Kurz: Nasazení HSM do existující virtuální sítě pomocí Azure CLI

  • Článek
  • 7 min ke čtení

Azure Dedicated HSM poskytuje fyzické zařízení pro použití výhradně zákazníkem s úplnou správní kontrolou a úplnou odpovědností za správu. Používání fyzických zařízení vytváří potřebu, aby Microsoft nad přidělováním zařízení dokázal efektivně spravovat kapacitu. V důsledku toho v rámci předplatného Azure nebude Dedicated HSM služba za normálních okolností viditelná pro zřizování prostředků. Každý zákazník Azure, který vyžaduje přístup ke službě Dedicated HSM, musí nejprve kontaktovat svého vedoucího pracovníka účet Microsoft požádat o registraci Dedicated HSM služby. Zřizování bude možné až po úspěšném dokončení tohoto procesu.

Tento kurz ukazuje typický proces zřizování, při kterém:

  • Zákazník už má virtuální síť
  • Mají virtuální počítač.
  • Do tohoto stávajícího prostředí musí přidat prostředky HSM.

Typická architektura nasazení ve více oblastech s vysokou dostupností může vypadat takto:

nasazení ve více oblastech

Tento kurz se zaměřuje na dvojici HSM a požadovanou bránu ExpressRoute (viz podsíť 1 výše) integrovanou do existující virtuální sítě (viz virtuální síť 1 výše). Všechny ostatní prostředky jsou standardními prostředky Azure. Stejný proces integrace je možné použít pro moduly hardwarového zabezpečení v podsíti 4 ve virtuální síti 3 výše.

Požadavky

Azure Dedicated HSM není v současné době k dispozici v Azure Portal. Veškerá interakce se službou bude prostřednictvím příkazového řádku nebo powershellu. V tomto kurzu se bude používat rozhraní příkazového řádku (CLI) v Azure Cloud Shell. Pokud s Azure CLI začínáte, postupujte podle pokynů Začínáme tady: Azure CLI 2.0 Začínáme.

Předpoklady:

  • Dokončili jste proces Azure Dedicated HSM registrace.
  • Byli jste schváleni k používání této služby. Pokud ne, obraťte se účet Microsoft zástupce.
  • Pro tyto prostředky jste vytvořili skupinu prostředků a k této skupině se připojí nové skupiny nasazené v tomto kurzu.
  • Podle výše uvedeného diagramu jste už vytvořili potřebnou virtuální síť, podsíť a virtuální počítače a teď chcete do tohoto nasazení integrovat 2 hsm.

Všechny následující pokyny předpokládají, že jste již přešli na Azure Portal a otevřeli jste Cloud Shell (vyberte " " v pravém horním > _ rohu portálu).

Zřízení Dedicated HSM

Zřizování HSM a jejich integrace do existující virtuální sítě prostřednictvím brány ExpressRoute se ověří pomocí SSH. Toto ověření pomáhá zajistit dostupnost a základní dostupnost zařízení HSM pro všechny další aktivity konfigurace.

Ověřování registrace funkcí

Jak je uvedeno výše, každá aktivita zřizování vyžaduje, aby Dedicated HSM zaregistrovaná služba pro vaše předplatné. Ověřte to spuštěním následujících příkazů v Azure Portal Cloud Shell.

az feature show \
   --namespace Microsoft.HardwareSecurityModules \
   --name AzureDedicatedHSM

Příkazy by měly vrátit stav Registrováno (jak je znázorněno níže). Pokud příkazy nevrátí "Zaregistrováno", musíte se k této službě zaregistrovat tak, že se účet Microsoft zástupce.

stav předplatného

Vytváření prostředků HSM

Před vytvořením prostředků HSM potřebujete několik předpokladů. Musíte mít virtuální síť s rozsahy podsítí pro výpočetní prostředky, moduly hardwarového zabezpečení a bránu. Následující příkazy slouží jako příklad toho, co by takovou virtuální síť vytvořilo.

az network vnet create \
  --name myHSM-vnet \
  --resource-group myRG \
  --address-prefix 10.2.0.0/16 \
  --subnet-name compute \
  --subnet-prefix 10.2.0.0/24

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name hsmsubnet \
  --address-prefixes 10.2.1.0/24 \
  --delegations Microsoft.HardwareSecurityModules/dedicatedHSMs

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name GatewaySubnet \
  --address-prefixes 10.2.255.0/26

Poznámka

Nejdůležitější konfigurací virtuální sítě je, že podsíť pro zařízení HSM musí mít delegování nastavené na Microsoft.HardwareSecurityModules/dedicatedHSMs. Bez nastavení této možnosti nebude zřizování HSM fungovat.

Po konfiguraci sítě použijte tyto příkazy Azure CLI ke zřízení HSM.

  1. K zřízení prvního HSM použijte příkaz az dedicated-hsm create. HSM má název hsm1. Nahraďte své předplatné:

    az dedicated-hsm create --location westus --name hsm1 --resource-group myRG --network-profile-network-interfaces \
     /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet

    Dokončení tohoto nasazení by mělo trvat přibližně 25 až 30 minut, protože většinu této doby se jedná o zařízení HSM.

  2. Pokud chcete zobrazit aktuální HSM, spusťte příkaz az dedicated-hsm show:

    az dedicated-hsm show --resource group myRG --name hsm1

  3. Druhý HSM zř zadejte pomocí tohoto příkazu:

    az dedicated-hsm create --location westus --name hsm2 --resource-group myRG --network-profile-network-interfaces \
     /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet

  4. Spuštěním příkazu az dedicated-hsm list zobrazte podrobnosti o vašich aktuálních HSM:

    az dedicated-hsm list --resource-group myRG

Existují i další příkazy, které můžou být užitečné. K aktualizaci HSM použijte příkaz az dedicated-hsm update:

az dedicated-hsm update --resource-group myRG –name hsm1

Pokud chcete odstranit HSM, použijte příkaz az dedicated-hsm delete:

az dedicated-hsm delete --resource-group myRG –name hsm1

Ověření nasazení

Pokud chcete ověřit, jestli jsou zařízení zřízená a zobrazit atributy zařízení, spusťte následující sadu příkazů. Ujistěte se, že je skupina prostředků nastavená odpovídajícím způsobem a že název prostředku je přesně stejný jako v souboru parametrů.

subid=$(az account show --query id --output tsv)
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM1
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM2

Výstup bude vypadat nějak takto:

{
    "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSMl",
    "identity": null,
    "kind": null,
    "location": "westus",
    "managedBy": null,
    "name": "HSM1",
    "plan": null,
    "properties": {
        "networkProfile": {
            "networkInterfaces": [
            {
            "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/networkInterfaces/HSMl_HSMnic", "privatelpAddress": "10.0.2.5",
            "resourceGroup": "HSM-RG"
            }
            L
            "subnet": {
                "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/virtualNetworks/demo-vnet/subnets/hsmsubnet", "resourceGroup": "HSM-RG"
            }
        },
        "provisioningState": "Succeeded",
        "stampld": "stampl",
        "statusMessage": "The Dedicated HSM device is provisioned successfully and ready to use."
    },
    "resourceGroup": "HSM-RG",
    "sku": {
        "capacity": null,
        "family": null,
        "model": null,
        "name": "SafeNet Luna Network HSM A790",
        "size": null,
        "tier": null
    },
    "tags": {
        "Environment": "prod",
        "resourceType": "Hsm"
    },
    "type": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}

Teď také budete moct zobrazit prostředky pomocí Průzkumníka prostředků Azure. V průzkumníku rozbalte předplatná na levé straně, rozbalte konkrétní předplatné pro Dedicated HSM, rozbalte skupiny prostředků, rozbalte skupinu prostředků, kterou jste použili, a nakonec vyberte položku "resources".

Testování nasazení

Testování nasazení je případ připojení k virtuálnímu počítači, který má přístup k HSM a pak se připojuje přímo k zařízení HSM. Tyto akce potvrdí, že je HSM dostupný. Nástroj ssh se používá pro připojení k virtuálnímu počítači. Příkaz bude podobný následujícímu, ale bude mít jméno správce a název DNS, které jste zadali v parametru .

ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com

IP adresu virtuálního počítače je také možné použít místo názvu DNS ve výše uvedeném příkazu. Pokud je příkaz úspěšný, zobrazí výzvu k zadání hesla a měli byste ho zadat. Po přihlášení k virtuálnímu počítači se můžete přihlásit k HSM pomocí privátní IP adresy, kterou najdete na portálu pro prostředek síťového rozhraní přidružený k modulu hardwarového zabezpečení.

seznam komponent

Poznámka

Všimněte si zaškrtávacího políčka Zobrazit skryté typy, ve kterém se po výběru zobrazí prostředky HSM.

Na snímku obrazovky výše se po kliknutí na HSM1_HSMnic nebo HSM2_HSMnic zobrazí odpovídající privátní IP adresa. Jinak je az resource show výše uvedený příkaz způsob, jak identifikovat správnou IP adresu.

Pokud máte správnou IP adresu, spusťte následující příkaz, který adresu nahradí:

ssh tenantadmin@10.0.2.4

V případě úspěchu se zobrazí výzva k zadání hesla. Výchozí heslo je HESLO a HSM vás nejprve požádá o změnu hesla, takže nastavte silné heslo a použijte mechanismus, který vaše organizace preferuje k uložení hesla a zabránění ztrátě.

Důležité

Pokud toto heslo ztratíte, bude se hsm muset resetovat, což znamená ztrátu klíčů.

Když jste připojení k HSM pomocí SSH, spusťte následující příkaz, abyste zajistili, že je HSM funkční.

hsm show

Výstup by měl vypadat jako na následujícím obrázku:

Snímek obrazovky s výstupem v okně PowerShellu

V tuto chvíli jste přidělit všechny prostředky pro vysoce dostupné nasazení dvou HSM a ověřený přístup a provozní stav. Jakákoli další konfigurace nebo testování zahrnuje větší práci se samotným zařízením HSM. V takovém případě byste měli postupovat podle pokynů v příručce pro správu HSM lunárního modulu 7 společnosti Thales v kapitole 7, abyste inicializovali modul hardwarového zabezpečení a vytvořili oddíly. Veškerá dokumentace a software jsou po registraci na portálu zákaznické podpory společnosti Thales a s ID zákazníka k dispozici přímo od společnosti Thales ke stažení. Stáhněte si Klientský software verze 7.2 a získejte všechny požadované součásti.

Odstranění nebo vyčištění prostředků

Pokud jste dokončili jenom zařízení HSM, můžete ho odstranit jako prostředek a vrátit se do bezplatného fondu. Zřejmou obavou při této práci jsou jakákoli citlivá zákaznická data, která jsou na zařízení. Nejlepší způsob, jak "vynulovat" zařízení, je 3krát nesprávně získat heslo správce HSM (poznámka: toto není správce zařízení, ale skutečný správce HSM). Bezpečnostním opatřením pro ochranu klíčových materiálů není možné zařízení odstranit jako prostředek Azure, dokud nebude v nulovém stavu.

Poznámka

Pokud máte problém s jakoukoli konfigurací zařízení Thales, měli byste se obrátit na zákaznickou podporu společnosti Thales.

Pokud jste dokončili všechny prostředky v této skupině prostředků, můžete je všechny odebrat pomocí následujícího příkazu:

az group delete \
   --resource-group myRG \
   --name HSMdeploy \
   --verbose

Další kroky

Po dokončení kroků v tomto kurzu se zřizované prostředky Dedicated HSM a budete mít virtuální síť s potřebnými moduly hardwarového zabezpečení a dalšími síťovými komponentami, které umožní komunikaci s HSM. Teď máte možnost toto nasazení dokompimentovat více prostředků, které vyžaduje vaše upřednostňovaná architektura nasazení. Další informace o tom, jak naplánovat nasazení, najdete v dokumentech konceptů. Doporučuje se návrh se dvěma moduly hardwarového zabezpečení v primární oblasti, které řeší dostupnost na úrovni racku, a dva moduly hardwarového zabezpečení v sekundární oblasti, které řeší regionální dostupnost.