Kurz – nasazení HSM do existující virtuální sítě pomocí prostředí PowerShell

Vyhrazená služba HSM v Azure poskytuje fyzické zařízení pro použití výhradně pro zákazníky s úplnou správou a plnou zodpovědností na správu. Z důvodu poskytnutí fyzického hardwaru musí Microsoft určit, jak jsou tato zařízení přidělená, aby bylo zajištěno, že se kapacita bude efektivně spravovat. V důsledku toho se vyhrazená služba HSM v rámci předplatného Azure nebude normálně zobrazovat pro zřizování prostředků. Každý zákazník Azure, který vyžaduje přístup k vyhrazené službě HSM, musí nejdřív kontaktovat svého účet Microsoftho vedoucího, aby požádal o registraci vyhrazené služby HSM. Jenom po úspěšném dokončení tohoto procesu bude zřízení možné. Tento kurz má za cíl zobrazit typický proces zřizování, kde:

• Zákazník už má virtuální síť.
• Mají virtuální počítač
• Musí do tohoto stávajícího prostředí přidávat prostředky HSM.

Typická, vysoká dostupnost, architektura nasazení ve více oblastech, může vypadat takto:

Tento kurz se zaměřuje na pár HSM a požadovanou bránu ExpressRoute (viz podsíť 1 výše), která se integruje do existující virtuální sítě (viz virtuální síť 1 výše). Všechny ostatní prostředky jsou standardní prostředky Azure. Stejný proces integrace lze použít pro HSM v podsíti 4 ve virtuální síti 3 výše.

Požadavky

Vyhrazený modul HARDWAROVÉho zabezpečení Azure není v Azure Portal aktuálně k dispozici, takže veškerá interakce se službou bude prostřednictvím příkazového řádku nebo pomocí PowerShellu. V tomto kurzu použijete PowerShell v Azure Cloud Shell. Pokud prostředí PowerShell začínáte, postupujte podle pokynů v části Začínáme: Azure PowerShell Začínáme.

Předpoklady:

• Procházeli jste prostřednictvím vyhrazeného procesu registrace HSM Azure a bylo schváleno pro používání služby. Pokud ne, požádejte o další informace svého zástupce účet Microsoft.
• Vytvořili jste skupinu prostředků pro tyto prostředky a nově nasazená v tomto kurzu se připojí k této skupině.
• Už jste vytvořili potřebnou virtuální síť, podsíť a virtuální počítače podle diagramu výše a teď chcete do tohoto nasazení integrovat 2 HSM.

Všechny níže uvedené pokyny předpokládají, že jste již přešli na Azure Portal a že jste otevřeli Cloud Shell (vyberte " > _ " směrem nahoru v pravém horním rohu portálu).

Zřizování vyhrazeného modulu HSM

Zřizování HSM a integrace do existující virtuální sítě prostřednictvím brány ExpressRoute se ověří pomocí nástroje příkazového řádku SSH, aby se zajistila dostupnost a základní dostupnost zařízení HSM pro všechny další konfigurační aktivity. Následující příkazy použijí šablonu Správce prostředků k vytvoření prostředků HSM a přidružených síťových prostředků.

Ověřování registrace funkce

Jak je uvedeno výše, všechny aktivity zřizování vyžadují, aby byla pro vaše předplatné zaregistrovaná vyhrazená služba HSM. Pokud to chcete ověřit, spusťte následující příkaz prostředí PowerShell ve službě Azure Portal Cloud Shell.

Get-AzProviderFeature -ProviderNamespace Microsoft.HardwareSecurityModules -FeatureName AzureDedicatedHsm

Příkaz by měl vrátit stav "registrováno" (jak je vidět níže), než budete pokračovat dál. Pokud jste pro tuto službu nezaregistrovali, obraťte se na svého zástupce účet Microsoft.

Vytváření prostředků HSM

Zařízení HSM se zřídí do virtuální sítě zákazníků. To předpokládá požadavek na podsíť. Závislost modulu HARDWAROVÉho zabezpečení, která umožňuje komunikaci mezi virtuální sítí a fyzickým zařízením, je bránou ExpressRoutea nakonec je pro přístup k zařízení HSM pomocí klientského softwaru Thales potřeba virtuální počítač. Tyto prostředky byly shromážděny do souboru šablony s odpovídajícím souborem parametrů pro snadné použití. Soubory jsou k dispozici kontaktováním společnosti Microsoft přímo na adrese HSMrequest@Microsoft.com .

Jakmile budete mít soubory, musíte upravit soubor parametrů a vložit tak preferované názvy prostředků. To znamená, že se upravují řádky s hodnotou:.

• namingInfix Předpona názvů prostředků HSM
• ExistingVirtualNetworkName Název virtuální sítě použité pro HSM
• DedicatedHsmResourceName1 Název prostředku HSM v razítku Datacenter 1
• DedicatedHsmResourceName2 Název prostředku HSM v razítku Datacenter 2
• hsmSubnetRange Rozsah IP adres podsítě pro HSM
• ERSubnetRange Rozsah IP adres podsítě pro bránu virtuální sítě

Příklad těchto změn je následující:

{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "namingInfix": {
      "value": "MyHSM"
    },
    "ExistingVirtualNetworkName": {
      "value": "MyHSM-vnet"
    },
    "DedicatedHsmResourceName1": {
      "value": "HSM1"
    },
    "DedicatedHsmResourceName2": {
      "value": "HSM2"
    },
    "hsmSubnetRange": {
      "value": "10.0.2.0/24"
    },
    "ERSubnetRange": {
      "value": "10.0.255.0/26"
    },
  }
}

Přidružený soubor šablony Správce prostředků vytvoří 6 prostředků s těmito informacemi:

• Podsíť pro HSM v zadané virtuální síti
• Podsíť pro bránu virtuální sítě
• Brána virtuální sítě, která připojuje virtuální síť k zařízením HSM
• Veřejná IP adresa brány
• HSM v razítku 1
• HSM na razítku 2

Po nastavení hodnot parametrů je potřeba odeslat soubory do Azure Portal sdílené složky Cloud Shell pro použití. V Azure Portal klikněte v > _ pravém horním rohu na symbol "Cloud Shell" a tím se v dolní části obrazovky zobrazí příkazové prostředí. Možnosti pro toto jsou BASH a PowerShell a pokud ještě nejsou nastavené, měli byste vybrat BASH.

Příkazové prostředí má na panelu nástrojů možnost odeslat/stáhnout a tuto šablonu byste měli vybrat k nahrání šablony a souborů parametrů do sdílené složky:

Po nahrání souborů jste připraveni k vytváření prostředků. Před vytvořením nových prostředků HSM jsou k dispozici některé nezbytné prostředky, které byste měli zajistit. Musíte mít virtuální síť s rozsahy podsítí pro výpočetní výkon, HSM a bránu. Následující příkazy slouží jako příklad toho, co by vytvořilo takovou virtuální síť.

$compute = New-AzVirtualNetworkSubnetConfig `
  -Name compute `
  -AddressPrefix 10.2.0.0/24

$delegation = New-AzDelegation `
  -Name "myDelegation" `
  -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

$hsmsubnet = New-AzVirtualNetworkSubnetConfig ` 
  -Name hsmsubnet ` 
  -AddressPrefix 10.2.1.0/24 ` 
  -Delegation $delegation 

$gwsubnet= New-AzVirtualNetworkSubnetConfig `
  -Name GatewaySubnet `
  -AddressPrefix 10.2.255.0/26

New-AzVirtualNetwork `
  -Name myHSM-vnet `
  -ResourceGroupName myRG `
  -Location westus `
  -AddressPrefix 10.2.0.0/16 `
  -Subnet $compute, $hsmsubnet, $gwsubnet

Až budou všechny požadavky splněné, spusťte následující příkaz, který bude používat šablonu Správce prostředků, a ujistěte se, že máte aktualizované hodnoty s jedinečnými názvy (aspoň název skupiny prostředků):

New-AzResourceGroupDeployment -ResourceGroupName myRG `
     -TemplateFile .\Deploy-2HSM-toVNET-Template.json `
     -TemplateParameterFile .\Deploy-2HSM-toVNET-Params.json `
     -Name HSMdeploy -Verbose

Dokončení tohoto příkazu by mělo trvat přibližně 20 minut. Použije se možnost-verbose, aby se stav průběžně zobrazoval.

Po úspěšném dokončení se zobrazí zpráva "provisioningState": "úspěch", můžete se přihlásit ke stávajícímu virtuálnímu počítači a použít SSH k zajištění dostupnosti zařízení HSM.

Ověřování nasazení

Pokud chcete ověřit zřízení zařízení a zobrazit atributy zařízení, spusťte následující sadu příkazů. Ujistěte se, že je správně nastavená skupina prostředků a že je název prostředku přesně stejný jako v souboru parametrů.

$subid = (Get-AzContext).Subscription.Id
$resourceGroupName = "myRG"
$resourceName = "HSM1"  
Get-AzResource -Resourceid /subscriptions/$subId/resourceGroups/$resourceGroupName/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/$resourceName

Nyní budete moci zobrazit prostředky pomocí Průzkumníka prostředků Azure. V Průzkumníkovi rozbalte na levé straně předplatná, rozbalte konkrétní předplatné pro vyhrazený modul HSM, rozbalte položku skupiny prostředků, rozbalte skupinu prostředků, kterou jste použili, a nakonec vyberte položku prostředky.

Testování nasazení

Testování nasazení je případ, kdy se připojujete k virtuálnímu počítači, který má přístup k modulům HSM a pak se připojuje přímo k zařízení HSM. Tyto akce potvrdí, že modul HARDWAROVÉho zabezpečení bude dostupný. Nástroj SSH se používá pro připojení k virtuálnímu počítači. Příkaz bude podobný následujícímu, ale s názvem správce a názvem DNS, který jste zadali v parametru.

ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com

Heslo, které se má použít, je ten ze souboru parametrů. Po přihlášení k virtuálnímu počítači se systémem Linux se můžete přihlásit k modulu HSM pomocí privátní IP adresy, kterou najdete na portálu pro <prefix> hsm_vnic prostředku.

(Get-AzResource -ResourceGroupName myRG -Name HSMdeploy -ExpandProperties).Properties.networkProfile.networkInterfaces.privateIpAddress

Po zadání IP adresy spusťte následující příkaz:

ssh tenantadmin@<ip address of HSM>

V případě úspěchu se zobrazí výzva k zadání hesla. Výchozí heslo je heslo. Modul HARDWAROVÉho zabezpečení vás vyzve, abyste změnili heslo, takže si nastavili silné heslo a použijete jakýkoliv mechanismus, který vaše organizace upřednostňuje k uložení hesla a zabránění ztrátám.

Když jste se připojili k zařízení HSM pomocí SSH, spusťte následující příkaz, aby se zajistilo fungování modulu HARDWAROVÉho zabezpečení.

hsm show

Výstup by měl vypadat jako obrázek uvedený níže:

V tuto chvíli jste přidělili všechny prostředky pro vysoce dostupný, dva nasazení HSM a ověřený přístup a provozní stav. Jakákoli další konfigurace nebo testování zahrnuje více práce se samotným zařízením HSM. V takovém případě byste měli postupovat podle pokynů v příručce pro správu HSM Thales Luna 7 Kapitola 7 a inicializovat modul HSM a vytvořit oddíly. Veškerá dokumentace a software jsou k dispozici přímo z Thales ke stažení, jakmile se zaregistrujete na portálu zákaznické podpory Thales a máte ID zákazníka. Stáhněte si klientský software verze 7,2, abyste získali všechny požadované součásti.

Odstranění nebo vyčištění prostředků

Pokud jste hotovi s pouze zařízením HSM, pak ho můžete odstranit jako prostředek a vrátit se do bezplatného fondu. Zjevné obavy při tom, že se jedná o veškerá citlivá zákaznická data, která jsou na zařízení. Nejlepším způsobem, jak "zeroize", zařízení je získat heslo správce HSM nesprávně třikrát (Poznámka: Toto není správce zařízení, je to skutečný správce HSM). Jako bezpečnostní opatření k ochraně klíčových materiálů se zařízení nedá odstranit jako prostředek Azure, dokud nebude v nenulovém stavu.

Pokud chcete odebrat prostředek HSM v Azure, můžete použít následující příkaz, který nahradí proměnné "$" pomocí jedinečných parametrů:

$subid = (Get-AzContext).Subscription.Id
$resourceGroupName = "myRG" 
$resourceName = "HSMdeploy"  
Remove-AzResource -Resourceid /subscriptions/$subId/resourceGroups/$resourceGroupName/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/$resourceName 

Další kroky

Po dokončení kroků v tomto kurzu jsou vyhrazené prostředky HSM zřízené a dostupné ve vaší virtuální síti. Nyní jste na pozici, abyste si toto nasazení vyžádali o další prostředky, jak je vyžaduje upřednostňovaná architektura nasazení. Další informace o pomoc při plánování nasazení najdete v tématu koncepty dokumentů. Návrh se dvěma Hsmy v primární oblasti, která adresuje dostupnost na úrovni racku, a dvě HSM v sekundární oblasti, která řeší dostupnost pro regionální účely, se doporučuje. Soubor šablony použitý v tomto kurzu se dá snadno použít jako základ pro dvě nasazení HSM, ale musí mít změněné své parametry, aby splňovaly vaše požadavky.

• Vysoká dostupnost
• Fyzické zabezpečení
• Sítě
• Monitorování
• Možnosti podpory