Öğretici – PowerShell kullanarak HSM'leri mevcut bir sanal ağa dağıtma
Azure Ayrılmış HSM Hizmeti, tam yönetim denetimi ve tam yönetim sorumluluğu ile tek müşteri kullanımı için fiziksel bir cihaz sağlar. Fiziksel donanım sağladığı için, Kapasitenin etkili bir şekilde yönetildiğinden emin olmak için Microsoft'un bu cihazların nasıl ayrıldığını denetlemesi gerekir. Sonuç olarak, Bir Azure aboneliğinde Ayrılmış HSM hizmeti normalde kaynak sağlama için görünür olmaz. Ayrılmış HSM hizmetine erişim gerektiren herhangi bir Azure müşterisi, Ayrılmış HSM hizmeti için kayıt isteğinde bulunmak için önce Microsoft hesabı yöneticisiyle iletişime geçmelidir. Yalnızca bu işlem başarıyla tamamlandıktan sonra sağlama mümkün olacaktır. Bu öğretici, aşağıdaki durumlarda tipik bir sağlama sürecini göstermeyi amaçlar:
- Müşterinin zaten bir sanal ağı var
- Sanal makineleri var
- Mevcut ortama HSM kaynakları eklemeleri gerekir.
Tipik, yüksek kullanılabilirlik, çok bölgeli dağıtım mimarisi aşağıdaki gibi görünebilir:
Bu öğreticide bir çift HSM ve gerekli ExpressRoute ağ geçidinin (yukarıdaki alt ağa bakın) mevcut bir sanal ağ ile tümleştirilmesine (yukarıdaki VNET 1'e bakın) odaklanılır. Diğer tüm kaynaklar standart Azure kaynaklarıdır. Aynı tümleştirme işlemi, yukarıdaki VNET 3'teki alt 4 alt ağındaki HSM'ler için de kullanılabilir.
Not
Azure ile etkileşime geçmek için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.
Önkoşullar
Azure Ayrılmış HSM şu anda Azure portal kullanılamaz, bu nedenle hizmetle tüm etkileşim komut satırı aracılığıyla veya PowerShell kullanılarak gerçekleştirilir. Bu öğreticide Azure Cloud Shell PowerShell kullanılacaktır. PowerShell'i kullanmaya yeni başladıysanız buradaki başlangıç yönergelerini izleyin: Başlarken'i Azure PowerShell.
Varsayımlar:
- Microsoft Account Manager'ı atamış ve Azure Ayrılmış HSM'yi ekleme ve kullanma hakkı elde etmek için yıllık toplam taahhüt edilen Azure gelirinde beş milyon ABD doları (5 milyon ABD doları) veya daha büyük parasal gereksinimi karşılamıştır.
- Azure Ayrılmış HSM kayıt işleminden geçtiniz ve hizmetin kullanımı için onay aldınız. Aksi takdirde ayrıntılar için Microsoft hesabı temsilcinize başvurun.
- Bu kaynaklar için bir Kaynak Grubu oluşturdunuz ve bu öğreticide dağıtılan yeniler bu gruba katılacak.
- Yukarıdaki diyagrama göre gerekli sanal ağı, alt ağı ve sanal makineleri zaten oluşturdunuz ve şimdi 2 HSM'yi bu dağıtımla tümleştirmek istiyorsunuz.
Aşağıdaki tüm yönergelerde, Azure portal zaten gezindiğiniz ve Cloud Shell açtığınız varsayılır (portalın sağ üst kısmındaki ">_" öğesini seçin).
Ayrılmış HSM sağlama
HSM'lerin sağlanması ve ExpressRoute ağ geçidi aracılığıyla mevcut bir sanal ağ ile tümleştirilmesi, diğer yapılandırma etkinlikleri için HSM cihazının erişilebilirliğini ve temel kullanılabilirliğini sağlamak üzere ssh komut satırı aracı kullanılarak doğrulanır. Aşağıdaki komutlar, HSM kaynaklarını ve ilişkili ağ kaynaklarını oluşturmak için bir Resource Manager şablonu kullanır.
Özellik Kaydını Doğrulama
Yukarıda belirtildiği gibi, herhangi bir sağlama etkinliği için Ayrılmış HSM hizmetinin aboneliğiniz için kayıtlı olması gerekir. Bunu doğrulamak için Azure portal Cloud Shell aşağıdaki PowerShell komutunu çalıştırın.
Get-AzProviderFeature -ProviderNamespace Microsoft.HardwareSecurityModules -FeatureName AzureDedicatedHsm
Devam etmeden önce komutun "Kayıtlı" (aşağıda gösterildiği gibi) durumunu döndürmesi gerekir. Bu hizmete kayıtlı değilseniz lütfen Microsoft hesabı temsilcinize başvurun.
HSM kaynakları oluşturma
Müşterilerin sanal ağına bir HSM cihazı sağlanır. Bu, alt ağ gereksinimini ifade eder. HSM'nin sanal ağ ile fiziksel cihaz arasındaki iletişimi etkinleştirme bağımlılığı bir ExpressRoute ağ geçididir ve son olarak Thales istemci yazılımını kullanarak HSM cihazına erişmek için bir sanal makine gerekir. Bu kaynaklar, kullanım kolaylığı için ilgili parametre dosyasıyla birlikte bir şablon dosyasına toplanmıştır. Dosyalar doğrudan adresinden HSMrequest@Microsoft.comMicrosoft'a başvurarak kullanılabilir.
Dosyaları aldıktan sonra, kaynaklarda tercih ettiğiniz adları eklemek için parametre dosyasını düzenlemeniz gerekir. Bu, satırları "value": "" ile düzenleme anlamına gelir.
namingInfixHSM kaynaklarının adları için ön ekExistingVirtualNetworkNameHSM'ler için kullanılan sanal ağın adıDedicatedHsmResourceName1Veri merkezi damgası 1'deki HSM kaynağının adıDedicatedHsmResourceName2Veri merkezi damgası 2'deki HSM kaynağının adıhsmSubnetRangeHSM'ler için alt ağ IP Adresi aralığıERSubnetRangeVNET ağ geçidi için alt ağ IP Adresi aralığı
Bu değişikliklere örnek olarak şunlar verilmiştir:
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json",
"contentVersion": "1.0.0.0",
"parameters": {
"namingInfix": {
"value": "MyHSM"
},
"ExistingVirtualNetworkName": {
"value": "MyHSM-vnet"
},
"DedicatedHsmResourceName1": {
"value": "HSM1"
},
"DedicatedHsmResourceName2": {
"value": "HSM2"
},
"hsmSubnetRange": {
"value": "10.0.2.0/24"
},
"ERSubnetRange": {
"value": "10.0.255.0/26"
},
}
}
İlişkili Resource Manager şablon dosyası şu bilgilerle altı kaynak oluşturur:
- Belirtilen VNET'teki HSM'ler için bir alt ağ
- Sanal ağ geçidi için bir alt ağ
- Sanal ağı HSM cihazlarına bağlayan bir sanal ağ geçidi
- Ağ geçidi için genel IP adresi
- Damga 1'de bir HSM
- Damga 2'de bir HSM
Parametre değerleri ayarlandıktan sonra dosyaların kullanılmak üzere Azure portal Cloud Shell dosya paylaşımına yüklenmesi gerekir. Azure portal sağ üstteki ">_" Cloud Shell simgesine tıklayın; bu, ekranın alt kısmını bir komut ortamı yapar. Bunun için seçenekler BASH ve PowerShell'tir ve henüz ayarlanmadıysa BASH'i seçmeniz gerekir.
Komut kabuğunun araç çubuğunda karşıya yükleme/indirme seçeneği vardır ve şablonu ve parametre dosyalarını dosya paylaşımınıza yüklemek için bunu seçmeniz gerekir:
Dosyalar karşıya yüklendikten sonra kaynak oluşturmaya hazırsınız demektir. Yeni HSM kaynakları oluşturmadan önce, mevcut olduğundan emin olmanız gereken bazı önkoşul kaynaklar vardır. İşlem, HSM'ler ve ağ geçidi için alt ağ aralıklarına sahip bir sanal ağınız olmalıdır. Aşağıdaki komutlar, böyle bir sanal ağı neyin oluşturacağını gösteren bir örnek olarak hizmet eder.
$compute = New-AzVirtualNetworkSubnetConfig `
-Name compute `
-AddressPrefix 10.2.0.0/24
$delegation = New-AzDelegation `
-Name "myDelegation" `
-ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"
$hsmsubnet = New-AzVirtualNetworkSubnetConfig `
-Name hsmsubnet `
-AddressPrefix 10.2.1.0/24 `
-Delegation $delegation
$gwsubnet= New-AzVirtualNetworkSubnetConfig `
-Name GatewaySubnet `
-AddressPrefix 10.2.255.0/26
New-AzVirtualNetwork `
-Name myHSM-vnet `
-ResourceGroupName myRG `
-Location westus `
-AddressPrefix 10.2.0.0/16 `
-Subnet $compute, $hsmsubnet, $gwsubnet
Not
Sanal ağ için dikkat edilmesi gereken en önemli yapılandırma, HSM cihazının alt ağının "Microsoft.HardwareSecurityModules/dedicatedHSMs" olarak ayarlanmış temsilcilere sahip olması gerektiğidir. HSM sağlama bu olmadan çalışmaz.
Tüm önkoşullar sağlandıktan sonra, benzersiz adlarınızla (en azından kaynak grubu adı) değerleri güncelleştirdiğinizden emin olmak üzere Resource Manager şablonunu kullanmak için aşağıdaki komutu çalıştırın:
New-AzResourceGroupDeployment -ResourceGroupName myRG `
-TemplateFile .\Deploy-2HSM-toVNET-Template.json `
-TemplateParameterFile .\Deploy-2HSM-toVNET-Params.json `
-Name HSMdeploy -Verbose
Bu komutun tamamlanması yaklaşık 20 dakika sürmelidir. Kullanılan "ayrıntılı" seçeneği, durumun sürekli görüntülenmesini sağlar.
"provisioningState": "Succeeded" ile gösterilen başarıyla tamamlandığında, mevcut sanal makinenizde oturum açabilir ve HSM cihazının kullanılabilirliğini sağlamak için SSH kullanabilirsiniz.
Dağıtımı Doğrulama
Cihazların sağlandığını doğrulamak ve cihaz özniteliklerini görmek için aşağıdaki komut kümesini çalıştırın. Kaynak grubunun uygun şekilde ayarlandığından ve kaynak adının parametre dosyasındaki gibi olduğundan emin olun.
$subid = (Get-AzContext).Subscription.Id
$resourceGroupName = "myRG"
$resourceName = "HSM1"
Get-AzResource -Resourceid /subscriptions/$subId/resourceGroups/$resourceGroupName/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/$resourceName
Artık Azure kaynak gezginini kullanarak kaynakları da görebilirsiniz. Gezgine girdikten sonra sol taraftaki "abonelikler"i genişletin, Ayrılmış HSM aboneliğinizi genişletin, "kaynak grupları"nı genişletin, kullandığınız kaynak grubunu genişletin ve son olarak "kaynaklar" öğesini seçin.
Dağıtımı Test Etme
Dağıtımı test etmek, HSM'lere erişebilen bir sanal makineye bağlanma ve ardından doğrudan HSM cihazına bağlanma durumudur. Bu eylemler, HSM'nin erişilebilir olduğunu doğrular. Ssh aracı sanal makineye bağlanmak için kullanılır. Komut aşağıdakine benzer ancak parametresinde belirttiğiniz yönetici adı ve dns adıyla birlikte.
ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com
Kullanılacak parola, parametre dosyasındaki paroladır. Linux VM'sinde oturum açtıktan sonra, kaynak <ön eki>hsm_vnic için portalda bulunan özel IP adresini kullanarak HSM'de oturum açabilirsiniz.
(Get-AzResource -ResourceGroupName myRG -Name HSMdeploy -ExpandProperties).Properties.networkProfile.networkInterfaces.privateIpAddress
IP adresine sahip olduğunuzda aşağıdaki komutu çalıştırın:
ssh tenantadmin@<ip address of HSM>
Başarılı olursa bir parola girmeniz istenir. Varsayılan parola PAROLA'dır. HSM sizden parolanızı değiştirmenizi ister, bu nedenle güçlü bir parola ayarlayın ve kuruluşunuzun parolayı depolamak ve kaybı önlemek için tercih edeceği mekanizmayı kullanın.
Önemli
Bu parolayı kaybederseniz HSM'nin sıfırlanması gerekir ve bu da anahtarlarınızı kaybetmeniz anlamına gelir.
Ssh kullanarak HSM cihazına bağlandığınızda, HSM'nin çalışır durumda olduğundan emin olmak için aşağıdaki komutu çalıştırın.
hsm show
Çıktı aşağıda gösterilen görüntüye benzemelidir:
Bu noktada, yüksek oranda kullanılabilir, iki HSM dağıtımı ve doğrulanmış erişim ve işlem durumu için tüm kaynakları ayırmış olursunuz. Daha fazla yapılandırma veya test, HSM cihazının kendisiyle daha fazla çalışma gerektirir. Bunun için, HSM'yi başlatmak ve bölümler oluşturmak için Thales Luna 7 HSM Yönetim Kılavuzu 7. bölümdeki yönergeleri izlemeniz gerekir. Thales müşteri destek portalına kaydolup Müşteri Kimliğine sahip olduğunuzda tüm belgeler ve yazılımlar doğrudan Thales'ten indirilebilir. Gerekli tüm bileşenleri almak için İstemci Yazılımı sürüm 7.2'yi indirin.
Kaynakları silme veya temizleme
Yalnızca HSM cihazını tamamladıysanız, kaynak olarak silinebilir ve ücretsiz havuza geri döndürülebilir. Bunu yaparken en belirgin endişe cihazdaki hassas müşteri verileridir. Bir cihazı "sıfırlamanın" en iyi yolu, HSM yönetici parolasını üç kez yanlış almaktır (not: Bu alet yöneticisi değildir, gerçek HSM yöneticisidir). Anahtar malzemeyi korumaya yönelik bir güvenlik önlemi olarak cihaz sıfırlanmış duruma gelene kadar Azure kaynağı olarak silinemez.
Not
Thales cihaz yapılandırmasıyla ilgili bir sorununuz varsa Thales müşteri desteğine başvurmanız gerekir.
Azure'da HSM kaynağını kaldırmak istiyorsanız, "$" değişkenlerini benzersiz parametrelerinizle değiştirerek aşağıdaki komutu kullanabilirsiniz:
$subid = (Get-AzContext).Subscription.Id
$resourceGroupName = "myRG"
$resourceName = "HSMdeploy"
Remove-AzResource -Resourceid /subscriptions/$subId/resourceGroups/$resourceGroupName/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/$resourceName
Sonraki adımlar
Öğreticideki adımları tamamladıktan sonra Ayrılmış HSM kaynakları sanal ağınızda sağlanır ve kullanılabilir. Artık tercih ettiğiniz dağıtım mimarisinin gerektirdiği daha fazla kaynakla bu dağıtımı tamamlayacak durumdasınız. Dağıtımınızı planlamaya yardımcı olmak hakkında daha fazla bilgi için Kavramlar belgelerine bakın. Birincil bölgede raf düzeyinde kullanılabilirliği ele alan iki HSM ve bölgesel kullanılabilirliği ele alan ikincil bölgede iki HSM içeren bir tasarım önerilir. Bu öğreticide kullanılan şablon dosyası, iki HSM dağıtımı için kolayca temel olarak kullanılabilir, ancak gereksinimlerinizi karşılamak için parametrelerinin değiştirilmesi gerekir.