Kurz: Nasazení modulů HSM do existující virtuální sítě pomocí Azure CLI

  • Článek

Azure Dedicated HSM poskytuje fyzické zařízení pro použití jediným zákazníkem s úplnou kontrolou správy a plnou odpovědností za správu. Používání fyzických zařízení vytváří potřebu, aby Společnost Microsoft ovládla přidělování zařízení, aby se zajistila efektivní správa kapacity. V důsledku toho nebude služba Dedicated HSM v rámci předplatného Azure normálně viditelná pro zřizování prostředků. Každý zákazník Azure, který vyžaduje přístup ke službě Dedicated HSM, musí nejprve kontaktovat svého vedoucího účtu Microsoftu a požádat o registraci služby Dedicated HSM. Zřízení bude možné pouze po úspěšném dokončení tohoto procesu.

Tento kurz ukazuje typický proces zřizování, kde:

  • Zákazník už má virtuální síť.
  • Mají virtuální počítač.
  • Do stávajícího prostředí musí přidat prostředky HSM.

Typická architektura nasazení s vysokou dostupností ve více oblastech může vypadat takto:

Nasazení ve více oblastech

Tento kurz se zaměřuje na integraci dvojice modulů HSM a požadované brány ExpressRoute (viz Podsíť 1 výše) do existující virtuální sítě (viz virtuální síť 1 výše). Všechny ostatní prostředky jsou standardní prostředky Azure. Stejný proces integrace je možné použít pro moduly HSM v podsíti 4 ve virtuální síti 3 výše.

Požadavky

Azure Dedicated HSM v současné době není v Azure Portal k dispozici. Veškerá interakce se službou bude přes příkazový řádek nebo PowerShell. V tomto kurzu se použije rozhraní příkazového řádku (CLI) v Azure Cloud Shell. Pokud s Azure CLI začínáte, postupujte podle pokynů začínáme tady: Azure CLI 2.0 Začínáme.

Předpoklady:

  • Máte přiřazeného Správce účtů Microsoftu a splňujete peněžní požadavek 5 milionů (5 milionů USD) v celkových výnosech z Azure ročně, abyste měli nárok na onboarding a používání služby Azure Dedicated HSM.
  • Prošli jste procesem registrace služby Azure Dedicated HSM a schválili jste použití služby. Pokud ne, požádejte o podrobnosti zástupce účtu Microsoft.
  • Vytvořili jste pro tyto prostředky skupinu prostředků a nové prostředky nasazené v tomto kurzu se k této skupině připojí.
  • Už jste podle diagramu výše vytvořili potřebnou virtuální síť, podsíť a virtuální počítače a teď chcete do nasazení integrovat 2 moduly HSM.

Všechny následující pokyny předpokládají, že jste už přešli na Azure Portal a otevřeli jste Cloud Shell (v pravém horním rohu portálu vyberte _>).

Zřízení vyhrazeného modulu HSM

Zřizování modulů HSM a jejich integrace do existující virtuální sítě prostřednictvím brány ExpressRoute se ověří pomocí SSH. Toto ověření pomáhá zajistit dostupnost a základní dostupnost zařízení HSM pro jakékoli další aktivity konfigurace.

Ověřování registrace funkcí

Jak je uvedeno výše, každá aktivita zřizování vyžaduje, aby pro vaše předplatné byla zaregistrovaná služba Dedicated HSM. Pokud to chcete ověřit, spusťte v Azure Portal Cloud Shell následující příkazy.

az feature show \
   --namespace Microsoft.HardwareSecurityModules \
   --name AzureDedicatedHSM

Příkazy by měly vrátit stav "Registrováno" (jak je znázorněno níže). Pokud příkazy nevrátí "Zaregistrováno", musíte se k této službě zaregistrovat tak, že se obraťte na svého zástupce microsoftu.

stav předplatného

Vytváření prostředků HSM

Před vytvořením prostředků HSM potřebujete některé požadované prostředky. Musíte mít virtuální síť s rozsahy podsítí pro výpočetní prostředky, hsmy a brány. Následující příkazy slouží jako příklad vytvoření takové virtuální sítě.

az network vnet create \
  --name myHSM-vnet \
  --resource-group myRG \
  --address-prefix 10.2.0.0/16 \
  --subnet-name compute \
  --subnet-prefix 10.2.0.0/24

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name hsmsubnet \
  --address-prefixes 10.2.1.0/24 \
  --delegations Microsoft.HardwareSecurityModules/dedicatedHSMs

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name GatewaySubnet \
  --address-prefixes 10.2.255.0/26

Poznámka

Nejdůležitější konfigurací virtuální sítě je, že podsíť pro zařízení HSM musí mít delegování nastavená na Microsoft.HardwareSecurityModules/dedicatedHSMs. Bez nastavení této možnosti nebude zřizování HSM fungovat.

Po konfiguraci sítě pomocí těchto příkazů Azure CLI zřiďte moduly HSM.

  1. Pomocí příkazu az dedicated-hsm create zřiďte první modul HSM. HsM má název hsm1. Nahraďte předplatné:

    az dedicated-hsm create --location westus --name hsm1 --resource-group myRG --network-profile-network-interfaces \
     /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet

    Dokončení tohoto nasazení by mělo trvat přibližně 25 až 30 minut, přičemž většinu tohoto času tvoří zařízení HSM.

  2. Pokud chcete zobrazit aktuální hsm, spusťte příkaz az dedicated-hsm show :

    az dedicated-hsm show --resource group myRG --name hsm1

  3. Druhý modul HSM zřiďte pomocí tohoto příkazu:

    az dedicated-hsm create --location westus --name hsm2 --resource-group myRG --network-profile-network-interfaces \
     /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet

  4. Spuštěním příkazu az dedicated-hsm list zobrazte podrobnosti o vašich aktuálních modulech HSM:

    az dedicated-hsm list --resource-group myRG

Existují některé další příkazy, které by mohly být užitečné. K aktualizaci HSM použijte příkaz az dedicated-hsm update :

az dedicated-hsm update --resource-group myRG –-name hsm1

K odstranění modulu HSM použijte příkaz az dedicated-hsm delete :

az dedicated-hsm delete --resource-group myRG –-name hsm1

Ověření nasazení

Pokud chcete ověřit zřízení zařízení a zobrazit atributy zařízení, spusťte následující sadu příkazů. Ujistěte se, že je skupina prostředků správně nastavená a název prostředku je přesně stejný jako v souboru parametrů.

subid=$(az account show --query id --output tsv)
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM1
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM2

Výstup vypadá přibližně jako následující výstup:

{
    "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSMl",
    "identity": null,
    "kind": null,
    "location": "westus",
    "managedBy": null,
    "name": "HSM1",
    "plan": null,
    "properties": {
        "networkProfile": {
            "networkInterfaces": [
            {
            "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/networkInterfaces/HSMl_HSMnic", "privatelpAddress": "10.0.2.5",
            "resourceGroup": "HSM-RG"
            }
            L
            "subnet": {
                "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/virtualNetworks/demo-vnet/subnets/hsmsubnet", "resourceGroup": "HSM-RG"
            }
        },
        "provisioningState": "Succeeded",
        "stampld": "stampl",
        "statusMessage": "The Dedicated HSM device is provisioned successfully and ready to use."
    },
    "resourceGroup": "HSM-RG",
    "sku": {
        "capacity": null,
        "family": null,
        "model": null,
        "name": "SafeNet Luna Network HSM A790",
        "size": null,
        "tier": null
    },
    "tags": {
        "Environment": "prod",
        "resourceType": "Hsm"
    },
    "type": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}

Teď také budete moct zobrazit prostředky pomocí Průzkumníka prostředků Azure. Jakmile budete v průzkumníku, rozbalte na levé straně předplatná, rozbalte své konkrétní předplatné pro Dedicated HSM, rozbalte "skupiny prostředků", rozbalte skupinu prostředků, kterou jste použili, a nakonec vyberte položku "resources".

Testování nasazení

Testování nasazení je případ připojení k virtuálnímu počítači, který má přístup k modulům HSM a pak se připojí přímo k zařízení HSM. Tyto akce potvrdí, že hsm je dostupný. Nástroj ssh se používá k připojení k virtuálnímu počítači. Příkaz bude podobný následujícímu, ale bude mít název správce a název DNS, který jste zadali v parametru.

ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com

IP adresu virtuálního počítače je možné použít také místo názvu DNS ve výše uvedeném příkazu. Pokud je příkaz úspěšný, zobrazí se výzva k zadání hesla a měli byste ho zadat. Po přihlášení k virtuálnímu počítači se můžete k modulu HSM přihlásit pomocí privátní IP adresy, která se nachází na portálu pro prostředek síťového rozhraní přidruženého k HSM.

seznam součástí

Poznámka

Všimněte si zaškrtávacího políčka Zobrazit skryté typy, které po výběru zobrazí prostředky HSM.

Na výše uvedeném snímku obrazovky se po kliknutí na HSM1_HSMnic nebo HSM2_HSMnic zobrazí příslušná privátní IP adresa. V opačném az resource show případě výše použitý příkaz představuje způsob, jak identifikovat správnou IP adresu.

Pokud máte správnou IP adresu, spusťte následující příkaz, který tuto adresu nahrazuje:

ssh tenantadmin@10.0.2.4

V případě úspěchu se zobrazí výzva k zadání hesla. Výchozí heslo je HESLO a HSM vás nejprve vyzve ke změně hesla, abyste nastavili silné heslo a použili jakýkoli mechanismus, který vaše organizace preferuje, aby se heslo uložilo a zabránilo jeho ztrátě.

Důležité

Pokud toto heslo ztratíte, bude nutné hsm resetovat, což znamená ztrátu klíčů.

Když jste připojení k HSM pomocí ssh, spusťte následující příkaz, aby se zajistilo, že je HSM funkční.

hsm show

Výstup by měl vypadat tak, jak je znázorněno na následujícím obrázku:

Snímek obrazovky znázorňující výstup v okně PowerShellu

V tomto okamžiku jste přidělili všechny prostředky pro vysoce dostupné, dvě nasazení HSM a ověřený přístup a provozní stav. Jakákoli další konfigurace nebo testování zahrnuje větší práci se samotným zařízením HSM. K tomu byste měli postupovat podle pokynů v příručce pro správu HSM Thales Luna 7 v kapitole 7, abyste inicializovali HSM a vytvořili oddíly. Veškerá dokumentace a software jsou k dispozici přímo z Thales ke stažení, jakmile jste zaregistrovaní na portálu zákaznické podpory Thales a budete mít ID zákazníka. Stáhněte si klientský software verze 7.2 a získejte všechny požadované komponenty.

Odstranění nebo vyčištění prostředků

Pokud jste dokončili jenom zařízení HSM, můžete ho odstranit jako prostředek a vrátit ho do bezplatného fondu. Očividným problémem při tom jsou veškerá citlivá zákaznická data, která jsou na zařízení. Nejlepším způsobem, jak zařízení "vynulovat", je třikrát zobrazit nesprávné heslo správce HSM (poznámka: nejedná se o správce zařízení, ale o skutečného správce HSM). Jako bezpečnostní opatření pro ochranu klíčového materiálu není možné zařízení odstranit jako prostředek Azure, dokud nebude ve stavu zeroized.

Poznámka

Pokud máte problém s konfigurací zařízení Thales, měli byste kontaktovat zákaznickou podporu společnosti Thales.

Pokud jste dokončili všechny prostředky v této skupině prostředků, můžete je všechny odebrat pomocí následujícího příkazu:

az group delete \
   --resource-group myRG \
   --name HSMdeploy \
   --verbose

Další kroky

Po dokončení kroků v tomto kurzu se zřídí vyhrazené prostředky HSM a máte virtuální síť s potřebnými moduly HSM a dalšími síťovými komponentami, které umožňují komunikaci s HSM. Teď můžete toto nasazení doplnit o další prostředky, které vyžaduje upřednostňovaná architektura nasazení. Další informace o plánování nasazení najdete v dokumentech o konceptech. Doporučuje se návrh se dvěma moduly HARDWAROVÉHO ZABEZPEČENÍ v primární oblasti, které řeší dostupnost na úrovni racku, a dvěma moduly hardwarového zabezpečení v sekundární oblasti, které řeší regionální dostupnost.