subscription-id>
```

Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.
Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.
- Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.
- Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.
- Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

Creare un gruppo di risorse

Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. Usare il comando az group create per creare un gruppo di risorse denominato myResourceGroup nell'area eastus.

az group create --name "myResourceGroup" --location "EastUS"

Creare una rete virtuale e una subnet

Prima di creare un modulo di protezione hardware di pagamento, è necessario creare una rete virtuale e una sottorete. A tale scopo, usare il comando az network vnet create dell'interfaccia della riga di comando di Azure:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Successivamente, usare il comando az network vnet subnet update dell'interfaccia della riga di comando di Azure per aggiornare la sottorete e assegnargli una delega di "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Per verificare che la rete virtuale e la sottorete siano state create correttamente, usare il comando az network vnet show dell'interfaccia della riga di comando di Azure:

az network vnet show -n "myVNet" -g "myResourceGroup"

Prendere nota del valore restituito come id, come viene usato nel passaggio successivo. id è nel formato:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Creare un modulo di protezione hardware di pagamento

Per creare un modulo HSM di pagamento, usare il comando az dedicated-hsm create. L'esempio seguente crea un modulo HSM dedicato denominato myPaymentHSM nell'area eastus, nel gruppo di risorse myResourceGroup e nella sottoscrizione, nella rete virtuale e nella sottorete specificate:

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60"

Ottenere un modulo di protezione hardware di pagamento

Per visualizzare il modulo di protezione hardware di pagamento e le relative proprietà, usare il comando az dedicated-hsm show dell'interfaccia della riga di comando di Azure.

az dedicated-hsm show --resource-group "myResourceGroup" --name "myPaymentHSM"

Per elencare tutti i moduli di protezione hardware di pagamento, usare il comando az dedicated-hsm list. (L'output di questo comando sarà più leggibile se viene visualizzato in formato tabella.)

az dedicated-hsm list --resource-group "myResourceGroup" -o table

Rimuovere un modulo di protezione hardware di pagamento

Per rimuovere il modulo di protezione hardware di pagamento, usare il comando az dedicated-hsm delete. L'esempio seguente elimina il modulo HSM di pagamento myPaymentHSM dal gruppo di risorse myResourceGroup:

az dedicated-hsm delete --name "myPaymentHSM" -g "myResourceGroup"

Eliminare il gruppo di risorse

Altre guide introduttive ed esercitazioni della raccolta si basano su questa. Se si prevede di usare le guide introduttive e le esercitazioni successive, è consigliabile non cancellare le risorse create.

Quando non sono più necessari, è possibile rimuovere il gruppo di risorse e tutte le risorse correlate tramite il comando az group delete dell'interfaccia della riga di comando di Azure:

az group delete --name "myResourceGroup"

Passaggi successivi

In questa guida rapida è stato creato un modulo di protezione hardware di pagamento, sono state visualizzate e aggiornate le relative proprietà ed è stato eliminato. Per altre informazioni sui moduli di protezione hardware di pagamento e su come integrarli nelle applicazioni, continuare con questi articoli.

Leggere una Panoramica del modulo di protezione hardware di pagamento
Informazioni su come iniziare a usare l’HSM di pagamento di Azure
Vedere alcuni scenari di distribuzione comuni
Informazioni su Certificazione e conformità
Leggere le Domande Frequenti

Condividi tramite