Integrera Hanterad HSM med Azure Private Link

Med Azure Private Link Service kan du komma åt Azure-tjänster (till exempel Managed HSM, Azure Storage och Azure Cosmos DB osv.) och Azure-värdbaserade kund-/partnertjänster via en privat slutpunkt i ditt virtuella nätverk.

En privat Azure-slutpunkt är ett nätverksgränssnitt som ansluter dig privat och säkert till en tjänst som drivs av Azure Private Link. Den privata slutpunkten använder en privat IP-adress från ditt virtuella nätverk som effektivt flyttar tjänsten till ditt virtuella nätverk. All trafik till tjänsten kan dirigeras via den privata slutpunkten, så inga gatewayer, NAT-enheter, ExpressRoute- eller VPN-anslutningar, eller offentliga IP-adresser behövs. Trafik mellan ditt virtuella nätverk och tjänsten passerar över Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet. Du kan ansluta till en instans av en Azure-resurs, vilket ger dig den högsta detaljnivån i åtkomstkontrollen.

Mer information finns i Vad är Azure Private Link?

Kommentar

Hanterad HSM stöder för närvarande inte IP-regler eller tjänstslutpunkter för virtuellt nätverk

Förutsättningar

För att integrera en hanterad HSM med Azure Private Link behöver du följande:

• En hanterad HSM. Mer information finns i Etablera och aktivera en hanterad HSM med Azure CLI .
• Ett virtuellt Azure-nätverk.
• Ett undernät i det virtuella nätverket.
• Ägar- eller deltagarbehörigheter för både den hanterade HSM:n och det virtuella nätverket.
• Azure CLI version 2.25.0 eller senare. Kör az --version för att hitta versionen. Om du behöver installera eller uppgradera kan du läsa informationen i Installera Azure CLI.

Din privata slutpunkt och ditt virtuella nätverk måste finnas i samma region. När du väljer en region för den privata slutpunkten med hjälp av portalen filtreras endast virtuella nätverk som finns i den regionen automatiskt. Din HSM kan finnas i en annan region.

Din privata slutpunkt använder en privat IP-adress i ditt virtuella nätverk.

Upprätta en privat länkanslutning till Managed HSM med CLI (inledande installation)

az login                                                                   # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                            # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                            # Create a new Resource Group
az provider register -n Microsoft.KeyVault                                 # Register KeyVault as a provider
az keyvault update-hsm --hsm-name {HSM NAME} -g {RG} --default-action deny # Turn on firewall

az network vnet create -g {RG} -n {vNet NAME} --location {REGION}           # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.managedhsm.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.managedhsm.azure.net --name {dnsZoneLinkName} --registration-enabled true

Tillåt betrodda tjänster att komma åt Hanterad HSM

När brandväggen är aktiverad nekas all åtkomst till HSM från alla platser som inte använder en privat slutpunktsanslutning, inklusive offentliga Internet- och Azure-tjänster. Använd --bypass AzureServices alternativet om du vill tillåta Microsoft-tjänster att komma åt dina nycklar i din hanterade HSM. De enskilda entiteterna (till exempel ett Azure Storage-konto eller en Azure SQL Server) måste fortfarande ha specifika rolltilldelningar på plats för att kunna komma åt en nyckel.

Kommentar

Endast specifika användningsscenarier för betrodda tjänster stöds. Mer information finns i listan över användningsscenarier för betrodda tjänster.

az keyvault update-hsm --hsm-name {HSM NAME} -g {RG} --default-action deny --bypass AzureServices

Skapa en privat slutpunkt (godkänn automatiskt)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/managedHSMs/{HSM NAME}" --group-id managedhsm --connection-name {Private Link Connection Name} --location {AZURE REGION}

Kommentar

Om du tar bort HSM slutar den privata slutpunkten att fungera. Om du återställer (tar bort) denna HSM senare måste du återskapa en ny privat slutpunkt.

Skapa en privat slutpunkt (begära godkännande manuellt)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/managedHSMs/{HSM NAME}" --group-id managedhsm --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Hantera Private Link-Anslut ions

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --hsm-name {HSM NAME} –-name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --hsm-name {HSM NAME} –-name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --hsm-name {HSM NAME} --name {PRIVATE LINK CONNECTION NAME}

Lägg till Privat DNS poster

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.managedhsm.azure.net" -n {HSM NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.managedhsm.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {HSM NAME}.managedhsm.azure.net
nslookup {HSM NAME}.privatelink.managedhsm.azure.net

---

Kontrollera att den privata länkanslutningen fungerar

Du bör kontrollera att resurserna i samma undernät för den privata slutpunktsresursen ansluter till din HSM via en privat IP-adress och att de har rätt privat DNS-zonintegrering.

Skapa först en virtuell dator genom att följa stegen i Skapa en virtuell Windows-dator i Azure-portalen

På fliken Nätverk:

1. Ange virtuellt nätverk och undernät. Du kan skapa ett nytt virtuellt nätverk eller välja ett befintligt nätverk. Om du väljer en befintlig kontrollerar du att regionen matchar.
2. Ange en offentlig IP-resurs.
3. I nätverkssäkerhetsgruppen NIC väljer du "Ingen".
4. I "Belastningsutjämning" väljer du "Nej".

Öppna kommandoraden och kör följande kommando:

nslookup <your-HSM-name>.managedhsm.azure.net

Om du kör sökningskommandot ns för att matcha IP-adressen för en hanterad HSM över en offentlig slutpunkt visas ett resultat som ser ut så här:

c:\ >nslookup <your-hsm-name>.managedhsm.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-hsm-name>.managedhsm.azure.net

Om du kör sökningskommandot ns för att matcha IP-adressen för en hanterad HSM över en privat slutpunkt visas ett resultat som ser ut så här:

c:\ >nslookup your_hsm_name.managedhsm.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-hsm-name>.managed.azure.net
          <your-hsm-name>.privatelink.managedhsm.azure.net

Felsökningsguide

• Kontrollera att den privata slutpunkten är i godkänt tillstånd.

  1. Använd az keyvault private-endpoint-connections show underkommando för att se status för en privat slutpunktsanslutning.
  2. Kontrollera att anslutningsstatus är Godkänd och att etableringsstatus är Slutförd.
  3. Kontrollera att det virtuella nätverket matchar det du använder.

• Kontrollera att du har en privat DNS-zonsresurs.

  1. Du måste ha en resurs för Privat DNS zon med det exakta namnet: privatelink.managedhsm.azure.net.
  2. Mer information om hur du konfigurerar detta finns i följande länk. Privat DNS zoner

• Kontrollera att Privat DNS-zonen är länkad till det virtuella nätverket. Det kan vara problemet om den offentliga IP-adressen fortfarande returneras.

  1. Om DNS för privat zon inte är länkad till det virtuella nätverket returnerar DNS-frågan från det virtuella nätverket HSM:s offentliga IP-adress.
  2. Gå till resursen Privat DNS Zone i Azure-portalen och klicka på alternativet länkar till virtuella nätverk.
  3. Det virtuella nätverk som ska utföra anrop till HSM måste anges.
  4. Om det inte finns där måste du lägga till det.
  5. Detaljerade steg finns i följande dokument Länka virtuellt nätverk till Privat DNS zon

• Kontrollera att Privat DNS-zonen inte saknar en A-post för HSM.

  1. Gå till sidan Privat DNS Zon.
  2. Klicka på Översikt och kontrollera om det finns en A-post med det enkla namnet på din HSM. Ange inget suffix.
  3. Kontrollera stavningen och skapa eller åtgärda A-posten. Du kan använda ett TTL-värde på 3 600 (1 timme).
  4. Se till att du anger rätt privat IP-adress.

• Kontrollera att A-posten har rätt IP-adress.

  1. Du kan bekräfta IP-adressen genom att öppna den privata slutpunktsresursen i Azure-portalen.
  2. Gå till resursen Microsoft.Network/privateEndpoints i Azure-portalen
  3. På översiktssidan letar du efter Nätverksgränssnitt och klickar på länken.
  4. Länken visar översikten för nätverkskortresursen, som innehåller egenskapen Privat IP-adress.
  5. Kontrollera att det är rätt IP-adress som anges i A-posten.

Begränsningar och designöverväganden

Kommentar

Antalet hanterade HSM:er med privata slutpunkter aktiverade per prenumeration är en justerbar gräns. Den gräns som visas nedan är standardgränsen. Om du vill begära en gränsökning för din prenumeration skapar du ett Azure-supportärende. Vi godkänner dessa begäranden från fall till fall.

Prissättning: Information om priser finns i Priser för Azure Private Link.

Maximalt antal privata slutpunkter per hanterad HSM: 64.

Standardantal hanterad HSM med privata slutpunkter per prenumeration: 400.

Mer information finns i Azure Private Link-tjänsten: Begränsningar

Nästa steg

• Läs mer om Azure Private Link
• Läs mer om Managed HSM