Azure Dedicated HSM sítě

  • Článek
  • 7 min ke čtení

Azure Dedicated HSM vyžaduje vysoce zabezpečené síťové prostředí. To platí bez ohledu na to, jestli je to z cloudu Azure zpět do IT prostředí zákazníka (v místním prostředí), pomocí distribuovaných aplikací nebo ve scénářích s vysokou dostupností. Sítě Azure to a existují čtyři různé oblasti, které je třeba řešit.

  • Vytvoření zařízení HSM ve vaší Virtual Network (VNet) v Azure
  • Připojení místního prostředí ke cloudovým prostředkům pro konfiguraci a správu zařízení HSM
  • Vytváření a propojování virtuálních sítí pro propojující prostředky aplikací a zařízení HSM
  • Propojení virtuálních sítí mezi oblastmi pro komunikaci a také umožnění scénářů vysoké dostupnosti

Virtuální síť pro vyhrazené HSM

Vyhrazené moduly hardwarového zabezpečení jsou integrované do Virtual Network a umístěné ve vlastní privátní síti zákazníků v Azure. To umožňuje přístup k zařízením z virtuálních počítačů nebo výpočetních prostředků ve virtuální síti.
Další informace o integraci služeb Azure do virtuální sítě a funkcích, které poskytuje, najdete v dokumentaci k virtuální síti pro služby Azure.

Virtuální sítě

Před zřízením Dedicated HSM zařízení budou zákazníci muset nejprve vytvořit účet Virtual Network Azure nebo použít aplikaci, která už v předplatném zákazníka existuje. Virtuální síť definuje hraniční síť zabezpečení pro Dedicated HSM zařízení. Další informace o vytváření virtuálních sítí najdete v dokumentaci k virtuálním sítím.

Podsítě

Podsítě segmentují virtuální síť do samostatných adresní prostorů, které jsou použitelné prostředky Azure, které do nich umístit. Vyhrazené moduly hardwarového zabezpečení se nasadí do podsítě ve virtuální síti. Každé Dedicated HSM, které je nasazené v podsíti zákazníka, obdrží privátní IP adresu z této podsítě. Podsíť, ve které je zařízení HSM nasazené, musí být na službu explicitně delegovaná: Microsoft.HardwareSecurityModules/dedicatedHSMs. Tím udělíte službě HSM určitá oprávnění k nasazení do podsítě. Delegování na vyhrazené HSM má pro podsíť určitá omezení zásad. Skupiny zabezpečení sítě (NSG) a User-Defined trasy (URS) se v současné době v delegovaných podsítích nepodporují. V důsledku toho je možné po delegování podsítě na vyhrazené HSM použít pouze k nasazení prostředků HSM. Nasazení všech ostatních zákaznických prostředků do podsítě selže. Jejich požadavek není na tom, jak velká nebo malá by podsíť pro Dedicated HSM měla být, ale každé zařízení HSM bude využívat jednu privátní IP adresu, takže by mělo být zajištěno, že podsíť bude dostatečně velká, aby vyhovovala tolika zařízením HSM, kolik je potřeba pro nasazení.

Brána ExpressRoute

Požadavkem aktuální architektury je konfigurace brány ExpressRoute v podsíti customers, kde je potřeba umístit zařízení HSM, aby se umožnila integrace zařízení HSM do Azure. Tuto bránu ExpressRoute nelze využít pro připojení místních umístění k zařízením HSM zákazníků v Azure.

Připojení místního IT k Azure

Při vytváření cloudových prostředků je obvyklý požadavek na privátní připojení zpět k místním IT prostředkům. V případě Dedicated HSM to bude hlavně pro klientský software HSM ke konfiguraci zařízení HSM a také pro aktivity, jako jsou zálohování a vyžadování protokolů z hsm pro analýzu. Klíčovým rozhodovacím bodem je povaha připojení, protože existují možnosti. Nej flexibilnější možností je vpn site-to-site, protože pravděpodobně bude více místních prostředků, které vyžadují zabezpečenou komunikaci s prostředky (včetně HSM) v cloudu Azure. To bude vyžadovat, aby organizace zákazníka měla k usnadnění připojení zařízení VPN. Připojení VPN typu Point-to-Site je možné použít, pokud existuje pouze jeden místní koncový bod, například jedna pracovní stanice pro správu. Další informace o možnostech připojení najdete v tématu VPN Gateway plánování.

Poznámka

ExpressRoute v tuto chvíli není možnost připojení k místním prostředkům. Je také třeba si ujít, že brána ExpressRoute použitá výše není používaná pro připojení k místní infrastruktuře.

Point-to-site VPN

Virtuální privátní síť typu point-to-site je nejjednodušší forma zabezpečeného připojení k jednomu místnímu koncovému bodu. To může být relevantní, pokud máte v úmyslu mít jenom jednu pracovní stanici pro správu vyhrazených HSM založených na Azure.

Site-to-site VPN

Virtuální privátní síť S2S (Site-to-Site) umožňuje zabezpečenou komunikaci mezi vyhrazeným HSM založeným na Azure a místním IT. Důvodem k tomu je, že budete mít záložní zařízení pro místní HSM a budete potřebovat propojení mezi těmito dvěma moduly pro spuštění zálohování.

Propojení virtuálních sítí

Typická architektura nasazení pro Dedicated HSM bude začíná s jednou virtuální sítí a odpovídající podsítí, ve které se vytvářejí a zřizované zařízení HSM. V rámci stejné oblasti by mohly být k dispozici další virtuální sítě a podsítě pro komponenty aplikací, které by mohly využívat Dedicated HSM. K umožnění komunikace mezi těmito sítěmi používáme Virtual Network peering.

Peering virtuálních sítí

Pokud v rámci oblasti existuje více virtuálních sítí, které potřebují vzájemně přistupovat k prostředkům, je Virtual Network peering použít k vytvoření zabezpečených komunikačních kanálů mezi nimi. Peering virtuálních sítí poskytuje nejen zabezpečenou komunikaci, ale také nízkou latenci a připojení s velkou šířkou pásma mezi prostředky v Azure.

partnerský vztah sítě

Připojení mezi oblastmi Azure

Zařízení HSM mají prostřednictvím softwarových knihoven možnost přesměrovat provoz na alternativní HSM. Přesměrování provozu je užitečné v případě, že zařízení selžou nebo dojde ke ztrátě přístupu k zařízení. Scénáře selhání na místní úrovni je možné zmírnit nasazením hsm v jiných oblastech a povolením komunikace mezi virtuálními sítěmi napříč oblastmi.

Hašte napříč oblastmi s využitím brány VPN

U globálně distribuovaných aplikací nebo scénářů převzetí služeb při selhání v jednotlivých oblastech s vysokou dostupností se vyžaduje propojení virtuálních sítí mezi oblastmi. Díky Azure Dedicated HSM dostupnosti je možné dosáhnout pomocí VPN Gateway, který poskytuje zabezpečený tunel mezi těmito dvěma virtuálními sítěmi. Další informace o připojeních VNet-to-VNet pomocí VPN Gateway najdete v článku Co je VPN Gateway?

Poznámka

Globální partnerský vztah virtuálních sítí v tuto chvíli není k dispozici ve scénářích připojení mezi oblastmi s vyhrazeným HSM a místo toho by se měla použít brána VPN.

Diagram znázorňuje dvě oblasti propojené dvěma bránami V P N. Každá oblast obsahuje partnerské virtuální sítě.

Síťová omezení

Poznámka

Omezení služby Dedicated HSM podsítě je vynucené omezení, která by se měla zvážit při navrhování cílové síťové architektury pro nasazení HSM. Použití delegování podsítě znamená, že skupiny zabezpečení sítě, uživatelsky definované funkce a globální VNet Peering se pro Dedicated HSM. Následující části vám pomůžou s alternativními technikami pro dosažení stejného nebo podobného výsledku pro tyto funkce.

Síťová karta HSM, která se nachází v Dedicated HSM virtuální síti, nemůže používat skupiny zabezpečení sítě ani trasy definované uživatelem. To znamená, že z hlediska virtuální sítě Dedicated HSM není možné nastavit výchozí zásady odepření a že k získání přístupu ke službě Dedicated HSM musí být povoleny jiné segmenty sítě.

Přidáním řešení proxy síťových virtuálních zařízení (NVA) také umožníte logicky umístit bránu firewall síťového virtuálního zařízení během přenosu nebo dmz hubu před síťovou kartu HSM, čímž se poskytne potřebná alternativa k NSG a URS.

Architektura řešení

Tento návrh sítě vyžaduje následující prvky:

  1. Tranzitní virtuální síť nebo virtuální síť centra DMZ s vrstvou proxy síťového virtuálního zařízení V ideálním případě jsou k dispozici dvě nebo více virtuálních zařízení.
  2. Okruh ExpressRoute s povoleným privátním partnerským vztahem a připojením k virtuální síti tranzitního centra.
  3. Partnerský vztah virtuální sítě mezi virtuální sítí tranzitního centra a virtuální sítí Dedicated HSM virtuální sítí.
  4. Bránu firewall síťového virtuálního Azure Firewall virtuálního zařízení je možné nasadit a nabízet služby DMZ v centru jako možnost.
  5. Další paprskové virtuální sítě úloh je možné v partnerském vztahu s virtuální sítí centra. Klient Gemalto má přístup k vyhrazené službě HSM prostřednictvím virtuální sítě centra.

Diagram znázorňuje alternativní řešení pro virtuální síť centra DMZ s úrovní proxy síťového virtuálního zařízení pro NSG a UDR

Vzhledem k tomu, že přidání řešení proxy síťového virtuálního zařízení také umožňuje logicky umístit bránu firewall síťového virtuálního zařízení v tranzitním centru nebo centru DMZ před síťovou kartu HSM, čímž se poskytují potřebné výchozí zásady odepření. V našem příkladu použijeme Azure Firewall a budeme potřebovat následující prvky:

  1. Nasazení Azure Firewall podsítě AzureFirewallSubnet ve virtuální síti centra DMZ
  2. Směrovací tabulka s trasou UDR, která směruje provoz do privátního koncového bodu ILB Azure do Azure Firewall. Tato směrovací tabulka se použije pro podsítě brány, ve které se nachází virtuální brána ExpressRoute zákazníka.
  3. Pravidla zabezpečení sítě v rámci služby AzureFirewall umožňují předávání mezi důvěryhodným zdrojovým rozsahem a privátním koncovým bodem Azure IBL, který naslouchá na portu TCP 1792. Tato logika zabezpečení přidá nezbytné výchozí zásady zamítnutí pro Dedicated HSM služby. To znamená, že do této služby budou povolené pouze rozsahy IP Dedicated HSM zdroje. Všechny ostatní rozsahy se zahodí.
  4. Směrovací tabulka s trasou UDR, která směruje provoz do Azure Firewall. Tato směrovací tabulka se použije na podsíť proxy síťového virtuálního zařízení.
  5. NSG použitá na podsíť síťového virtuálního zařízení proxy serveru důvěřuje pouze rozsahu podsítě Azure Firewall jako zdroj a umožňuje předávání pouze na IP adresu síťové karty HSM přes port TCP 1792.

Poznámka

Vzhledem k tomu, že úroveň proxy síťového virtuálního zařízení bude při předávání síťovému rozhraní HSM SNAT IP adresu klienta SNAT, mezi virtuální sítí HSM a virtuální sítí centra DMZ se nevyžaduje žádné uživatelsky definované položky.

Alternativa k uživatelsky definovaným možnostem

Výše uvedené řešení úrovně síťového virtuálního zařízení funguje jako alternativa k uživatelsky definovaným možnostem. Je třeba poznamenat několik důležitých bodů.

  1. U síťové virtuální zařízení by měl být nakonfigurován překlad síťových adres, aby bylo možné správně směrovat přenosy vrácených dat.
  2. Zákazníci by měli zakázat nastavení IP adresy klienta v konfiguraci Luna HSM, aby používali VNA pro překlad adres (NAT). Následující příkazy Servce jako příklad.
Disable:
[hsm01] lunash:>ntls ipcheck disable
NTLS client source IP validation disabled
Command Result : 0 (Success)

Show:
[hsm01] lunash:>ntls ipcheck show
NTLS client source IP validation : Disable
Command Result : 0 (Success)
  1. Nasaďte udr pro přenosy příchozích dat do vrstvy síťové virtuální zařízení.
  2. V případě jednotlivých návrhů nebudou podsítě HSM iniciovat požadavek na odchozí připojení do vrstvy platformy.

Alternativa k použití globálních VNET Peering

K dispozici je několik architektur, které můžete použít jako alternativu k globálním partnerským vztahům virtuální sítě.

  1. Použití připojení VPN Gateway VNet-to-vnet
  2. Připojení Virtuální síť HSM s jinou virtuální sítí a okruhem ER. To funguje nejlépe, když je vyžadována přímá místní cesta nebo virtuální síť VPN.

HSM s přímým připojením Route Express

Diagram znázorňuje modul HARDWAROVÉho zabezpečení s přímým připojením tras.

Další kroky