Zelfstudie: HSM's implementeren in een bestaand virtueel netwerk met behulp van Azure CLI

Azure Toegewezen HSM biedt een fysiek apparaat voor gebruik door één klant, met volledige beheer en verantwoordelijkheid voor volledig beheer. Door het gebruik van fysieke apparaten moet de apparaattoewijzing worden beheerd in Microsoft om ervoor te zorgen dat de capaciteit effectief wordt beheerd. Dit betekent dat de Toegewezen HSM-service in een Azure-abonnement niet gewoon zichtbaar is voor de inrichting van resources. Elke Azure-klant die toegang nodig heeft tot de Toegewezen HSM-service, moet eerst contact opnemen met de beheerder van zijn Microsoft-account om registratie aan te vragen voor de Toegewezen HSM-service. Pas wanneer dit proces is voltooid, is inrichting mogelijk.

In deze zelfstudie wordt een typisch inrichtingsproces getoond, waarin:

• Een klant al een virtueel netwerk heeft
• De klant een virtuele machine heeft
• De klant HSM-resources moet toevoegen aan de bestaande omgeving.

Een typische implementatiearchitectuur met hoge beschikbaarheid in meerdere regio's kan er als volgt uitzien:

Deze zelfstudie is gericht op een paar HMS's en de vereiste ExpressRoute-gateway (zie Subnet 1 hierboven) die worden geïntegreerd in een bestaand virtueel netwerk (zie VNET 1 hierboven). Alle andere resources zijn standaard Azure-resources. Hetzelfde integratieproces kan worden gebruikt voor HSM's in subnet 4 op VNET 3 hierboven.

Vereisten

Azure Toegewezen HSM is momenteel niet beschikbaar in de Azure-portal. Alle interactie met de service verloopt via de opdrachtregel of met behulp van PowerShell. In deze zelfstudie wordt gebruikgemaakt van de CLI (opdrachtregelinterface) in Azure Cloud Shell. Volg de instructies om aan de slag te gaan als u niet bekend bent met Azure CLI: Aan de slag met de Azure CLI 2.0.

Veronderstellingen:

• U hebt het registratieproces van Azure Toegewezen HSM voltooid
• U bent goedgekeurd voor het gebruik van de service. Als dit niet het geval is, neemt u contact op met de vertegenwoordiger van uw Microsoft-account voor meer informatie.
• U hebt een resourcegroep voor deze resources gemaakt en de nieuwe resources die u in deze zelfstudie hebt geïmplementeerd, gaan deel uitmaken van deze groep.
• U hebt het benodigde virtuele netwerk, het subnet en de virtuele machines al gemaakt aan de hand van het diagram hierboven en nu wilt u 2 HSM's integreren in deze implementatie.

In alle onderstaande instructies wordt ervan uitgegaan dat u al naar de Azure-portal bent gegaan en Cloud Shell hebt geopend (selecteer '>_' in de rechterbovenhoek van de portal).

Een toegewezen HSM inrichten

Het inrichten van HMS's en het integreren ervan in een bestaand virtueel netwerk via een ExpressRoute-gateway wordt gevalideerd met behulp van ssh. Deze validatie zorgt voor bereikbaarheid en basisbeschikbaarheid van het HSM-apparaat bij verdere configuratieactiviteiten.

Functieregistratie valideren

Zoals hierboven is uitgelegd, vereist elke inrichtingsactiviteit dat de Toegewezen HSM-service voor uw abonnement wordt geregistreerd. Om deze te valideren, voert u de volgende opdracht uit in de Cloud Shell van Azure Portal.

az feature show \
   --namespace Microsoft.HardwareSecurityModules \
   --name AzureDedicatedHSM

De opdrachten moeten de status 'Geregistreerd' retourneren (zoals hieronder wordt weergegeven). Als de opdrachten de status 'Geregistreerd' niet retourneren, moet u zich registreren voor deze service. Neem hiervoor contact op met de vertegenwoordiger van het Microsoft-account.

HSM-resources maken

Voordat u HSM-resources gaat maken, hebt u enkele vereiste resources nodig. U moet een virtueel netwerk hebben met subnetbereiken voor compute, HSM's en gateway. De volgende opdrachten zijn een voorbeeld van hoe een dergelijk virtueel netwerk wordt gemaakt.

az network vnet create \
  --name myHSM-vnet \
  --resource-group myRG \
  --address-prefix 10.2.0.0/16 \
  --subnet-name compute \
  --subnet-prefix 10.2.0.0/24

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name hsmsubnet \
  --address-prefixes 10.2.1.0/24 \
  --delegations Microsoft.HardwareSecurityModules/dedicatedHSMs

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name GatewaySubnet \
  --address-prefixes 10.2.255.0/26

Nadat u uw netwerk hebt geconfigureerd, gebruikt u deze Azure CLI-opdrachten om uw HSM's in te richten.

1. Gebruik de opdracht az dedicated-hsm create om de eerste HSM in te richten. De HSM heet hsm1. Vervang uw abonnement:

   az dedicated-hsm create --location westus --name hsm1 --resource-group myRG --network-profile-network-interfaces \
        /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet
   

   Het duurt gewoonlijk maximaal 25 tot 30 minuten totdat deze implementatie is voltooid, waarvan het grootste gedeelte wordt gebruikt voor de HSM-apparaten.

2. Als u een huidige HSM wilt bekijken, voert u de opdracht az dedicated-hsm show uit:

   az dedicated-hsm show --resource group myRG --name hsm1
   

3. Richt de tweede HSM in met behulp van deze opdracht:

   az dedicated-hsm create --location westus --name hsm2 --resource-group myRG --network-profile-network-interfaces \
        /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet
   

4. Voer de opdracht az dedicated-hsm list uit om gegevens van uw huidige HSM's weer te geven:

   az dedicated-hsm list --resource-group myRG
   

Er zijn een aantal andere opdrachten die nuttig kunnen zijn. U kunt de opdracht az dedicated-hsm update gebruiken om een HSM bij te werken:

az dedicated-hsm update --resource-group myRG –name hsm1

Als u een HSM wilt verwijderen, gebruikt u de opdracht az dedicated-hsm delete:

az dedicated-hsm delete --resource-group myRG –name hsm1

De implementatie controleren

Voer de volgende opdrachtenset uit om te controleren of de apparaten zijn ingericht en de apparaatkenmerken weer te geven. Controleer of de resourcegroep op de juiste wijze is ingesteld en de resourcenaam overeenkomt met die in het parameterbestand.

subid=$(az account show --query id --output tsv)
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM1
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM2

De uitvoer ziet er ongeveer als volgt uit:

{
    "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSMl",
    "identity": null,
    "kind": null,
    "location": "westus",
    "managedBy": null,
    "name": "HSM1",
    "plan": null,
    "properties": {
        "networkProfile": {
            "networkInterfaces": [
            {
            "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/networkInterfaces/HSMl_HSMnic", "privatelpAddress": "10.0.2.5",
            "resourceGroup": "HSM-RG"
            }
            L
            "subnet": {
                "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/virtualNetworks/demo-vnet/subnets/hsmsubnet", "resourceGroup": "HSM-RG"
            }
        },
        "provisioningState": "Succeeded",
        "stampld": "stampl",
        "statusMessage": "The Dedicated HSM device is provisioned successfully and ready to use."
    },
    "resourceGroup": "HSM-RG",
    "sku": {
        "capacity": null,
        "family": null,
        "model": null,
        "name": "SafeNet Luna Network HSM A790",
        "size": null,
        "tier": null
    },
    "tags": {
        "Environment": "prod",
        "resourceType": "Hsm"
    },
    "type": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}

Nu kunt u ook de resources zien met behulp van de Azure Resource Explorer. In de Explorer vouwt u aan de linkerkant 'Abonnementen' uit. Vouw achtereenvolgens uw specifieke abonnement voor Toegewezen HSM, 'Resourcegroepen' en de gebruikte resourcegroep uit. Selecteer tot slot het item 'Resources'.

De implementatie testen

Om de implementatie te testen, maakt u verbinding met een virtuele machine die toegang heeft tot de HSM('s) en maakt u vervolgens rechtstreeks verbinding met het HSM-apparaat. Deze acties bevestigen dat de HSM bereikbaar is. Het SSH-hulpprogramma wordt gebruikt om verbinding te maken met de virtuele machine. De opdracht is vergelijkbaar met de volgende, maar met de beheerdersnaam en DNS-naam die u hebt opgegeven in de parameter.

ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com

Het IP-adres van de VM kan ook worden gebruikt in plaats van de DNS-naam in de bovenstaande opdracht. Als de opdracht is geslaagd, wordt er om een wachtwoord gevraagd en moet u dit invoeren. Zodra u bent aangemeld bij de virtuele machine, kunt u zich aanmelden bij de HSM met behulp van het privé IP-adres dat u kunt vinden in de portal voor de netwerkinterface die is gekoppeld aan de HSM.

Als u in de bovenstaande schermafbeelding op HSM1_HSMnic of HSM2_HSMnic klikt, wordt het juiste privé IP-adres weergegeven. Anders wordt de opdracht az resource show hierboven gebruikt als een manier om het juiste IP-adres te identificeren.

Als u het juiste IP-adres hebt, voert u de volgende opdracht uit, waarbij u dit adres vervangt:

ssh tenantadmin@10.0.2.4

Als dit lukt, wordt u om een wachtwoord gevraagd. Het standaardwachtwoord is PASSWORD en de HSM vraagt u om het wachtwoord te wijzigen. Stel een sterk wachtwoord in en gebruik het mechanisme waaraan uw organisatie de voorkeur geeft om het wachtwoord op te slaan en verlies te voorkomen.

Wanneer u met behulp van SSH bent verbonden met de HSM, voert u de volgende opdracht uit om te controleren of de HSM functioneert.

hsm show

De uitvoer ziet eruit zoals weergegeven in de onderstaande afbeelding:

Op dit moment hebt u alle resources toegewezen voor een implementatie van twee HSM's met hoge beschikbaarheid en hebt u de toegang en operationele status gevalideerd. Voor verdere configuratie of tests is meer werk met het HSM-apparaat zelf vereist. Volg hiervoor de instructies in hoofdstuk 7 van de Thales Luna 7 HSM Administration Guide om de HSM te initialiseren en partities te maken. Alle documentatie en software zijn rechtstreeks bij Thales beschikbaar om te worden gedownload zodra u bent geregistreerd in de Thales-klantondersteuningsportal en een klant-id hebt. Download versie 7.2 van de clientsoftware om alle vereiste onderdelen op te halen.

Resources verwijderen of opschonen

Als u klaar bent met het HSM-apparaat, kan het als resource worden verwijderd en worden geretourneerd aan de vrije pool. Uiteraard moet u zorg dragen voor eventuele vertrouwelijke gegevens van klanten die zich op het apparaat bevinden. De snelste manier om een apparaat op nul te zetten is het HSM-beheerderswachtwoord 3 keer fout in te voeren. (Opmerking: dit is niet de apparaatbeheerder, maar de HSM-beheerder zelf.) Als veiligheidsmaatregel om belangrijk materiaal te beschermen, kan het apparaat pas worden verwijderd als Azure-resource als het de nulstatus heeft.

Als u klaar bent met alle resources in deze resourcegroep, kunt u ze allemaal verwijderen door de volgende opdracht uit te voeren:

az group delete \
   --resource-group myRG \
   --name HSMdeploy \
   --verbose

Volgende stappen

Nadat u de stappen in deze zelfstudie hebt voltooid, zijn de Toegewezen HSM-resources ingericht, beschikt u over een virtueel netwerk met de benodigde HSM's, en kunnen andere netwerkonderdelen communiceren met de HSM. Nu kunt u deze implementatie aanvullen met meer resources als dit nodig is voor de implementatiearchitectuur waaraan u de voorkeur geeft. Zie de Concepts-documenten voor meer informatie over het plannen van een implementatie. Een ontwerp met twee HSM's in een primaire regio voor beschikbaarheid op rekniveau, en twee HSM's in een secundaire regio voor regionale beschikbaarheid wordt aanbevolen.

• Hoge beschikbaarheid
• Fysieke beveiliging
• Netwerken
• Ondersteuning
• Controle