Oktatóanyag: HSM-ek üzembe helyezése meglévő virtuális hálózaton az Azure CLI használatával
Az Azure Dedicated HSM fizikai eszközt biztosít az egyetlen ügyfél számára, teljes körű rendszergazdai felügyelettel és teljes felügyeleti felelősséggel. A fizikai eszközök használata miatt a Microsoftnak szabályoznia kell az eszközfoglalást a kapacitás hatékony kezelése érdekében. Ennek eredményeképpen egy Azure-előfizetésen belül a dedikált HSM szolgáltatás általában nem lesz látható az erőforrás-kiépítéshez. A dedikált HSM szolgáltatáshoz hozzáférést igénylő Azure-ügyfeleknek először kapcsolatba kell lépniük a Microsoft-fiókvezetővel, hogy regisztráljanak a dedikált HSM szolgáltatásra. A kiépítés csak akkor lehetséges, ha a folyamat sikeresen befejeződött.
Ez az oktatóanyag egy tipikus kiépítési folyamatot mutat be, ahol:
- Az ügyfél már rendelkezik virtuális hálózattal
- Virtuális gépük van
- Hozzá kell adniuk a HSM-erőforrásokat a meglévő környezethez.
Egy tipikus, magas rendelkezésre állású, többrégiós üzembehelyezési architektúra a következőképpen nézhet ki:
Ez az oktatóanyag a HSM-ek és a szükséges ExpressRoute-átjárók (lásd a fenti 1. alhálózatot) egy meglévő virtuális hálózatba való integrálására összpontosít (lásd fent az 1. VNET-et). Minden más erőforrás standard Azure-erőforrás. Ugyanez az integrációs folyamat használható a 4. alhálózat HSM-jeihez a fenti 3.VNET-en.
Előfeltételek
Az Azure Dedicated HSM jelenleg nem érhető el a Azure Portal. A szolgáltatással való minden interakció parancssoron keresztül vagy a PowerShell használatával történik. Ez az oktatóanyag az Azure Cloud Shell parancssori felületét fogja használni. Ha még csak most ismerkedik az Azure CLI-vel, kövesse az azure CLI 2.0 – Első lépések című útmutatót.
Előfeltételek:
- Ön rendelkezik egy hozzárendelt Microsoft-fiókkezelővel, és megfelel az Azure-beli dedikált HSM előkészítésére és használatára való jogosultsághoz évente lekötött teljes Azure-bevételhez tartozó ötmillió (5 M USD) vagy annál nagyobb pénzügyi követelménynek.
- Végigvezettük az Azure Dedicated HSM regisztrációs folyamatán, és jóváhagytuk a szolgáltatás használatára. Ha nem, lépjen kapcsolatba a Microsoft-fiók képviselőjével a részletekért.
- Létrehozott egy erőforráscsoportot ezekhez az erőforrásokhoz, és az oktatóanyagban üzembe helyezett újak csatlakoznak ehhez a csoporthoz.
- A fenti ábrán látható módon már létrehozta a szükséges virtuális hálózatot, alhálózatot és virtuális gépeket, és most 2 HSM-et szeretne integrálni ebbe az üzembe helyezésbe.
Az alábbi utasítások feltételezik, hogy már navigált a Azure Portal, és megnyitotta a Cloud Shell (válassza a ">_" elemet a portál jobb felső részén).
Dedikált HSM kiépítése
A HSM-ek kiépítése és meglévő virtuális hálózatba való integrálása ExpressRoute-átjárón keresztül ssh-val lesz érvényesítve. Ez az ellenőrzés segít biztosítani a HSM-eszköz elérhetőségét és alapvető rendelkezésre állását a további konfigurációs tevékenységekhez.
Funkcióregisztráció érvényesítése
Ahogy fentebb említettük, minden kiépítési tevékenységhez regisztrálni kell a dedikált HSM szolgáltatást az előfizetésében. Ennek ellenőrzéséhez futtassa a következő parancsokat a Azure Portal Cloud Shell.
az feature show \
--namespace Microsoft.HardwareSecurityModules \
--name AzureDedicatedHSM
A parancsok "Regisztrált" állapotot adnak vissza (az alább látható módon). Ha a parancsok nem adják vissza a "Regisztrált" értéket, regisztrálnia kell erre a szolgáltatásra a Microsoft-fiók képviselőjével kapcsolatba lépve.
HSM-erőforrások létrehozása
A HSM-erőforrások létrehozása előtt szükség van néhány szükséges erőforrásra. Rendelkeznie kell egy virtuális hálózattal, amely alhálózati tartományokkal rendelkezik a számításhoz, a HSM-ekhez és az átjáróhoz. Az alábbi parancsok példaként szolgálnak arra, hogy mi hozhat létre ilyen virtuális hálózatot.
az network vnet create \
--name myHSM-vnet \
--resource-group myRG \
--address-prefix 10.2.0.0/16 \
--subnet-name compute \
--subnet-prefix 10.2.0.0/24
az network vnet subnet create \
--vnet-name myHSM-vnet \
--resource-group myRG \
--name hsmsubnet \
--address-prefixes 10.2.1.0/24 \
--delegations Microsoft.HardwareSecurityModules/dedicatedHSMs
az network vnet subnet create \
--vnet-name myHSM-vnet \
--resource-group myRG \
--name GatewaySubnet \
--address-prefixes 10.2.255.0/26
Megjegyzés
A virtuális hálózat legfontosabb konfigurációja, hogy a HSM-eszköz alhálózatának delegálásait "Microsoft.HardwareSecurityModules/dedicatedHSMs" értékre kell állítani. A HSM kiépítése nem működik a beállítás beállítása nélkül.
A hálózat konfigurálása után használja ezeket az Azure CLI-parancsokat a HSM-ek kiépítéséhez.
Az első HSM kiépítéséhez használja az az dedicated-hsm create parancsot. A HSM neve hsm1. Az előfizetés helyettesítése:
az dedicated-hsm create --location westus --name hsm1 --resource-group myRG --network-profile-network-interfaces \ /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnetAz üzembe helyezés körülbelül 25–30 percet vesz igénybe, mivel az idő nagy része HSM-eszközökből áll.
Az aktuális HSM megtekintéséhez futtassa az az dedicated-hsm show parancsot:
az dedicated-hsm show --resource group myRG --name hsm1A második HSM kiépítése az alábbi paranccsal:
az dedicated-hsm create --location westus --name hsm2 --resource-group myRG --network-profile-network-interfaces \ /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnetFuttassa az az dedicated-hsm list parancsot az aktuális HSM-ekkel kapcsolatos részletek megtekintéséhez:
az dedicated-hsm list --resource-group myRG
Vannak más parancsok is, amelyek hasznosak lehetnek. A HSM frissítéséhez használja az az dedicated-hsm update parancsot:
az dedicated-hsm update --resource-group myRG –-name hsm1
HSM törléséhez használja az az dedicated-hsm delete parancsot:
az dedicated-hsm delete --resource-group myRG –-name hsm1
Az üzembe helyezés ellenőrzése
Az eszközök kiépítésének ellenőrzéséhez és az eszközattribútumok megtekintéséhez futtassa a következő parancskészletet. Győződjön meg arról, hogy az erőforráscsoport megfelelően van beállítva, és az erőforrás neve pontosan olyan, mint a paraméterfájlban.
subid=$(az account show --query id --output tsv)
az resource show \
--ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM1
az resource show \
--ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM2
A kimenet a következőhöz hasonlóan néz ki:
{
"id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSMl",
"identity": null,
"kind": null,
"location": "westus",
"managedBy": null,
"name": "HSM1",
"plan": null,
"properties": {
"networkProfile": {
"networkInterfaces": [
{
"id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/networkInterfaces/HSMl_HSMnic", "privatelpAddress": "10.0.2.5",
"resourceGroup": "HSM-RG"
}
L
"subnet": {
"id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/virtualNetworks/demo-vnet/subnets/hsmsubnet", "resourceGroup": "HSM-RG"
}
},
"provisioningState": "Succeeded",
"stampld": "stampl",
"statusMessage": "The Dedicated HSM device is provisioned successfully and ready to use."
},
"resourceGroup": "HSM-RG",
"sku": {
"capacity": null,
"family": null,
"model": null,
"name": "SafeNet Luna Network HSM A790",
"size": null,
"tier": null
},
"tags": {
"Environment": "prod",
"resourceType": "Hsm"
},
"type": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}
Most már az Azure Erőforrás-kezelővel is megtekintheti az erőforrásokat. Az explorerben bontsa ki a bal oldalon az "előfizetések" elemet, bontsa ki a dedikált HSM-előfizetést, bontsa ki az "erőforráscsoportok" elemet, bontsa ki a használt erőforráscsoportot, és végül válassza ki az "erőforrások" elemet.
Az üzembe helyezés tesztelése
Az üzembe helyezés tesztelése egy olyan virtuális géphez való csatlakozás, amely hozzáfér a HSM(ek)hez, majd közvetlenül a HSM-eszközhöz csatlakozik. Ezek a műveletek megerősítik, hogy a HSM elérhető. Az ssh-eszköz a virtuális géphez való csatlakozásra szolgál. A parancs a következőhöz hasonló lesz, de a paraméterben megadott rendszergazdai névvel és DNS-névvel.
ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com
A virtuális gép IP-címe a dns-név helyett is használható a fenti parancsban. Ha a parancs sikeres, a rendszer jelszót kér, és ezt meg kell adnia. Miután bejelentkezett a virtuális gépre, bejelentkezhet a HSM-be a HSM-hez társított hálózati adapter erőforrásának portálon található magánhálózati IP-címével.
Megjegyzés
Figyelje meg a "Rejtett típusok megjelenítése" jelölőnégyzetet, amely ha be van jelölve, akkor a HSM-erőforrások jelennek meg.
A fenti képernyőképen a "HSM1_HSMnic" vagy a "HSM2_HSMnic" elemre kattintva megjelenik a megfelelő magánhálózati IP-cím. Ellenkező esetben a az resource show fenti parancs a megfelelő IP-cím azonosítására szolgál.
Ha a megfelelő IP-címmel rendelkezik, futtassa a következő parancsot a cím helyettesítésére:
ssh tenantadmin@10.0.2.4
Ha a művelet sikeres, a rendszer jelszót fog kérni. Az alapértelmezett jelszó a JELSZÓ, és a HSM először megkéri, hogy módosítsa a jelszavát, ezért állítson be erős jelszót, és használjon bármilyen mechanizmust, amelyet a szervezet inkább a jelszó tárolására és a veszteség megelőzésére használ.
Fontos
Ha elveszíti ezt a jelszót, a HSM-et alaphelyzetbe kell állítani, ami a kulcsok elvesztését jelenti.
Ha ssh-val csatlakozik a HSM-hez, futtassa a következő parancsot annak ellenőrzéséhez, hogy a HSM működik-e.
hsm show
A kimenetnek az alábbi képen látható módon kell kinéznie:
Ezen a ponton lefoglalta az összes erőforrást egy magas rendelkezésre állású, két HSM üzemelő példányhoz, valamint az ellenőrzött hozzáféréshez és működési állapothoz. Minden további konfiguráció vagy tesztelés magában foglalja a HSM-eszközzel való további munkát. Ehhez kövesse a Thales Luna 7 HSM felügyeleti útmutatójának 7. fejezetében található utasításokat a HSM inicializálásához és partíciók létrehozásához. Minden dokumentáció és szoftver letölthető közvetlenül a Thalesből, miután regisztrált a Thales ügyfélszolgálati portálján , és rendelkezik ügyfél-azonosítóval. Töltse le az ügyfélszoftver 7.2-es verzióját az összes szükséges összetevő beszerzéséhez.
Erőforrások törlése vagy törlése
Ha csak a HSM-eszközzel végzett, akkor az erőforrásként törölhető, és visszakerülhet az ingyenes készletbe. Ennek során nyilvánvaló, hogy az eszközön található bizalmas ügyféladatokról van szó. Az eszközök "nullázásának" legjobb módja, ha háromszor hibásan kapja meg a HSM-rendszergazdai jelszót (megjegyzés: ez nem berendezés-rendszergazda, hanem a tényleges HSM-rendszergazda). A kulcsfontosságú anyagok védelmének biztonsági intézkedéseként az eszköz nem törölhető Azure-erőforrásként, amíg nem nulladik állapotban van.
Megjegyzés
Ha bármilyen Thales-eszközkonfigurációval kapcsolatban problémát tapasztal, forduljon a Thales ügyfélszolgálatához.
Ha végzett az erőforráscsoport összes erőforrásával, az alábbi paranccsal távolíthatja el őket:
az group delete \
--resource-group myRG \
--name HSMdeploy \
--verbose
Következő lépések
Az oktatóanyag lépéseinek elvégzése után a dedikált HSM-erőforrások ki lesznek építve, és rendelkezik egy virtuális hálózattal, amely rendelkezik a szükséges HSM-ekkel és további hálózati összetevőkkel a HSM-sel való kommunikáció engedélyezéséhez. Most már több erőforrással egészítheti ki ezt az üzembe helyezést az előnyben részesített üzembe helyezési architektúra által igényelt erőforrásokkal. Az üzembe helyezés megtervezésével kapcsolatos további információkért tekintse meg az Alapfogalmakat ismertető dokumentumokat. Ajánlott két HSM-et létrehozni egy elsődleges régióban, amely az állvány szintjén kezeli a rendelkezésre állást, és két HSM-et egy másodlagos régióban, amely a regionális rendelkezésre állást kezeli.