Руководство по созданию модуля HSM для оплаты

Azure Payment HSM — это служба BareMetal, предоставляемая с помощью модулей безопасности аппаратного обеспечения оплаты Thales PayShield 10K (HSM) для предоставления криптографических ключей для транзакций с критическими платежами в облаке Azure. Azure Payment HSM разработан специально для того, чтобы помочь поставщику услуг и отдельному финансовому институту ускорить цифровую трансформацию системы платежей и внедрить общедоступное облако. Дополнительные сведения см. в разделе HSM для оплаты Azure. Обзор.

В этом руководстве описывается создание HSM для оплаты Azure с портом узла и управления в одной виртуальной сети. Вместо этого можно сделать следующее:

• Создание модуля HSM оплаты с портом узла и управления в той же виртуальной сети с помощью шаблона ARM
• Создание устройства HSM оплаты с портом узла и управления в разных виртуальных сетях с помощью Azure CLI или PowerShell
• Создание устройства HSM оплаты с портом узла и управления в разных виртуальных сетях с помощью шаблона ARM
• Создание ресурса HSM с портом узла и управления с IP-адресами в разных виртуальных сетях с помощью шаблона ARM

Примечание.

Если вы хотите повторно использовать существующую виртуальную сеть, убедитесь, что выполнены все предварительные требования , а затем ознакомьтесь с инструкцией повторного использования существующей виртуальной сети.

Необходимые компоненты

Внимание

Azure Payment HSM — это специализированная служба. Чтобы получить право на подключение и использование HSM для оплаты Azure, клиенты должны иметь назначенного диспетчера учетных записей Майкрософт и архитектора облачных служб (CSA).

Чтобы узнать о службе, запустите процесс квалификации и подготовьте предварительные требования перед подключением, попросите руководителя учетной записи Майкрософт и CSA отправить запрос по электронной почте.

Azure CLI

• Необходимо зарегистрировать поставщики ресурсов Microsoft.HardwareSecurityModules и Microsoft.Network, а также функции HSM оплаты Azure. Для этого необходимо зарегистрировать поставщик ресурсов HSM для оплаты Azure и функции поставщика ресурсов.

  Предупреждение

  Необходимо применить флаг функции FastPathEnabled к каждому идентификатору подписки и добавить тег fastpathenabled в каждую виртуальную сеть. Дополнительные сведения см. в разделе Fastpathenabled.

  Чтобы быстро определить, зарегистрированы ли поставщики ресурсов и функции, используйте команду Azure CLI az provider show . (Выходные данные этой команды более удобочитаемы при отображении в табличном формате.)

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  Вы можете продолжить работу с этим кратким запуском, если все четыре из этих команд возвращают "Зарегистрировано".

• У вас должна быть подписка Azure. Вы можете создать бесплатную учетную запись, если у вас еще ее нет.

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.

  

• Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

  • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

Azure PowerShell

• Необходимо зарегистрировать поставщики ресурсов Microsoft.HardwareSecurityModules и Microsoft.Network, а также функции HSM оплаты Azure. Для этого необходимо зарегистрировать поставщик ресурсов HSM для оплаты Azure и функции поставщика ресурсов.

  Предупреждение

  Необходимо применить флаг функции FastPathEnabled к каждому идентификатору подписки и добавить тег fastpathenabled в каждую виртуальную сеть. Дополнительные сведения см. в разделе Fastpathenabled.

  Чтобы быстро определить, зарегистрированы ли поставщики ресурсов и компоненты, используйте командлет Get-AzProviderFeature Azure PowerShell:

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

Вы можете продолжить работу с этим кратким запуском, если параметр RegistrationState обеих команд возвращает значение "Зарегистрировано".

• У вас должна быть подписка Azure. Вы можете создать бесплатную учетную запись, если у вас еще ее нет.

* Если вы решили использовать Azure PowerShell локально: * Установите последнюю версию модуля Az PowerShell. * Подключение в учетную запись Azure с помощью командлета Подключение-AzAccount. * Если вы решили использовать Azure Cloud Shell: * Дополнительные сведения см. в обзоре Azure Cloud Shell .\

• Необходимо установить модуль PowerShell Az.DedicatedHsm:

  Install-Module -Name Az.DedicatedHsm
  

Создание или изменение группы ресурсов

Azure CLI

Группа ресурсов — это логический контейнер, в котором происходит развертывание ресурсов Azure и управление ими. С помощью команды az group create создайте группу ресурсов с именем myResourceGroup в расположении eastus.

az group create --name "myResourceGroup" --location "EastUS"

Azure PowerShell

Группа ресурсов — это логический контейнер, в котором происходит развертывание ресурсов Azure и управление ими. С помощью командлета New-AzResourceGroup Azure PowerShell создайте группу ресурсов с именем myResourceGroup в регионе eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Создание виртуальной сети и подсети

Azure CLI

Перед созданием устройства HSM для оплаты необходимо сначала создать виртуальную сеть и подсеть. Для этого используйте команду azure CLI az network vnet create :

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Затем используйте команду обновления подсети виртуальной сети Azure CLI az network, чтобы обновить подсеть и предоставить ей делегирование Microsoft.HardwareSecurityModules/dedicatedHSMs:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Чтобы убедиться, что виртуальная сеть и подсеть были созданы правильно, используйте команду Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Запишите идентификатор подсети, так как он необходим для следующего шага. Идентификатор подсети заканчивается именем подсети:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Azure PowerShell

Перед созданием устройства HSM для оплаты необходимо сначала создать виртуальную сеть и подсеть.

Сначала задайте некоторые переменные для использования в последующих операциях:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Используйте командлет Azure PowerShell New-AzDelegation , чтобы создать делегирование службы, добавляемое в подсеть, и сохраните выходные данные в переменной $myDelegation :

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Используйте командлет Azure PowerShell New-AzVirtualNetworkSubnetConfig для создания конфигурации подсети виртуальной сети и сохранения выходных данных в переменной $myPHSMSubnet :

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Примечание.

Командлет New-AzVirtualNetworkSubnetConfig создаст предупреждение, которое можно безопасно игнорировать.

Чтобы создать виртуальная сеть Azure, используйте командлет Azure PowerShell New-AzVirtualNetwork:

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Чтобы убедиться, что виртуальная сеть создана правильно, используйте командлет Get-AzVirtualNetwork Azure PowerShell:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Запишите идентификатор подсети, который используется на следующем шаге. Идентификатор подсети заканчивается именем подсети:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Создание устройства HSM для оплаты

Внимание

Если вы создаете два устройства HSM оплаты в одном регионе, необходимо выделить один на "stamp1" и другой на "stamp2". Дополнительные сведения см . в сценариях развертывания: развертывание с высоким уровнем доступности.

Создание с помощью динамических узлов

Azure CLI

Чтобы создать модуль HSM с динамическими узлами, используйте команду az dedicated-hsm create . В следующем примере создается модуль HSM оплаты с именем myPaymentHSM в eastus регионе, myResourceGroup группе ресурсов и указанной подписке, виртуальной сети и подсети:

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60" 

Чтобы просмотреть только что созданные сетевые интерфейсы, используйте команду az network nic list , указав группу ресурсов:

az network nic list -g myResourceGroup -o table

В выходных данных перечислены узел 1 и узел 2, а также интерфейс управления:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Чтобы просмотреть сведения о недавно созданном сетевом интерфейсе, используйте команду az network nic show , указав группу ресурсов и имя сетевого интерфейса:

az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Выходные данные содержат следующую строку:

  "privateIPAllocationMethod": "Dynamic",

Azure PowerShell

Чтобы создать модуль HSM с динамическими узлами, используйте командлет New-AzDedicatedHsm и идентификатор виртуальной сети из предыдущего шага:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

Выходные данные создания HSM оплаты выглядят следующим образом:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Чтобы просмотреть только что созданные сетевые интерфейсы, используйте командлет Get-AzNetworkInterface , предоставляя группу ресурсов:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

В выходных данных перечислены узел 1 и узел 2, а также интерфейс управления:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

В портал Azure метод выделения частных IP-адресов имеет значение Dynamic:

Создание со статическими узлами

Azure CLI

Чтобы создать модуль HSM с статическими узлами, используйте команду az dedicated-hsm create . В следующем примере создается модуль HSM оплаты с именем myPaymentHSM в eastus регионе, myResourceGroup группе ресурсов и указанной подписке, виртуальной сети и подсети:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Если вы хотите также указать статический IP-адрес для узла управления, можно добавить:

  --mgmt-network-interfaces private-ip-address="10.0.0.7" \
  --mgmt-network-subnet="<subnet-id>"

Чтобы просмотреть только что созданные сетевые интерфейсы, используйте команду az network nic list , указав группу ресурсов:

az network nic list -g myResourceGroup -o table

В выходных данных перечислены узел 1 и узел 2, а также интерфейс управления:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Чтобы просмотреть свойства сетевого интерфейса, используйте команду az network nic show , указав группу ресурсов и имя сетевого интерфейса:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Выходные данные содержат следующую строку:

  "privateIPAllocationMethod": "Static",

Azure PowerShell

Чтобы создать модуль HSM с статическими узлами, используйте командлет New-AzDedicatedHsm и идентификатор виртуальной сети на предыдущем шаге:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'})

Если вы хотите также указать статический IP-адрес для узла управления, можно добавить:

-ManagementNetworkInterface @{PrivateIPAddress = '10.0.07'} -ManagementSubnetId "<subnetId>"

Выходные данные создания HSM оплаты выглядят следующим образом:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Чтобы просмотреть только что созданные сетевые интерфейсы, используйте командлет Get-AzNetworkInterface , предоставляя группу ресурсов:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

В выходных данных перечислены узел 1 и узел 2, а также интерфейс управления:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

В портал Azure показан метод выделения частных IP-адресов как Dynamic:

Следующие шаги

Перейдите к следующей статье, чтобы узнать, как просмотреть ваш платеж HSM.

Просмотр устройств HSM для оплаты

Дополнительные сведения:

• Ознакомьтесь с обзором устройства HSM для оплаты
• Узнайте, как приступить к работе с HSM для оплаты Azure
• См. некоторые распространенные сценарии развертывания
• Сведения о сертификации и соответствия требованиям
• Ознакомьтесь с часто задаваемыми вопросами