Azure Ayrılmış HSM ağı

  • Makale
  • Okumak için 7 dakika

Azure Ayrılmış HSM yüksek oranda güvenli bir ağ ortamı gerektirir. Azure bulutundan müşterinin IT ortamına (şirket içi), dağıtılmış uygulamalar kullanma veya yüksek kullanılabilirlik senaryoları için bu doğrudur. Azure Ağ sağlar ve ele alınması gereken dört ayrı alan vardır.

  • Azure'da Sanal Ağ (VNet) içinde HSM cihazları oluşturma
  • HSM cihazlarının yapılandırması ve yönetimi için şirket içi kaynakları bulut tabanlı kaynaklara bağlama
  • Birbirine bağlanan uygulama kaynakları ve HSM cihazları için sanal ağlar oluşturma ve bağlama
  • Bölgeler arasında iletişim için ve yüksek kullanılabilirlik senaryolarını etkinleştirmek için sanal ağları birbirine bağlama

Ayrılmış HSM'ler için sanal ağ

Ayrılmış HSM'ler bir Sanal Ağ ile tümleştirilmiştir ve Azure'da müşterilerin kendi özel ağına yerleştirilir. Bu, sanal makinelerden veya sanal ağ içinde işlem kaynaklarından cihazlara erişim sağlar.
Azure hizmetlerini sanal ağ ile tümleştirme ve sağladığı özellikler hakkında daha fazla bilgi için bkz. Azure hizmetleri için sanal ağ belgeleri.

Sanal ağlar

Ayrılmış HSM cihazı sağlamadan önce, müşterilerin önce Azure'da bir Sanal Ağa gelen oluşturması veya müşteri aboneliğinde zaten var olan bir cihazı kullanması gerekir. Sanal ağ, Ayrılmış HSM cihazı için güvenlik çevresini tanımlar. Sanal ağ oluşturma hakkında daha fazla bilgi için sanal ağ belgelerine bakın.

Alt ağlar

Alt ağlar, sanal ağı, içinde yer alan Azure kaynakları tarafından kullanılabilir ayrı adres alanlarına segmentlere ayırıyor. Ayrılmış HSM'ler sanal ağda bir alt ağa dağıtılır. Müşterinin alt ağına dağıtılan her Ayrılmış HSM cihazı, bu alt ağdan özel bir IP adresi alır. HSM aygıtının dağıtılacağı alt ağın hizmete açıkça temsilci olarak atanmış olması gerekir: Microsoft.HardwareSecurityModules/dedicatedHSMs. Bu, alt ağda dağıtım için HSM hizmetine belirli izinler verir. Ayrılmış HSM'lere temsilci seçme, alt ağda belirli ilke kısıtlamalarına neden olur. Ağ Güvenlik Grupları (NSG'ler) User-Defined Yolları (UDR) şu anda temsilcili alt ağlarda desteklenmiyor. Sonuç olarak, bir alt ağ ayrılmış HSM'lere devredildi mi yalnızca HSM kaynaklarını dağıtmak için kullanılabilir. Diğer tüm müşteri kaynaklarının alt ağ içine dağıtımı başarısız olur. Ayrılmış HSM alt ağının ne kadar büyük veya küçük olması gerektiğine yönelik bir gereksinim yoktur, ancak her HSM cihazı bir özel IP kullanır, bu nedenle alt ağın dağıtım için gereken sayıda HSM cihazına yetecek kadar büyük olduğundan emin olunmalıdır.

ExpressRoute ağ geçidi

Geçerli mimarinin bir gereksinimi, müşterilerin alt ağın HSM cihazı ile Azure tümleştirmesini etkinleştirmek için bir HSM cihazı yerleştiril ihtiyacı olan ExpressRoute ağ geçidinin yapılandırmasıdır. Bu ExpressRoute ağ geçidi, şirket içi konumları Azure'daki müşterilerin HSM cihazlarına bağlamak için kullanılamaz.

Şirket içi IT'nizi Azure'a bağlama

Bulut tabanlı kaynaklar oluştururken, şirket içi IT kaynaklarına özel bağlantı için tipik bir gereksinimdir. Ayrılmış HSM söz konusu olursa, bu ağırlıklı olarak HSM istemci yazılımının HSM cihazlarını yapılandırmaya ve ayrıca yedeklemeler ve HSM'lerden analiz için günlük çekme gibi etkinliklere yöneliktir. Burada önemli bir karar noktası, seçenekler olduğu için bağlantının doğasıdır. Azure bulutlarında kaynaklarla (HSM'ler dahil) güvenli iletişim gerektiren birden çok şirket içi kaynak olması olasıdır ve en esnek seçenek Siteden Siteye VPN'tir. Bu, müşteri kuruluşlarının bağlantıyı kolaylaştırmak için bir VPN cihazına sahip olduğunu gerektirir. Şirket içinde tek bir yönetim iş istasyonu gibi yalnızca tek bir uç nokta varsa Noktadan Siteye VPN bağlantısı kullanılabilir. Bağlantı seçenekleri hakkında daha fazla bilgi için bkz. VPN Gateway seçenekleri.

Not

Şu anda ExpressRoute, şirket içi kaynaklara bağlantı için bir seçenek değildir. Ayrıca, yukarıda açıklandığı gibi kullanılan ExpressRoute Ağ Geçidinin şirket içi altyapı bağlantıları için olmadığını da not edin.

Noktadan Siteye VPN

Noktadan siteye Sanal Özel Ağ, şirket içi tek bir uç noktaya güvenli bağlantının en basit biçimidir. Bu, Azure tabanlı ayrılmış HSM'ler için yalnızca tek bir yönetim iş istasyonuna sahip olmak için uygun olabilir.

Siteler arası VPN

Siteden siteye Sanal Özel Ağ, Azure tabanlı Ayrılmış HSM'ler ile şirket içi IT'niz arasında güvenli iletişim sağlar. Bunu yapmak için HSM'nin şirket içi için bir yedekleme tesisine sahip olmak ve yedeklemeyi çalıştıracak ikisi arasında bir bağlantı olması gerekir.

Sanal ağları bağlama

Ayrılmış HSM için tipik bir dağıtım mimarisi, HSM cihazlarının oluşturularak sağlandı olduğu tek bir sanal ağ ve buna karşılık gelen alt ağ ile başlar. Aynı bölge içinde, Ayrılmış HSM'yi kullanan uygulama bileşenleri için ek sanal ağlar ve alt ağlar da olabilir. Bu ağlar arasında iletişimi etkinleştirmek için Sanal Ağ Eşlemesi kullanıyoruz.

Sanal ağ eşleme

Bir bölgede birbirlerinin kaynaklarına erişmesi gereken birden çok sanal ağ olduğunda, Sanal Ağ Eşlemesi bunlar arasında güvenli iletişim kanalları oluşturmak için kullanılabilir. Sanal ağ eşlemesi yalnızca güvenli iletişimler sağlamakla birlikte Azure'daki kaynaklar arasında düşük gecikme süresine ve yüksek bant genişliğine sahip bağlantılar sağlar.

ağ eşleme

Azure Bölgeleri arasında bağlanma

HSM cihazları, yazılım kitaplıkları aracılığıyla trafiği alternatif bir HSM'ye yönlendirme özelliğine sahip olur. Cihazların başarısız olması veya bir cihaza erişimin kaybedilmesi trafik yeniden yönlendirmesi için yararlıdır. Bölgesel düzeyde hata senaryoları, HSM'leri diğer bölgelere dağıtarak ve bölgeler arasında sanal ağlar arasında iletişim sağlayarak azaltabilirsiniz.

VPN ağ geçidini kullanarak bölgeler arası HA

Küresel olarak dağıtılan uygulamalar veya yüksek kullanılabilirlik bölgesel yük devretme senaryoları için, bölgeler arasında sanal ağları bağlamak için gereklidir. Bu Azure Ayrılmış HSM, iki sanal ağ arasında güvenli bir tünel VPN Gateway bir ağ kullanılarak yüksek kullanılabilirlik elde edilebilir. Sanal ağdan sanal ağa bağlantılar hakkında daha fazla bilgi için VPN Gateway nedir? başlıklı makaleye VPN Gateway.

Not

Şu anda Ayrılmış HSM'ler ile bölgeler arası bağlantı senaryolarında genel sanal ağ eşlemesi kullanılamaz ve bunun yerine VPN ağ geçidi kullanılmalıdır.

Diyagramda iki V P N ağ geçidiyle birbirine bağlanan iki bölge yer almaktadır. Her bölge eşli sanal ağlar içerir.

Ağ Kısıtlamaları

Not

Alt ağ temsilcisi kullanan Ayrılmış HSM hizmetinin kısıtlaması, bir HSM dağıtımı için hedef ağ mimarisini tasarlarken dikkate alınacak kısıtlamalardır. Alt ağ temsilcisi kullanımının, NSG'ler, UDR'ler ve Genel Sanal Ağ Eşlemesi'nin Ayrılmış HSM'de desteklenemci olduğu anlamına gelir. Aşağıdaki bölümlerde, bu özellikler için aynı veya benzer bir sonuca ulaşmak için alternatif teknikler konusunda yardım verilmiştir.

Ayrılmış HSM sanal ağın içinde bulunan HSM NIC' de Ağ Güvenlik Grupları veya Kullanıcı Tanımlı Yollar kullanılamaz. Bu, Ayrılmış HSM sanal ağı açısından varsayılan reddetme ilkelerinin ayarlanamama ve Ayrılmış HSM hizmetine erişim elde etmek için diğer ağ kesimlerinin izin verlistesine sahip olması anlamına gelir.

Ağ Sanal Gereçleri (NVA) Ara Sunucu çözümünü eklemek, ayrıca geçiş/DMZ hub'larında bir NVA güvenlik duvarının mantıksal olarak HSM NIC'nin önüne yerleştirilerek NSG'lere ve UDR'lere gereken alternatifin sağlanmasına da olanak sağlar.

Çözüm Mimarisi

Bu ağ tasarımı aşağıdaki öğeleri gerektirir:

  1. NVA proxy katmanına sahip bir geçiş veya DMZ hub sanal ağı. İdeal olarak iki veya daha fazla NVA vardır.
  2. Özel eşleme etkinleştirilmiş bir ExpressRoute bağlantı hattı ve geçiş hub'ı VNet bağlantısı.
  3. Geçiş hub'ı sanal ağı ile Ayrılmış HSM sanal ağı arasında bir sanal ağ eşlemesi.
  4. NVA güvenlik duvarı Azure Güvenlik Duvarı bir seçenek olarak hub'da DMZ hizmetleri dağıtılabilir.
  5. Ek iş yükü bağlı sanal ağları merkez sanal ağıyla eş olabilir. Gemalto istemcisi, merkez sanal ağı üzerinden ayrılmış HSM hizmetine erişebilirsiniz.

NSG ve UDR geçici çözümü için NVA ara sunucu katmanına sahip bir DMZ hub sanal ağının gösterildiği diyagram

NVA ara sunucu çözümünü eklemek ayrıca, geçiş/DMZ hub'larında bir NVA güvenlik duvarının mantıksal olarak HSM NIC'nin önüne yerleştirilerek gerekli varsayılan reddetme ilkelerinin sağlanmasına da olanak sağlar. Örneğimizde, bu amaçla Azure Güvenlik Duvarı ve aşağıdaki öğelerin yerinde gerektirmektedir:

  1. DMZ hub Azure Güvenlik Duvarı "AzureFirewallSubnet" alt ağın içine dağıtılmış bir sanal ağ
  2. Trafiği Azure ILB özel uç noktasına yönlendiren bir UDR'ye sahip yönlendirme Azure Güvenlik Duvarı. Bu Yönlendirme Tablosu müşterinin ExpressRoute Sanal Ağ Geçidinin bulunduğu GatewaySubnet'e uygulanır
  3. Güvenilen bir kaynak aralığı ile 1792 TCP bağlantı noktası üzerinden dinleyen Azure IBL özel uç noktası arasında iletmeye izin vermek için AzureFirewall içindeki ağ güvenlik kuralları. Bu güvenlik mantığı, Ayrılmış HSM hizmetine gerekli "varsayılan reddetme" ilkesi ekler. Yani Ayrılmış HSM hizmetine yalnızca güvenilen kaynak IP aralıklarına izin verilir. Diğer tüm aralıklar bırakılır.
  4. UDR'ye sahip olan ve trafiğin giden trafiği doğrudan bir UDR'ye yönlendiren yönlendirme Azure Güvenlik Duvarı. Bu Yönlendirme Tablosu NVA proxy alt ağına uygulanır.
  5. Proxy NVA alt ağın yalnızca kaynak olarak Azure Güvenlik Duvarı alt ağ aralığına güvenmesi ve yalnızca 1792 TCP bağlantı noktası üzerinden HSM NIC IP adresine iletmeye izin vermek için bir NSG uygulanmıştır.

Not

NVA proxy katmanı, HSM NIC'ye iletilen istemci IP adresini SNAT iletir, HSM sanal ağı ile DMZ hub sanal ağı arasında UDR gerekmez.

UDR'lere alternatif

Yukarıda bahsedilen NVA katmanı çözümü, UDR'lere alternatif olarak çalışır. Dikkat etmek gereken bazı önemli noktalar var.

  1. Ağ Adresi Çevirisi, dönüş trafiğinin doğru yönlendirilemesine olanak sağlayacak şekilde NVA'da yapılandırılacaktır.
  2. Müşterilerin NAT için VNA kullanmak üzere Luna HSM yapılandırmasında istemci ip-check'i devre dışı bırakması gerekir. Aşağıdaki komutlar örnek olarak servce'yi içerir.
Disable:
[hsm01] lunash:>ntls ipcheck disable
NTLS client source IP validation disabled
Command Result : 0 (Success)

Show:
[hsm01] lunash:>ntls ipcheck show
NTLS client source IP validation : Disable
Command Result : 0 (Success)
  1. NVA katmanına giriş trafiği için UDR'ler dağıtın.
  2. Tasarıma göre, HSM alt ağları platform katmanına giden bağlantı isteği başlatmaz.

Genel Uygulama kullanımına alternatif Sanal Ağ Eşleme

Genel sanal ağ eşlemeye alternatif olarak kullanabileceğiniz birkaç mimari vardır.

  1. Sanal ağdan sanal ağa bağlantı VPN Gateway kullanma
  2. Bağlan ER bağlantı hattına sahip başka bir sanal ağ ile HSM sanal ağı. Bu en iyi, doğrudan şirket içi yol gerektiğinde veya VPN VNET'i olduğunda çalışır.

Doğrudan Express Route bağlantısı olan HSM

Doğrudan Express Route bağlantısı olan HSM'yi gösteren diyagram

Sonraki adımlar