Självstudie: Distribuera HSM:er till ett befintligt virtuellt nätverk med hjälp av Azure CLI

  • Artikel
  • 7 minuter för att läsa

Dedikerad HSM i Azure tillhandahåller en fysisk enhet enbart för kundanvändning, med fullständig administrativ kontroll och fullständigt hanteringsansvar. Användningen av fysiska enheter skapar ett behov av att Microsoft styr enhetsallokeringen för att säkerställa att kapacitet hanteras på ett effektivt sätt. I en Azure-prenumeration syns tjänsten Dedikerad HSM därför normalt inte för resursetablering. Azure-kunder som behöver åtkomst till tjänsten Dedikerad HSM måste först kontakta sin Microsoft-kontoansvarige och begära registrering för tjänsten Dedikerad HSM. Det är först när den här processen är klar som etablering blir möjlig.

Den här självstudien visar en typisk etableringsprocess där:

  • En kund redan har ett virtuellt nätverk
  • Kunden har en virtuell dator
  • Kunde måste lägga till HSM-resurser i den befintliga miljön.

En typisk arkitektur med hög tillgänglighet för distribution i flera regioner kan se ut så här:

distribution i flera regioner

Den här självstudien fokuserar på att ett par HSM:er och en nödvändig ExpressRoute-gateway (se Undernät 1 ovan) integreras i ett befintligt virtuellt nätverk (se VNET 1 ovan). Alla andra resurser är Azure-standardresurser. Samma integreringsprocess kan användas för HSM:er i undernät 4 på VNET 3 ovan.

Förutsättningar

Dedikerad HSM i Azure är för närvarande inte tillgängligt på Azure-portalen. All interaktion med tjänsten sker via kommandoraden eller PowerShell. Den här självstudien använder kommandoradsgränssnittet (CLI) i Azure Cloud Shell. Om Azure CLI är nytt för dig följer du instruktionerna för att komma igång här: Komma igång med Azure CLI 2.0.

Antaganden:

  • Du har slutfört registreringsprocessen för Dedikerad HSM i Azure
  • Du har godkänts för användning av tjänsten. Annars kontaktar du din Microsoft-kontorepresentant för att få information.
  • Du har skapat en resursgrupp för dessa resurser, och de nya som distribueras i den här självstudien ansluts till den gruppen.
  • Du redan har skapat nödvändiga virtuella nätverk, undernät och virtuella datorer enligt diagrammet ovan och vill nu integrera två HSM:er i den distributionen.

Alla anvisningar nedan förutsätter att du redan har navigerat till Azure Portal och du har öppnat Cloud Shell (välj " " längst upp > _ till höger i portalen).

Etablera en Dedikerad HSM

Etablering av HSM:er och integrering i ett befintligt virtuellt nätverk via ExpressRoute-gateway verifieras med hjälp av ssh. Den här verifieringen hjälper till att säkerställa HSM-enhetens nätverksåtkomst och grundläggande tillgänglighet för ytterligare konfigurationsaktiviteter.

Verifiera funktionsregistrering

Som nämnts ovan kräver alla etableringsaktiviteter att tjänsten Dedikerad HSM har registrerats för din prenumeration. Verifiera detta genom att köra följande kommandon i Azure Portal Cloud Shell.

az feature show \
   --namespace Microsoft.HardwareSecurityModules \
   --name AzureDedicatedHSM

Kommandona ska returnera statusen "Registrerad" (se nedan). Om kommandona inte returnerar "Registrerad" måste du registrera dig för den här tjänsten genom att kontakta din Microsoft-konto representant.

prenumerationsstatus

Skapa HSM-resurser

Innan du skapar HSM-resurser finns det vissa nödvändiga resurser som du behöver. Du måste ha ett virtuellt nätverk med undernätsintervall för beräkning, HSM:er och gateway. Följande kommandon utgör ett exempel på vad som skulle skapa ett sådant virtuellt nätverk.

az network vnet create \
  --name myHSM-vnet \
  --resource-group myRG \
  --address-prefix 10.2.0.0/16 \
  --subnet-name compute \
  --subnet-prefix 10.2.0.0/24

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name hsmsubnet \
  --address-prefixes 10.2.1.0/24 \
  --delegations Microsoft.HardwareSecurityModules/dedicatedHSMs

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name GatewaySubnet \
  --address-prefixes 10.2.255.0/26

Anteckning

Den viktigaste konfigurationen att notera för det virtuella nätverket är att undernätet för HSM-enheten måste ha delegeringar inställda på "Microsoft.HardwareSecurityModules/dedicatedHSMs". HSM-etableringen fungerar inte utan att det här alternativet anges.

När du har konfigurerat nätverket använder du dessa Azure CLI-kommandon för att etablera dina HSM:er.

  1. Använd kommandot az dedicated-hsm create för att etablera den första HSM:en. HSM heter hsm1. Ersätt din prenumeration:

    az dedicated-hsm create --location westus --name hsm1 --resource-group myRG --network-profile-network-interfaces \
     /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet

    Den här distributionen bör ta cirka 25 till 30 minuter att slutföra, och större delen av den tiden är HSM-enheterna.

  2. Om du vill se en aktuell HSM kör du kommandot az dedicated-hsm show:

    az dedicated-hsm show --resource group myRG --name hsm1

  3. Etablera den andra HSM:en med hjälp av det här kommandot:

    az dedicated-hsm create --location westus --name hsm2 --resource-group myRG --network-profile-network-interfaces \
     /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet

  4. Kör kommandot az dedicated-hsm list för att visa information om dina aktuella HSM:er:

    az dedicated-hsm list --resource-group myRG

Det finns några andra kommandon som kan vara användbara. Använd kommandot az dedicated-hsm update för att uppdatera en HSM:

az dedicated-hsm update --resource-group myRG –name hsm1

Om du vill ta bort en HSM använder du kommandot az dedicated-hsm delete:

az dedicated-hsm delete --resource-group myRG –name hsm1

Kontrollera distributionen

Kontrollera att enheterna har etablerats och visa enhetsattribut genom att köra följande kommandouppsättning. Kontrollera att resursgruppen har angetts på rätt sätt och att resursnamnet är exakt samma som det du har i parameterfilen.

subid=$(az account show --query id --output tsv)
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM1
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM2

Utdata ser ut ungefär som följande utdata:

{
    "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSMl",
    "identity": null,
    "kind": null,
    "location": "westus",
    "managedBy": null,
    "name": "HSM1",
    "plan": null,
    "properties": {
        "networkProfile": {
            "networkInterfaces": [
            {
            "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/networkInterfaces/HSMl_HSMnic", "privatelpAddress": "10.0.2.5",
            "resourceGroup": "HSM-RG"
            }
            L
            "subnet": {
                "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/virtualNetworks/demo-vnet/subnets/hsmsubnet", "resourceGroup": "HSM-RG"
            }
        },
        "provisioningState": "Succeeded",
        "stampld": "stampl",
        "statusMessage": "The Dedicated HSM device is provisioned successfully and ready to use."
    },
    "resourceGroup": "HSM-RG",
    "sku": {
        "capacity": null,
        "family": null,
        "model": null,
        "name": "SafeNet Luna Network HSM A790",
        "size": null,
        "tier": null
    },
    "tags": {
        "Environment": "prod",
        "resourceType": "Hsm"
    },
    "type": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}

Du kan nu även se resurser med hjälp av Azure-resursutforskaren. När du är i utforskaren expanderar du "prenumerationer" till vänster, expanderar din specifika prenumeration för Dedicated HSM, expanderar "resursgrupper", expanderar den resursgrupp som du använde och väljer slutligen objektet "resurser".

Testa distributionen

Att testa distributionen innebär att ansluta till en virtuell dator som kan komma åt HSM:er och sedan ansluta direkt till HSM-enheten. De här åtgärderna bekräftar att HSM kan nås. SSH-verktyget används för att ansluta till den virtuella datorn. Kommandot liknar följande men med det administratörsnamn och DNS-namn som du angav i parametern.

ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com

IP-adressen för den virtuella datorn kan också användas i stället för DNS-namnet i kommandot ovan. Om kommandot lyckas anger du det lösenord som efterfrågas. När du har loggat in på den virtuella datorn kan du logga in på HSM med hjälp av den privata IP-adress som finns i portalen för den nätverksgränssnittsresurs som associeras med HSM.

lista över komponenter

Anteckning

Observera kryssrutan "Visa dolda typer" som visar HSM-resurser när du väljer det här alternativet.

Om du klickar på "HSM1_HSMnic" eller "HSM2_HSMnic" på skärmbilden ovan visas lämplig privat IP-adress. Annars är kommandot az resource show som används ovan ett sätt att identifiera rätt IP-adress.

När du har rätt IP-adress kör du följande kommando och ersätter den adressen:

ssh tenantadmin@10.0.2.4

Om detta lyckas uppmanas du att ange ett lösenord. Standardlösenordet är PASSWORD, och HSM ber dig först att ändra ditt lösenord. Ange därför ett starkt lösenord och använd den mekanism som din organisation föredrar för att lagra lösenordet och förhindra förlust.

Viktigt

om du tappar bort det här lösenordet måste HSM återställas, vilket innebär att dina nycklar går förlorade.

När du är ansluten till HSM med hjälp av SSH kör du följande kommando för att se till att HSM är i drift.

hsm show

Utdata bör se ut som på bilden nedan:

Skärmbild som visar utdata i PowerShell-fönstret.

I det här skedet har du allokerat alla resurser för en distribution med hög tillgänglighet och två HSM:er samt verifierat åtkomst och driftstatus. Ytterligare konfiguration eller testning medför mer arbete med själva HSM-enheten. För detta bör du följa anvisningarna i kapitel 7 i thales Guide för HSM-administration av Thales För att initiera HSM och skapa partitioner. All dokumentation och programvara är tillgänglig direkt från Thales för nedladdning när du har registrerat dig på Thales kundsupportportal och har ett kund-ID. Ladda ned klientprogramvara version 7.2 för att få alla nödvändiga komponenter.

Ta bort eller rensa resurser

Om du är klar med bara HSM-enheten kan den tas bort som resurs och returneras till poolen. Det uppenbara problemet när du gör detta är eventuella känsliga kunddata som finns på enheten. Det bästa sättet att "nollställa" en enhet är att få HSM-administratörslösenordet fel tre gånger (obs! Det här är inte enhetens administratör, det är den faktiska HSM-administratören). Som en säkerhetsåtgärd för att skydda nyckelmaterial kan enheten inte tas bort som en Azure-resurs förrän den är i ett nollat tillstånd.

Anteckning

Om du har problem med någon thales-enhetskonfiguration bör du kontakta Thales kundsupport.

Om du är klar med alla resurser i den här resursgruppen kan du ta bort alla med följande kommando:

az group delete \
   --resource-group myRG \
   --name HSMdeploy \
   --verbose

Nästa steg

När du har slutfört stegen i självstudien etableras Dedikerad HSM-resurser och du har ett virtuellt nätverk med nödvändiga HSM:er samt ytterligare nätverkskomponenter som möjliggör kommunikation med HSM. Du har nu möjligheten att komplettera den här distributionen med fler resurser efter behov för valfri distributionsarkitektur. Mer information som hjälper dig att planera distributionen finns i begreppsdokumenten. En design med två HSM:er i en primär region som behandlar tillgänglighet på racknivån och två HSM:er i en sekundär region som behandlar regional tillgänglighet rekommenderas.