通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 付款 HSM 流量检查

  • 项目

Azure 付款硬件安全模块(简称“付款 HSM”或“PHSM”)是一种裸机服务,提供加密密钥运营服务,支持在 Azure 云中实现实时的关键付款交易。 有关详细信息,请参阅什么是 Azure 付款 HSM?

部署付款 HSM 后,会随附一个主机网络接口和一个管理网络接口。 有以下几种部署场景:

  1. 使用同一 VNet 中的主机和管理端口
  2. 使用不同 VNet 中的主机和管理端口
  3. 使用 IP 地址在不同 VNet 中的的主机和管理端口

在上述所有场景中,付款 HSM 都是委托子网中一项 VNet 注入式服务:必须将 hsmSubnetmanagementHsmSubnet 委托给 Microsoft.HardwareSecurityModules/dedicatedHSMs 服务。

重要

所有需要访问付款 HSM 的订阅都必须FastPathEnabled注册和批准 功能。 此外,还必须在托管付款 HSM 委托子网,以及需要连接到付款 HSM 设备fastpathenabled的每个对等 VNet 上启用 标记。

部署 VNet 的订阅必须启用 FastPathEnabled 功能,fastpathenabled VNet 标记才有效。 必须完成这两个步骤才能使资源连接到付款 HSM 设备。 有关详细信息,请参阅 FastPathEnabled

PHSM 不兼容支持的拓扑中列出的 vWAN 拓扑或跨区域 VNet 对等互连。 付款 HSM 对以下子网设有一些策略限制目前暂不支持网络安全组 (NSG) 和用户定义的路由 (UDR)

可以绕过当前的 UDR 限制并检查发往付款 HSM 的流量。 本文介绍了两种方法:使用源网络地址转换 (SNAT) 功能的防火墙,以及使用反向代理的防火墙。

使用源网络地址转换 (SNAT) 功能的防火墙

此设计思路受到专用 HSM 解决方案体系结构启发。

在将流量转发到 PHSM NIC 之前,防火墙会先对客户端 IP 地址进行源网络地址转换,保证返回的流量会自动定向回防火墙。 在此设计中,可以使用 Azure 防火墙或第三方 FW NVA。

使用 SNAT 的防火墙的体系结构图

需要的路由表:

  • 本地到 PHSM:包含付款 HSM VNet 范围的 UDR 的路由表,指向应用于 GatewaySubnet 的中心中央防火墙。
  • 分支 VNet 到 PHSM:包含指向应用于分支 VNet 子网的中央中心防火墙的常用默认路由的路由表。

结果:

  • PHSM 子网中不支持的 UDR 由对客户端 IP 进行 SNAT 操作的防火墙处理:将流量转发到 PHSM 时,返回的流量会自动定向回防火墙。
  • 可以在防火墙上配置无法使用 PHSM 子网上的网络安全组强制执行的筛选规则。
  • 发到 PHSM 环境的分支流量和本地流量都受到保护。

使用反向代理的防火墙

在尚未获得网络安全团队批准的防火墙上执行 SNAT 时,这种设计方案是不错的选择,要求源 IP 和目标 IP 保持不变,让流量能够通过防火墙。

这种体系结构使用直接部署在 PHSM VNet 中专用子网或对等 VNet 内的反向代理。 将位于没有 PHSM 委托子网限制的子网中的目标设置为反向代理 IP,而不是将流量发送到 PHSM 设备:可以配置 NSG 和 UDR,并且可以在中央中心结合防火墙一起使用。

使用反向代理的防火墙的体系结构图

这套解决方案需要反向代理,例如:

  • F5(Microsoft Azure 市场,基于虚拟机)
  • NGINXaaS(Microsoft Azure 市场,平台即服务完全托管)
  • 使用 NGINX(基于虚拟机)的反向代理服务器
  • 使用 HAProxy(基于虚拟机)的反向代理服务器

使用 NGINX(基于 VM)配置对 tcp 流量进行负载均衡的反向代理服务器示例:

# Nginx.conf  
stream { 
    server { 
        listen 1500; 
        proxy_pass 10.221.8.4:1500; 
    } 

    upstream phsm { 
        server 10.221.8.5:443; 
    } 

    server { 
        listen 443; 
        proxy_pass phsm; 
        proxy_next_upstream on; 
    } 
} 

需要的路由表:

  • 本地到 PHSM:包含付款 HSM VNet 范围的 UDR 的路由表,指向应用于 GatewaySubnet 的中心中央防火墙。
  • 分支 VNet 到 PHSM:包含指向应用于分支 VNet 子网的中央中心防火墙的常用默认路由的路由表。

重要

必须在反向代理子网上禁用“网关路由”传播,以便 0/0 UDR 足以强制返回流量通过防火墙。

结果:

  • 可以在反向代理子网上配置 PHSM 子网上不支持的 UDR。
  • 反向代理对客户端 IP 执行 SNAT:将流量转发到 PHSM 时,返回的流量会自动定向回反向代理。
  • 可以在应用于反向代理子网的防火墙和/或网络安全组上配置在 PHSM 子网上无法使用网络安全组强制执行的筛选规则。
  • 发到 PHSM 环境的分支流量和本地流量都受到保护。

后续步骤