البرنامج التعليمي: نشر خدمات "HSM" في شبكة ظاهرية موجودة باستخدام خدمة "Azure CLI"
توفر خدمة "HSM" المخصصة من "Azure" جهازاً مادياً للاستخدام الفردي للعميل، مع توفر تحكم إداري كامل ومسؤولية إدارية كاملة كذلك. يؤدي استخدام الأجهزة الفعلية إلى احتياج حساب "Microsoft" إلى التحكم في تخصيص الجهاز لضمان إدارة السعة بشكل فعال. ونتيجة لذلك، ضمن اشتراك Azure، لن تكون خدمة Dedicated HSM مرئية عادة لتوفير الموارد. يجب على أي عميل لـ "Azure" يحتاج إلى الوصول إلى خدمة "HSM" المخصصة، الاتصال أولاً بمدير حساب "Microsoft" لطلب التسجيل في خدمة "HSM" المخصصة. فقط بمجرد اكتمال هذه العملية بنجاح سيكون التوفير ممكناً.
يوضح البرنامج التعليمي عملية تزويد نموذجية حيث:
- العميل لديه شبكة ظاهرية بالفعل
- لديهم جهازاً ظاهرياً
- يحتاجون إلى إضافة موارد "HSM" إلى تلك البيئة الحالية.
قد تبدو بنية النشر النموذجية عالية التوفر ومتعددة المناطق كما يلي:
يركز هذا البرنامج التعليمي على زوج من "HSMs" ويتطلب "ExpressRoute gateway" (انظر الشبكة الفرعية 1 أعلاه) التي يتم دمجها في شبكة ظاهرية موجودة (انظر الشبكة الظاهرية 1 أعلاه). جميع الموارد الأخرى تمثل موارد "Azure" القياسية. يمكن استخدام نفس عملية التكامل مع خدمات "HSMs" في الشبكة الفرعية 4 على الشبكة الظاهرية 3 أعلاه.
المتطلبات الأساسية
لا تتوفر خدمة "HSM" المخصصة من "Azure" حالياً في "Azure portal". سيكون التفاعل بأكمله مع الخدمة عبر سطر الأوامر أو باستخدام خدمة "PowerShell". سيستخدم هذا البرنامج التعليمي واجهة سطر الأوامر (CLI) في خدمة "Azure Cloud Shell". إذا كنت جديدا على Azure CLI، فاتبع إرشادات بدء الاستخدام هنا: Azure CLI 2.0 بدء الاستخدام.
الافتراضات:
- لديك مدير حساب Microsoft معين وتفي بالمتطلبات النقدية البالغة خمسة ملايين دولار أمريكي (5 ملايين دولار أمريكي) أو أكثر في إجمالي إيرادات Azure الملتزم بها سنويا للتأهل للإلحاق واستخدام Azure Dedicated HSM.
- لقد مررت بعملية تسجيل Azure المخصص HSM وتمت الموافقة على استخدام الخدمة. إذا لم يكن كذلك، فاتصل بممثل حساب Microsoft للحصول على التفاصيل.
- لقد قمت بإنشاء مجموعة موارد لهذه الموارد وستنضم الموارد الجديدة التي تم نشرها في هذا البرنامج التعليمي إلى هذه المجموعة.
- لقد قمت بالفعل بإنشاء الشبكة الظاهرية الضرورية والشبكة الفرعية والأجهزة الظاهرية وفقًا للرسم التخطيطي أعلاه وتريد الآن دمج وحدتي HSM في هذا النشر.
تفترض جميع الإرشادات أدناه أنك انتقلت بالفعل إلى مدخل Microsoft Azure وفتحت Cloud Shell (حدد ">_" باتجاه أعلى يمين المدخل).
توفير خدمة "Dedicated HSM" المخصصة
سيتم التحقق من صحة توفير خدمة "HSMs" ودمجها في شبكة ظاهرية موجودة عبر "ExpressRoute gateway" باستخدام ssh. يساعد التحقق على ضمان إمكانية الوصول والتوفر الأساسي لجهاز "HSM" لأي أنشطة تكوين أخرى.
التحقق من صحة تسجيل الميزة
كما هو مذكور أعلاه، يتطلب أي نشاط توفير أن يتم تسجيل خدمة "HSM" المخصصة لاشتراكك. للتحقق من ذلك، قم بتشغيل الأمر التالي في "Azure portal Cloud Shell".
az feature show \
--namespace Microsoft.HardwareSecurityModules \
--name AzureDedicatedHSM
ينبغي إرجاع الأوامر حالة "Registered" (كما هو موضح أدناه). إذا لم تقم الأوامر بإرجاع "Registered" تحتاج إلى التسجيل لهذه الخدمة عن طريق الاتصال بممثل حسابك على "Microsoft".
إنشاء موارد خدمة "HSM"
قبل إنشاء موارد خدمة "HSM"، توجد بعض الموارد المطلوبة مسبقاً التي تحتاج إليها. يجب أن تكون لديك شبكة ظاهرية ذات نطاقات شبكة فرعية للحوسبة وخدمات "HSM" والبوابة. الأوامر التالية بمثابة مثال على ما يمكن أن ينشئ مثل هذه الشبكة الظاهرية.
az network vnet create \
--name myHSM-vnet \
--resource-group myRG \
--address-prefix 10.2.0.0/16 \
--subnet-name compute \
--subnet-prefix 10.2.0.0/24
az network vnet subnet create \
--vnet-name myHSM-vnet \
--resource-group myRG \
--name hsmsubnet \
--address-prefixes 10.2.1.0/24 \
--delegations Microsoft.HardwareSecurityModules/dedicatedHSMs
az network vnet subnet create \
--vnet-name myHSM-vnet \
--resource-group myRG \
--name GatewaySubnet \
--address-prefixes 10.2.255.0/26
ملاحظة
أهم تكوين يجب ملاحظته للشبكة الظاهرية، هو أن الشبكة الفرعية لجهاز بخدمة "HSM" يجب أن تحتوي على تفويضات معينة على "Microsoft.HardwareSecurityModules/dedicatedHSMs". لن يعمل توفير خدمة "HSM" من دون تعيين هذا الخيار.
بعد تكوين شبكة الاتصال، استخدم هذه الأوامر "Azure CLI" لتوفير خدمة "HSM".
استخدام أمر "az dedicated-hsm create" لتوفير خدمة "HSM" الأولي. يطلق على خدمة "HSM" اسم "hsm1". استبدال اشتراكك:
az dedicated-hsm create --location westus --name hsm1 --resource-group myRG --network-profile-network-interfaces \ /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnetيجب أن يستغرق هذا النشر من 25 إلى 30 دقيقة لإكماله مع كون الجزء الأكبر من ذلك الوقت يُستغرق في أجهزة بخدمة "HSM".
للحصول على خدمة "HSM" مخصصة حالياً، يمكن تشغيل الأمر "az dedicated-hsm show":
az dedicated-hsm show --resource group myRG --name hsm1توفير خدمة "HSM" الثانية باستخدام هذا الأمر:
az dedicated-hsm create --location westus --name hsm2 --resource-group myRG --network-profile-network-interfaces \ /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnetتشغيل أمر "az dedicated-hsm list" لعرض تفاصيل حول خدمات "HSMs" الحالية:
az dedicated-hsm list --resource-group myRG
توجد بعض الأوامر الأخرى التي قد تكون مفيدة. استخدام الأمر "az dedicated-hsm update" لتحديث خدمة "HSM":
az dedicated-hsm update --resource-group myRG –-name hsm1
لإزالة خدمة "HSM"، استخدم الأمر "az dedicated-hsm delete":
az dedicated-hsm delete --resource-group myRG –-name hsm1
التحقق من عملية النشر
للتحقق من أن الأجهزة قد تم توفيرها والاطلاع على سمات الجهاز، قم بتشغيل مجموعة الأوامر التالية. تأكد من تعيين مجموعة الموارد بشكل مناسب وأن اسم المورد مطابق لك تماماً مثل ملف المعلمة.
subid=$(az account show --query id --output tsv)
az resource show \
--ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM1
az resource show \
--ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM2
يبدو الإخراج مشابهاً لما يلي:
{
"id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSMl",
"identity": null,
"kind": null,
"location": "westus",
"managedBy": null,
"name": "HSM1",
"plan": null,
"properties": {
"networkProfile": {
"networkInterfaces": [
{
"id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/networkInterfaces/HSMl_HSMnic", "privatelpAddress": "10.0.2.5",
"resourceGroup": "HSM-RG"
}
L
"subnet": {
"id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/virtualNetworks/demo-vnet/subnets/hsmsubnet", "resourceGroup": "HSM-RG"
}
},
"provisioningState": "Succeeded",
"stampld": "stampl",
"statusMessage": "The Dedicated HSM device is provisioned successfully and ready to use."
},
"resourceGroup": "HSM-RG",
"sku": {
"capacity": null,
"family": null,
"model": null,
"name": "SafeNet Luna Network HSM A790",
"size": null,
"tier": null
},
"tags": {
"Environment": "prod",
"resourceType": "Hsm"
},
"type": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}
ستتمكن الآن أيضا من رؤية الموارد باستخدام مستكشف موارد Azure. بمجرد دخول المستكشف، قم بتمديد "subscriptions" على اليسار، وتمديد اشتراكك المحدد لخدمة "HSM" المخصصة، وتمديد "resource groups"، وتمديد مجموعة الموارد التي استخدمتها، وأخيراً حدد عنصر "resources".
اختبار عملية النشر
يُعد اختبار عملية النشر بمنزلة حالة اتصال بجهاز ظاهري يمكنها الوصول إلى خدمة "HSM" ثم الاتصال بجهاز يتميز بخدمة "HSM" بشكل مباشر. ستؤكد هذه الإجراءات على إمكانية الوصول إلى خدمة "HSM". تُستخدم أداة "ssh" للاتصال بالجهاز الظاهري. سيكون الأمر مشابها لما يلي لكن مع اسم المسؤول واسم DNS الذي حددته في المعلمة.
ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com
يمكن أيضاً استخدام عنوان IP للجهاز الظاهري بدلاً من اسم DNS في الأمر السابق. إذا كان الأمر ناجحا، فسيطالب بكلمة مرور، ويجب عليك إدخال ذلك. بمجرد تسجيل الدخول إلى الجهاز الظاهري، يمكنك تسجيل الدخول إلى خدمة "HSM" باستخدام عنوان IP الخاص الموجود في المدخل لمورد واجهة الشبكة المقترن بخدمة "HSM".
ملاحظة
لاحظ خانة الاختيار "Show hidden types"، وعند تحديدها سيتم عرض موارد "HSM".
في لقطة الشاشة السابقة، سيؤدي النقر على "HSM1_HSMnic" أو "HSM2_HSMnic" إلى إظهار عنوان IP الخاص المناسب. خلاف ذلك، فإن الأمر az resource show المستخدم أعلاه هو وسيلة لتحديد عنوان IP الصحيح.
عندما يكون لديك عنوان IP الصحيح، قم بتشغيل الأمر التالي لاستبدال هذا العنوان:
ssh tenantadmin@10.0.2.4
إذا نجحت، فستتم مطالبتك بكلمة مرور. كلمة المرور الافتراضية هي "PASSWORD" وستطلب خدمة "HSM" أولاً تغيير كلمة المرور الخاصة بك، لذا قم بتعيين كلمة مرور قوية واستخدم أي آلية تفضلها مؤسستك لحفظ كلمة المرور ومنعها من الضياع.
هام
إذا نسيت كلمة المرور، فسيتعين عليك إعادة تعيين خدمة "HSM" وهذا يعني فقدان مفاتيح اختصاراتك.
عند الاتصال ب HSM باستخدام ssh، قم بتشغيل الأمر التالي للتأكد من تشغيل HSM.
hsm show
يجب أن يبدو الإخراج مثل الصورة الموضحة أدناه:
في هذه المرحلة، قمت بتخصيص جميع الموارد لتوزيع HSM عالي التوفر والوصول الذي تم التحقق من صحته وحالة التشغيل. يتضمن أي تكوين أو اختبار إضافي مزيداً من العمل مع جهاز يتميز بخدمة "HSM" نفسها. لهذا، يجب عليك اتباع التعليمات الواردة في دليل "Thales Luna 7 HSM Administration Guide" الفصل 7 لتهيئة خدمة "HSM" وإنشاء أقسام. تتوفر جميع المستندات والبرامج بشكل مباشر من "Thales" للتنزيل بمجرد تسجيلك في بوابة دعم عملاء "Thales" والحصول على "Customer ID". قم بتنزيل برنامج "Download Client Software" الإصدار 7.2 للحصول على جميع المكونات المطلوبة.
حذف الموارد أو تنظيفها
إذا انتهيت من جهاز HSM فقط، فيمكن حذفه كمورد وإعادته إلى التجمع المجاني. يتمثل الشيء الذي ينبغي القلق منه عند القيام بذلك في وجود أي بيانات عميل حساسة على الجهاز. أفضل طريقة ل "صفر" الجهاز هي الحصول على كلمة مرور مسؤول HSM بشكل خاطئ ثلاث مرات (ملاحظة: هذا ليس مسؤول الجهاز، إنه مسؤول HSM الفعلي). كإجراء أمان لحماية المواد الرئيسية، لا يمكن حذف الجهاز كمورد Azure حتى يكون في حالة صفرية.
ملاحظة
إذا كانت لديك مشكلة مع أي تكوين لجهاز "Thales"، فيجب عليك الاتصال بـ "دعم عملاء Thales".
إذا انتهيت من جميع الموارد في مجموعة الموارد هذه، فيمكنك إزالتها جميعا باستخدام الأمر التالي:
az group delete \
--resource-group myRG \
--name HSMdeploy \
--verbose
الخطوات التالية
بعد إكمال الخطوات الواردة في البرنامج التعليمي، يتم توفير موارد Dedicated HSM ولديك شبكة ظاهرية مع HSMs ضرورية، ومكونات شبكة إضافية لتمكين الاتصال ب HSM. أنت الآن في وضع يسمح لك بإكمال هذا التوزيع بمزيد من الموارد كما هو مطلوب من قبل بنية التوزيع المفضلة لديك. لمزيد من المعلومات حول المساعدة في تخطيط النشر الخاص بك، راجع مستندات "Concepts". يوصى بتصميم مع اثنين من خدمات "HSMs" في منطقة أولية يعالج التوفر على مستوى الحامل، واثنين من خدمات "HSM" في منطقة ثانوية لمعالجة التوافر الإقليمي.