Zelfstudie: Een HSM voor betaling maken

Artikel
10/26/2023

Azure Payment HSM is een 'BareMetal'-service die wordt geleverd met Thales payShield 10K payment hardware security modules (HSM) om cryptografische sleutelbewerkingen te bieden voor realtime, kritieke betalingstransacties in de Azure-cloud. Azure Payment HSM is speciaal ontworpen om een serviceprovider en een afzonderlijke financiële instelling te helpen de digitale transformatiestrategie van hun betalingssysteem te versnellen en de openbare cloud te gebruiken. Zie Azure Payment HSM: Overzicht voor meer informatie.

In deze zelfstudie wordt beschreven hoe u een Azure Payment HSM maakt met de host- en beheerpoort in hetzelfde virtuele netwerk. U kunt in plaats daarvan:

Notitie

Als u een bestaand VNet opnieuw wilt gebruiken, controleert u of aan alle vereisten is voldaan en leest u hoe u een bestaand virtueel netwerk opnieuw gebruikt.

Vereisten

Belangrijk

Azure Payment HSM is een gespecialiseerde service. Om in aanmerking te komen voor onboarding en het gebruik van Azure Payment HSM, moeten klanten beschikken over een toegewezen Microsoft Account Manager en beschikken over een Cloud Service Architect (CSA).

Als u informatie wilt over de service, start u het kwalificatieproces en bereidt u de vereisten voordat u aan boord gaat, vraagt u uw Microsoft-accountmanager en CSA om een aanvraag via e-mail te verzenden.

Azure-CLI
Azure PowerShell

U moet de resourceproviders Microsoft.HardwareSecurityModules en Microsoft.Network registreren, evenals de Azure Payment HSM-functies. De stappen hiervoor bevinden zich in De functies van de Azure Payment HSM-resourceprovider en resourceprovider registreren.

Waarschuwing

U moet de functievlag FastPathEnabled toepassen op elke abonnements-id en de tag 'fastpathenabled' toevoegen aan elk virtueel netwerk. Zie Fastpathenabled voor meer informatie.

Als u snel wilt controleren of de resourceproviders en -functies al zijn geregistreerd, gebruikt u de opdracht Azure CLI az provider show . (De uitvoer van deze opdracht is beter leesbaar wanneer deze wordt weergegeven in tabelindeling.)
```
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
```
U kunt doorgaan met deze quickstart als alle vier deze opdrachten 'Geregistreerd' retourneren.
U hebt een abonnement op Azure nodig. Als u nog geen account hebt, kunt u een gratis account maken.

Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.
Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.
- Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.
- Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.
- Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

U moet de resourceproviders Microsoft.HardwareSecurityModules en Microsoft.Network registreren, evenals de Azure Payment HSM-functies. De stappen hiervoor bevinden zich in De functies van de Azure Payment HSM-resourceprovider en resourceprovider registreren.

Waarschuwing

U moet de functievlag FastPathEnabled toepassen op elke abonnements-id en de tag 'fastpathenabled' toevoegen aan elk virtueel netwerk. Zie Fastpathenabled voor meer informatie.

Als u snel wilt controleren of de resourceproviders en -functies al zijn geregistreerd, gebruikt u de cmdlet Azure PowerShell Get-AzProviderFeature :

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

U kunt doorgaan met deze quickstart als de 'RegistrationState' van beide opdrachten 'Geregistreerd' retourneert.

U hebt een abonnement op Azure nodig. Als u nog geen account hebt, kunt u een gratis account maken.

* Als u ervoor kiest om Azure PowerShell lokaal te gebruiken: * Installeer de nieuwste versie van de Az PowerShell-module. * Verbinding maken naar uw Azure-account met behulp van de cmdlet Verbinding maken-AzAccount. * Als u ervoor kiest om Azure Cloud Shell te gebruiken: * Zie overzicht van Azure Cloud Shell voor meer informatie.\

U moet de Az.DedicatedHsm PowerShell-module installeren:
```
Install-Module -Name Az.DedicatedHsm
```

Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. Gebruik de opdracht az group create om een resourcegroep met de naam myResourceGroup te maken op de locatie eastus.

az group create --name "myResourceGroup" --location "EastUS"

Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. Gebruik de Cmdlet New-AzResourceGroup van Azure PowerShell om een resourcegroep met de naam myResourceGroup te maken op de locatie eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Een virtueel netwerk en een subnet maken

Azure-CLI
Azure PowerShell

Voordat u een HSM voor betaling maakt, moet u eerst een virtueel netwerk en een subnet maken. Hiervoor gebruikt u de opdracht Azure CLI az network vnet create :

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Gebruik daarna de azure CLI az network vnet subnet update command to update the subnet and give it a delegation of "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Gebruik de opdracht Azure CLI az network vnet subnet show om te controleren of het VNet en het subnet correct zijn gemaakt:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Noteer de id van het subnet, zoals u nodig hebt voor de volgende stap. De id van het subnet eindigt met de naam van het subnet:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Voordat u een HSM voor betaling maakt, moet u eerst een virtueel netwerk en een subnet maken.

Stel eerst enkele variabelen in voor gebruik in de volgende bewerkingen:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Gebruik de Cmdlet New-AzDelegation van Azure PowerShell om een servicedelegering te maken die aan uw subnet moet worden toegevoegd en sla de uitvoer op in de $myDelegation variabele:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Gebruik de cmdlet New-AzVirtualNetworkSubnetConfig van Azure PowerShell om een subnetconfiguratie voor een virtueel netwerk te maken en sla de uitvoer op in de $myPHSMSubnet variabele:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Notitie

De cmdlet New-AzVirtualNetworkSubnetConfig genereert een waarschuwing die u veilig kunt negeren.

Als u een virtueel Azure-netwerk wilt maken, gebruikt u de Cmdlet Azure PowerShell New-AzVirtualNetwork :

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Gebruik de Cmdlet Azure PowerShell Get-AzVirtualNetwork om te controleren of het VNet juist is gemaakt:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Noteer de id van het subnet, die in de volgende stap wordt gebruikt. De id van het subnet eindigt met de naam van het subnet:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Een HSM voor betaling maken

Belangrijk

Als u twee HSM's voor betaling in dezelfde regio maakt, moet u er een toewijzen aan 'stempel1' en de andere aan 'stempel2'. Zie Implementatiescenario's: implementatie met hoge beschikbaarheid voor meer informatie.

Maken met dynamische hosts

Azure-CLI
Azure PowerShell

Als u een betalings-HSM wilt maken met dynamische hosts, gebruikt u de opdracht az dedicated-hsm create . In het volgende voorbeeld wordt een betalings-HSM gemaakt met de naam myPaymentHSM in de regio, myResourceGroup de resourcegroep en het eastus opgegeven abonnement, het virtuele netwerk en het subnet:

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60"

Als u de zojuist gemaakte netwerkinterfaces wilt zien, gebruikt u de opdracht az network nic list en geeft u de resourcegroep op:

az network nic list -g myResourceGroup -o table

In de uitvoer worden host 1 en host 2 weergegeven, evenals een beheerinterface:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Als u de details van een zojuist gemaakte netwerkinterface wilt bekijken, gebruikt u de opdracht az network nic show , waarbij u de resourcegroep en de naam van de netwerkinterface opgeeft:

az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

De uitvoer bevat deze regel:

  "privateIPAllocationMethod": "Dynamic",

Als u een betalings-HSM met dynamische hosts wilt maken, gebruikt u de cmdlet New-AzDedicatedHsm en de VNet-id uit de vorige stap:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

De uitvoer van het maken van de betalings-HSM ziet er als volgt uit:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Als u de zojuist gemaakte netwerkinterfaces wilt zien, gebruikt u de cmdlet Get-AzNetworkInterface en geeft u de resourcegroep op:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

In de uitvoer worden host 1 en host 2 weergegeven, evenals de beheerinterface:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

In Azure Portal is de 'privé-IP-toewijzingsmethode' 'Dynamisch':

Maken met statische hosts

Azure-CLI
Azure PowerShell

Gebruik de opdracht az dedicated-hsm create om een betalings-HSM met statische hosts te maken . In het volgende voorbeeld wordt een betalings-HSM gemaakt met de naam myPaymentHSM in de regio, myResourceGroup de resourcegroep en het eastus opgegeven abonnement, het virtuele netwerk en het subnet:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Als u ook een statisch IP-adres voor de beheerhost wilt opgeven, kunt u het volgende toevoegen:

  --mgmt-network-interfaces private-ip-address="10.0.0.7" \
  --mgmt-network-subnet="<subnet-id>"

Als u de zojuist gemaakte netwerkinterfaces wilt zien, gebruikt u de opdracht az network nic list en geeft u de resourcegroep op:

az network nic list -g myResourceGroup -o table

In de uitvoer worden host 1 en host 2 weergegeven, evenals de beheerinterface:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Als u de eigenschappen van een netwerkinterface wilt weergeven, gebruikt u de opdracht az network nic show , waarbij u de resourcegroep en de naam van de netwerkinterface opgeeft:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

De uitvoer bevat deze regel:

  "privateIPAllocationMethod": "Static",

Als u een betalings-HSM met statische hosts wilt maken, gebruikt u de cmdlet New-AzDedicatedHsm en de VNet-id uit de vorige stap:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'})

Als u ook een statisch IP-adres voor de beheerhost wilt opgeven, kunt u het volgende toevoegen:

-ManagementNetworkInterface @{PrivateIPAddress = '10.0.07'} -ManagementSubnetId "<subnetId>"

De uitvoer van het maken van de betalings-HSM ziet er als volgt uit:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Als u de zojuist gemaakte netwerkinterfaces wilt zien, gebruikt u de cmdlet Get-AzNetworkInterface en geeft u de resourcegroep op:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

In de uitvoer worden host 1 en host 2 weergegeven, evenals de beheerinterface:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

In De Azure-portal wordt de 'toewijzingsmethode voor privé-IP' weergegeven als 'Dynamisch':