التشغيل السريع: توفير وحدة HSM مُدارة وتنشيطها باستخدام واجهة Azure CLI

  • مقالة

في هذا التشغيل السريع، تنشئ وتنشط وحدة أمان الأجهزة المُدارة (HSM) في Azure Key Vault باستخدام Azure CLI. وحدة أمان الأجهزة المُدارة هي خدمة سحابية مُدارة بالكامل وعالية الإتاحة لمستأجر واحد ومتوافقة مع المعايير، تتيح لك إمكانية حماية مفاتيح التشفير الخاصة بتطبيقاتك السحابية باستخدام وحدات أمان الأجهزة المعتمدة طبقاً للمستوى الثالث من معايير معالجة المعلومات الفيدرالية (FIPS) 140-2. لمزيد من المعلومات حول وحدة أمان الأجهزة المُدارة، يمكنك مراجعة قسم نظرة عامة.

المتطلبات الأساسية

لإكمال الخطوات في هذه المقالة تحتاج إليها:

  • اشتراك في منصة Microsoft Azure. إذا لم يكن لديك أي حساب، يمكن التسجيل للحصول على تجربة مجانية.
  • الإصدار 2.25.0 من Azure CLI أو أحدث. قم بتشغيل az --version للعثور على الإصدار. إذا كنت بحاجة إلى التثبيت أو الترقية، فراجع تثبيت Azure CLI.

Azure Cloud Shell

Azure يستضيف Azure Cloud Shell، بيئة تفاعلية يمكن استخدامها من خلال المستعرض. يمكنك استخدام Bash أو PowerShell مع Cloud Shell للعمل مع خدمات Azure. يمكنك استخدام أوامر Cloud Shell المثبتة مسبقًا لتشغيل التعليمات البرمجية في هذه المقالة دون الحاجة إلى تثبيت أي شيء على البيئة المحلية.

لبدء Azure Cloud Shell:

خيار مثال/ رابط
انقر فوق ⁧⁩جربه⁧⁩ في الزاوية العلوية اليسرى من التعليمة البرمجية أو كتلة الأمر. تحديد ⁧⁩جربه⁧⁩ لا يقوم بنسخ التعليمة البرمجية أو الأمر تلقائيًا إلى Cloud Shell. Screenshot that shows an example of Try It for Azure Cloud Shell.
انتقل إلى ⁧⁩⁧ https://shell.azure.com⁩⁧⁩، أو حدد زر ⁩تشغيل Cloud Shell لفتح Cloud Shell في المتصفح لديك. Button to launch Azure Cloud Shell.
حدد زر Cloud Shell على شريط القوائم في أعلى اليمين في مدخل Microsoft Azure. Screenshot that shows the Cloud Shell button in the Azure portal

لاستخدام Azure Cloud Shell:

  1. ابدأ تشغيل Cloud Shell.

  2. حدد الزر نسخ على كتلة التعليمات البرمجية (أو كتلة الأوامر) لنسخ التعليمات البرمجية أو الأمر.

  3. ألصق التعليمة البرمجية أو الأمر في جلسة Cloud Shell بتحديد Ctrl+Shift+Vعلى Windows وLunix، أو بتحديد Cmd+Shift+Vعلى macOS.

  4. حدد Enter لتشغيل التعليمات البرمجية أو الأمر.

تسجيل الدخول إلى Azure

لتسجيل الدخول إلى Azure باستخدام CLI، يمكنك كتابة ما يلي:

az login

إنشاء مجموعة موارد

وتُعد مجموعة الموارد عبارة عن حاوية منطقية يتم فيها توزيع موارد Azure وإدارتها. في المثال التالي، يتم إنشاء مجموعة موارد باسم ContosoResourceGroup في موقع eastus2.

az group create --name "ContosoResourceGroup" --location eastus2

إنشاء وحدة HSM مُدارة

يُعد إنشاء وحدة أمان أجهزة مُدارة عملية تتألف من خطوتين:

  1. توفير مورد لوحدة HSM المُدارة.
  2. نشّط وحدة الأجهزة المُدارة لديك عن طريق تنزيل أداة تُسمى مجال الأمان.

توفير وحدة أمان أجهزة مُدارة

استخدم الأمر az keyvault create لإنشاء وحدة HSM مُدارة. يحتوي هذا البرنامج النصي على ثلاث معلمات إلزامية وهي: اسم لمجموعة الموارد، واسم لوحدة HSM، والموقع الجغرافي.

تحتاج إلى توفير الإدخالات التالية لإنشاء مورد لوحدة HSM المُدارة:

  • مجموعة موارد سيتم وضعها في اشتراكك.
  • موقع Azure.
  • قائمة بالمسؤولين الأولين.

ينشئ المثال التالي HSM يسمى ContosoMHSM، في مجموعة الموارد ContosoResourceGroup، الموجودة في موقع شرق الولايات المتحدة 2 ، مع المستخدم الحالي الذي قام بتسجيل الدخول كمسؤول فقط، مع فترة استبقاء 7 أيام للحذف المبدئي. سيستمر فوترة HSM المدارة حتى يتم إزالتها في فترة حذف مبدئي. لمزيد من المعلومات، راجع الحماية من الحذف المبدئي ل HSM المدارة والإزالة واقرأ المزيد حول الحذف المبدئي ل HSM المدار.

oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "eastus2" --administrators $oid --retention-days 7

إشعار

إذا كنت تستخدم الهويات المدارة كمسؤولين أوليين ل HSM المدار، يجب إدخال OID/PrincipalID للهويات المدارة بعد "--المسؤولين" وليس ClientID.

إشعار

يمكن أن يستغرق أمر الإنشاء بضع دقائق. وبمجرد أن يعود بنجاح، يمكنك الاستعداد لتنشيط وحدة HSM لديك.

تحذير

تعتبر مثيلات HSM المدارة قيد الاستخدام دائمًا. إذا اخترت تمكين حماية التطهير باستخدام العلامة --enable-purge-protection، فستتم محاسبتك على كامل فترة الاستبقاء.

يعرض إخراج هذا الأمر خصائص وحدة HSM المُدارة التي أنشأتها. تتمثل أكثر خاصيتين مهمتين فيما يلي:

  • الاسم: في المثال، الاسم هو ContosoMHSM. ستستخدم هذا الاسم للأوامر الأخرة.
  • hsmUri: في المثال، معرّف URI هو 'https://contosohsm.managedhsm.azure.net.' لا بد للتطبيقات التي تستخدم وحدة HSM لديك من خلال واجهة REST API الخاصة بها استخدام معرّف URI هذا.

تمت المصادقة على حساب Azure لديك الآن لتنفيذ أي عمليات على وحدة HSM المُدارة هذه. وحتى هذه اللحظة، لم يحصل أي شخص آخر على مصادقة.

تنشيط وحدة أمان الأجهزة المُدارة

يتم تعطيل كل أوامر وحدة البيانات حتى تخضع وحدة HSM للتنشيط. على سبيل المثال، لن تتمكن من إنشاء مفاتيح أو تعيين أدوار. لا يمكن سوى للمسؤولين المخصصين الذين تم تعيينهم أثناء مرحلة أمر الإنشاء تنشيط وحدة HSM. لتنشيط وحدة أمان الأجهزة، يجب عليك تنزيل مجال الأمان.

لتنشيط وحدة أمان الأجهزة المُدارة، تحتاج إلى ما يلي:

  • لتوفير ثلاثة أزواج من مفاتيح RSA كحد أدنى (يمكن الوصول إلى 10 كحد أقصى)
  • لتحديد الحد الأدنى المطلوب من عدد المفاتيح لفك تشفير مجال الأمان (يُسمى حصة)

لتنشيط وحدة أمان الأجهزة، عليك إرسال 3 على الأقل (10 كحد أقصى) من مفاتيح RSA العامة إلى وحدة أمان الأجهزة. تعمل وحدة HSM على تشفير مجال الأمان باستخدام هذه المفاتيح وإعادة إرسالها. بمجرد الانتهاء من تنزيل مجال الأمان هذا بنجاح، تصبح وحدة HSM لديك جاهزة للاستخدام. كما يلزمك أيضاً تحديد الحصة، وهي الحد الأدنى لعدد المفاتيح الخاصة المطلوبة لفك تشفير مجال الأمان.

يوضح المثال أدناه كيفية استخدام openssl لإنشاء ثلاث شهادات موقعة ذاتياً.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

إشعار

حتى إذا انتهت صلاحية الشهادة، فلا يزال من الممكن استخدامها لاستعادة مجال الأمان.

هام

عليك إنشاء وتخزين أزواج مفاتيح RSA وملف مجال الأمان اللذين تم إنشاؤهما في هذه الخطوة بشكل آمن.

استخدم الأمر az keyvault security-domain download لتنزيل مجال الأمان وتنشيط وحدة HSM المُدارة لديك. في المثال التالي، تُستخدم ثلاثة أزواج من مفاتيح RSA (المفاتيح العامة فقط مطلوبة لهذا الأمر) وتعيّن الحصة إلى اثنين منهم.

az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json

يرجى تخزين ملف مجال الأمان وأزواج مفاتيح RSA بشكل آمن. ستحتاج إليهما من أجل عمليات الإصلاح بعد الكوارث أو لإنشاء وحدة أمان أجهزة مُدارة أخرى تتشارك مجال الأمان ذاته، وبالتالي يصبح بإمكانهما مشاركة المفاتيح.

بعد تنزيل مجال الأمان بنجاح، ستكون وحدة HSM لديك في حالة نشطة وجاهزة للاستخدام.

تنظيف الموارد

يعتمد البدء السريع والبرامج التعليمية الأخرى في هذه المجموعة على هذا البدء السريع. إذا كنت تخطط لمواصلة العمل مع الخطوات السريعة والبرامج التعليمية اللاحقة، فقد ترغب في ترك هذه الموارد في مكانها.

عندما لم تعد هناك حاجة إليها، يمكنك استخدام الأمر az group delete لإزالة مجموعة الموارد وجميع الموارد ذات الصلة. يمكنك حذف الموارد كما يلي:

az group delete --name ContosoResourceGroup

تحذير

يؤدي حذف مجموعة الموارد إلى وضع HSM المُدار في حالة حذف مبدئي. ستستمر فوترة HSM المُدار حتى تتم إزالته. راجع حماية الحذف المبدئي وإزالة HSM المُدار

الخطوات التالية

في هذه البداية السريعة، قمت بتوفير HSM مدار وتنشيطه. لمعرفة المزيد حول وحدة أمان الأجهزة المُدارة وكيفية دمجها في تطبيقاتك، تابع إلى هذه المقالات.