البدء السريع: توفير وتفعيل HSM مدار باستخدام Azure CLI

في هذا البدء السريع، تقوم بإنشاء وتفعيل وحدة أمان الأجهزة (Azure Key Vault Managed HSM) باستخدام Azure CLI. HSM المدارة هي خدمة سحابية مدارة بالكامل ومتاحة بشكل كبير ومستأجر واحد ومتوافقة مع المعايير تمكنك من حماية مفاتيح التشفير لتطبيقاتك السحابية، باستخدام وحدات HSM التي تم التحقق من صحتها من FIPS 140-3 المستوى 3 . لمزيد من المعلومات حول إدارة HSM، راجع النظرة العامة.

المتطلبات الأساسية

يتطلب اشتراك في Azure. في حال لم يكن لديك اشتراك، أنشئ حسابًا مجانيًا قبل البدء.

تحتاج أيضا إلى:

  • Azure CLI الإصدار 2.25.0 أو أحدث. قم بتشغيل az --version للعثور على الإصدار. إذا كنت بحاجة إلى تثبيت أو ترقية، راجع تثبيت Azure CLI.

Azure Cloud Shell

تستضيف Azure بيئة Azure Cloud Shell، وهي بيئة شل تفاعلية يمكنك استخدامها من خلال متصفحك. يمكنك استخدام Bash أو PowerShell مع Cloud Shell للعمل مع خدمات Azure. يمكنك استخدام أوامر Cloud Shell المثبتة مسبقا لتشغيل الكود في هذا المقال، دون الحاجة لتثبيت أي شيء على بيئتك المحلية.

لبدء Azure Cloud Shell:

خيار مثال/ رابط
انقر فوق ⁧⁩جربه⁧⁩ في الزاوية العلوية اليسرى من التعليمة البرمجية أو كتلة الأمر. اختيار Try It لا ينسخ الكود أو الأمر تلقائيا إلى Cloud Shell. لقطة شاشة تظهر مثالا على Try It ل Azure Cloud Shell.
اذهب إلى https://shell.azure.com، أو اختر زر Launch Cloud Shell لفتح Cloud Shell في متصفحك. زر لإطلاق Azure Cloud Shell.
اختر زر Cloud Shell في شريط القائمة في أعلى اليمين في بوابة Azure. لقطة شاشة تظهر زر Cloud Shell في بوابة Azure

لاستخدام Azure Cloud Shell:

  1. ابدأ Cloud Shell.

  2. حدد الزر نسخ على كتلة التعليمات البرمجية (أو كتلة الأوامر) لنسخ التعليمات البرمجية أو الأمر.

  3. قم بلصق الكود أو الأمر في جلسة Cloud Shell باختيار Ctrl+Shift+V على Windows ولينكس، أو باختيار Cmd+Shift+V على macOS.

  4. حدد Enter لتشغيل التعليمات البرمجية أو الأمر.

تسجيل الدخول إلى Azure

لتسجيل الدخول إلى Azure باستخدام واجهة السطوع، أدخل:

az login

لمزيد من المعلومات حول خيارات المصادقة عبر CLI، راجع تسجيل الدخول عبر Azure CLI.

إنشاء مجموعة موارد

مجموعة الموارد هي حاوية منطقية يتم فيها نشر وإدارة موارد Azure. استخدم الأمر إنشاء مجموعة az لإنشاء مجموعة موارد باسم myResourceGroup في موقع eastus.

az group create --name "myResourceGroup" --location "EastUS"

إنشاء وحدة HSM مُدارة

يُعد إنشاء وحدة أمان أجهزة مُدارة عملية تتألف من خطوتين:

  1. توفير مورد لوحدة HSM المُدارة.
  2. نشّط وحدة الأجهزة المُدارة لديك عن طريق تنزيل أداة تُسمى مجال الأمان.

توفير وحدة أمان أجهزة مُدارة

استخدم الأمر az keyvault create لإنشاء وحدة HSM مُدارة. يحتوي هذا البرنامج النصي على ثلاث معلمات إلزامية وهي: اسم لمجموعة الموارد، واسم لوحدة HSM، والموقع الجغرافي.

لإنشاء مورد إدارة الهيدرالية المستمرة، قدم المدخلات التالية:

  • اسم HSM المدار: سلسلة من 3 إلى 24 حرفا يمكن أن تحتوي فقط على أرقام (0-9)، وأحرف (a-z، A-Z)، وشرطات (-).

    هام

    يجب أن يكون لكل وحدة أمان أجهزة مُدارة اسماً فريداً. استبدل <hsm-name> باسمك الفريد الخاص باسم HSM المدار في الأمثلة التالية.

  • اسم مجموعة الموارد: myResourceGroup.

  • الموقع: إيست يو إس.

  • قائمة بالمسؤولين الأولين.

المثال التالي ينشئ جهاز HSM باسم <hsm-name> مجموعة الموارد myResourceGroup، ويقيم في موقع EastUS ، مع المستخدم الحالي المسجل كمسؤول وحيد، وفترة احتفاظ مدتها 7 أيام للحذف البرمج. تستمر في دفع رسوم HSM المدارة حتى يتم تطهيرها خلال فترة حذف ناعمة. لمزيد من المعلومات، راجع الحماية من الحذف المبدئي ل HSM المدارة والإزالة واقرأ المزيد حول الحذف المبدئي ل HSM المدار.

oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "<hsm-name>" --resource-group "myResourceGroup" --location "EastUS" --administrators $oid --retention-days 7

إشعار

إذا كنت تستخدم الهويات المدارة كمسؤولين أوليين لإدارة HSM الخاصة بك، أدخل معرف OID/PrincipalID للهويات المدارة بعد --administrators ذلك وليس معرف العميل.

إشعار

يمكن أن يستغرق أمر الإنشاء بضع دقائق. عندما تعود بنجاح، تكون جاهزا لتفعيل HSM الخاص بك.

تحذير

مثيلات HSM المدارة دائما قيد الاستخدام. إذا فعلت حماية التطهير باستخدام العلم --enable-purge-protection ، ستدفع مقابل كامل فترة الاحتفاظ.

يظهر إخراج هذا الأمر خصائص HSM المدارة التي قمت بإنشائها. تتمثل أكثر خاصيتين مهمتين فيما يلي:

  • الاسم: الاسم الذي حددته. يمكنك استخدام هذا الاسم لأوامر أخرى.
  • hsmUri: URI الخاص ب HSM الخاص بك (على سبيل المثال، https://<hsm-name>.managedhsm.azure.net). لا بد للتطبيقات التي تستخدم وحدة HSM لديك من خلال واجهة REST API الخاصة بها استخدام معرّف URI هذا.

حساب Azure الخاص بك الآن مخول لإجراء أي عمليات على هذا الحساب المدار. وحتى هذه اللحظة، لم يحصل أي شخص آخر على مصادقة.

تنشيط وحدة أمان الأجهزة المُدارة

جميع أوامر مستوى البيانات معطلة حتى تقوم بتفعيل HSM. لا يمكنك إنشاء مفاتيح أو تعيين أدوار. فقط المسؤولون المخصصون الذين تعينهم أثناء أمر إنشاء يمكنهم تفعيل HSM. لتنشيط وحدة أمان الأجهزة، يجب عليك تنزيل مجال الأمان.

لتنشيط HSM الخاص بك، تحتاج إلى:

  • حد أدنى من ثلاثة أزواج مفاتيح RSA (الحد الأقصى 10)
  • الحد الأدنى لعدد المفاتيح المطلوبة لفك تشفير مجال الأمان (يسمى النصاب)

ترسل على الأقل ثلاثة (بحد أقصى 10) مفاتيح RSA عامة إلى HSM. تعمل وحدة HSM على تشفير مجال الأمان باستخدام هذه المفاتيح وإعادة إرسالها. بمجرد اكتمال تحميل نطاق الأمان بنجاح، يصبح HSM جاهزا للاستخدام. تحتاج أيضا إلى تحديد النصاب القانوني، وهو الحد الأدنى لعدد المفاتيح الخاصة المطلوبة لفك تشفير نطاق الأمان.

يوضح المثال التالي كيفية استخدامها openssl لإنشاء ثلاث شهادات موقعة ذاتيا:

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

تاريخ انتهاء صلاحية الشهادة لا يؤثر على عمليات مجال الأمان — حتى الشهادة "المنتهية" يمكن استخدامها لاستعادة نطاق الأمان.

هام

هذه المفاتيح الخاصة في RSA هي جذر الثقة في إدارة HSM الخاصة بك. في بيئات الإنتاج، قم بتوليد هذه المفاتيح باستخدام نظام مفصول بالهواء أو نظام HSM داخل الموقع، وتخزينها بأمان. راجع أفضل ممارسات مجال الأمن للحصول على إرشادات مفصلة.

استخدم الأمر az keyvault security-domain download لتنزيل مجال الأمان وتنشيط وحدة HSM المُدارة لديك. في المثال التالي، تُستخدم ثلاثة أزواج من مفاتيح RSA (المفاتيح العامة فقط مطلوبة لهذا الأمر) وتعيّن الحصة إلى اثنين منهم.

az keyvault security-domain download --hsm-name <hsm-name> --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file <hsm-name>-SD.json

قم بتخزين ملف مجال الأمان وأزواج مفاتيح RSA بأمان. تحتاجها للتعافي من الكوارث أو لإنشاء إدارة HSM أخرى تشترك في نفس مجال الأمان حتى يتمكنا من مشاركة المفاتيح.

بعد تحميل نطاق الأمان بنجاح، يصبح HSM الخاص بك في حالة نشطة وجاهز للاستخدام.

تنظيف الموارد

يعتمد البدء السريع والبرامج التعليمية الأخرى في هذه المجموعة على هذا البدء السريع. إذا كنت تخطط لمواصلة العمل مع الخطوات السريعة والبرامج التعليمية اللاحقة، فقد ترغب في ترك هذه الموارد في مكانها.

عندما لا تكون هناك حاجة لها، يمكنك استخدام أمر Azure CLI az group delete لإزالة مجموعة الموارد وجميع الموارد ذات الصلة:

az group delete --name "myResourceGroup"

تحذير

يؤدي حذف مجموعة الموارد إلى وضع HSM المُدار في حالة حذف مبدئي. يستمر نظام HSM المدار في المحاسبة حتى يتم تطهيره. راجع حماية الحذف المبدئي وإزالة HSM المُدار

الخطوات التالية

في هذه البداية السريعة، قمت بتوفير HSM مدار وتنشيطه. لمعرفة المزيد حول وحدة أمان الأجهزة المُدارة وكيفية دمجها في تطبيقاتك، تابع إلى هذه المقالات.

  • Last updated on