Sítě Azure Dedicated HSM

  • Článek

Azure Dedicated HSM vyžaduje vysoce zabezpečené síťové prostředí. To platí bez ohledu na to, jestli je to z cloudu Azure zpět do IT prostředí zákazníka (v místním prostředí), pomocí distribuovaných aplikací nebo ve scénářích s vysokou dostupností. Sítě Azure to poskytují a existují čtyři různé oblasti, které je potřeba řešit.

  • Vytváření zařízení HSM v rámci Virtual Network (virtuální sítě) v Azure
  • Připojení místního prostředí ke cloudovým prostředkům za účelem konfigurace a správy zařízení HSM
  • Vytváření a propojení virtuálních sítí pro vzájemně propojující prostředky aplikací a zařízení HSM
  • Propojení virtuálních sítí mezi oblastmi za účelem vzájemné komunikace a také pro scénáře vysoké dostupnosti

Virtuální síť pro vyhrazené moduly HSM

Vyhrazené moduly HSM se integrují do Virtual Network a umístí se do vlastní privátní sítě zákazníků v Azure. To umožňuje přístup k zařízením z virtuálních počítačů nebo výpočetních prostředků ve virtuální síti.
Další informace o integraci služeb Azure do virtuální sítě a možnostech, které poskytuje, najdete v dokumentaci k virtuálním sítím pro služby Azure .

Virtuální sítě

Před zřízením vyhrazeného zařízení HSM musí zákazníci nejprve vytvořit Virtual Network v Azure nebo použít Virtual Network, který už existuje v předplatném zákazníka. Virtuální síť definuje hraniční zabezpečení pro vyhrazené zařízení HSM. Další informace o vytváření virtuálních sítí najdete v dokumentaci k virtuálním sítím.

Podsítě

Podsítě segmentují virtuální síť do samostatných adresních prostorů použitelných prostředky Azure, které do nich umístíte. Vyhrazené moduly HSM se nasazují do podsítě ve virtuální síti. Každé vyhrazené zařízení HSM nasazené v podsíti zákazníka obdrží privátní IP adresu z této podsítě. Podsíť, ve které je zařízení HSM nasazené, musí být explicitně delegovaná na službu: Microsoft.HardwareSecurityModules/dedicatedHSMs. Tím se službě HSM udělí určitá oprávnění k nasazení do podsítě. Delegování na vyhrazené moduly HSM ukládá pro podsíť určitá omezení zásad. Skupiny zabezpečení sítě (NSG) a trasy User-Defined se v delegovaných podsítích v současné době nepodporují. Výsledkem je, že jakmile je podsíť delegovaná na vyhrazené hsmy, je možné ji použít pouze k nasazení prostředků HSM. Nasazení všech dalších prostředků zákazníka do podsítě selže. Nevyžaduje se, jak velká nebo malá má být podsíť pro dedicated HSM, ale každé zařízení HSM bude využívat jednu privátní IP adresu, takže by se mělo zajistit, aby podsíť byla dostatečně velká, aby pojala tolik zařízení HSM, kolik je pro nasazení potřeba.

Brána ExpressRoute

Požadavkem aktuální architektury je konfigurace brány ExpressRoute v podsíti zákazníků, kde je potřeba umístit zařízení HSM, aby bylo možné zařízení HSM integrovat do Azure. Tuto bránu ExpressRoute nejde využít pro připojení místních umístění k zařízením HSM zákazníků v Azure.

Připojení místního IT k Azure

Při vytváření cloudových prostředků se jedná o typický požadavek na privátní připojení zpět k místním PROSTŘEDKŮm IT. V případě vyhrazeného HSM to bude převážně pro klientský software HSM ke konfiguraci zařízení HSM a také pro aktivity, jako jsou zálohování a načítání protokolů z HSM pro účely analýzy. Klíčovým rozhodovacím bodem je povaha připojení, protože existují možnosti. Nejflexibilnější možností je site-to-site VPN, protože pravděpodobně bude existovat několik místních prostředků, které vyžadují zabezpečenou komunikaci s prostředky (včetně HSM) v cloudu Azure. To bude vyžadovat, aby organizace zákazníka měla zařízení VPN pro usnadnění připojení. Připojení VPN typu Point-to-Site je možné použít, pokud existuje pouze jeden koncový bod v místním prostředí, například jedna pracovní stanice pro správu. Další informace o možnostech připojení najdete v tématu VPN Gateway možnosti plánování.

Poznámka

ExpressRoute v tuto chvíli není možnost připojení k místním prostředkům. Je také potřeba poznamenat, že brána ExpressRoute používaná výše popsaným způsobem není určená pro připojení k místní infrastruktuře.

Point-to-site VPN

Virtuální privátní síť typu point-to-site je nejjednodušší formou zabezpečeného připojení k jednomu místnímu koncovému bodu. To může být relevantní, pokud máte v úmyslu mít pro vyhrazené moduly HSM založené na Azure jenom jednu pracovní stanici pro správu.

Site-to-site VPN

Virtuální privátní síť typu site-to-site umožňuje zabezpečenou komunikaci mezi vyhrazenými moduly HSM založenými na Azure a místním IT. Důvodem je mít zařízení pro zálohování pro místní hsM a pro spuštění zálohování je potřeba připojení mezi těmito dvěma moduly.

Připojení virtuálních sítí

Typická architektura nasazení pro Dedicated HSM začne s jednou virtuální sítí a odpovídající podsítí, ve které se vytvářejí a zřizují zařízení HSM. Ve stejné oblasti by mohly být další virtuální sítě a podsítě pro komponenty aplikace, které by využívaly vyhrazený modul HSM. K povolení komunikace mezi těmito sítěmi používáme partnerský vztah Virtual Network.

Peering virtuálních sítí

Pokud se v oblasti nachází více virtuálních sítí, které si potřebují vzájemně přistupovat k prostředkům, můžete použít Virtual Network Peering k vytvoření zabezpečených komunikačních kanálů mezi nimi. Partnerský vztah virtuálních sítí poskytuje nejen zabezpečenou komunikaci, ale také zajišťuje připojení s nízkou latencí a velkou šířkou pásma mezi prostředky v Azure.

partnerský vztah sítě

Připojení napříč oblastmi Azure

Zařízení HSM mají prostřednictvím softwarových knihoven možnost přesměrovat provoz na alternativní HSM. Přesměrování provozu je užitečné, pokud zařízení selže nebo dojde ke ztrátě přístupu k zařízení. Scénáře selhání na regionální úrovni je možné zmírnit nasazením modulů HSM v jiných oblastech a povolením komunikace mezi virtuálními sítěmi napříč oblastmi.

Vysoká dostupnost mezi oblastmi s využitím brány VPN

V případě globálně distribuovaných aplikací nebo scénářů převzetí služeb při selhání v oblasti s vysokou dostupností se vyžaduje propojení virtuálních sítí napříč oblastmi. Se službou Azure Dedicated HSM je možné dosáhnout vysoké dostupnosti pomocí VPN Gateway, která poskytuje zabezpečené tunelové propojení mezi těmito dvěma virtuálními sítěmi. Další informace o připojeních typu VNet-to-VNet pomocí VPN Gateway najdete v článku Co je VPN Gateway?

Poznámka

Globální partnerský vztah virtuálních sítí není v tuto chvíli k dispozici ve scénářích připojení mezi oblastmi s vyhrazenými moduly HSM a místo toho by se měla používat brána VPN.

Diagram znázorňuje dvě oblasti propojené dvěma branami V P N. Každá oblast obsahuje partnerské virtuální sítě.

Omezení sítě

Poznámka

Omezení služby Dedicated HSM využívající delegování podsítě jsou omezení, která je potřeba vzít v úvahu při návrhu architektury cílové sítě pro nasazení HSM. Použití delegování podsítě znamená, že se skupiny zabezpečení sítě, trasy definované uživatelem a globální partnerský vztah virtuálních sítí nepodporují pro vyhrazený HSM. Následující části vám pomůžou s alternativními technikami, jak u těchto funkcí dosáhnout stejného nebo podobného výsledku.

Síťové rozhraní HSM, které se nachází ve vyhrazené virtuální síti HSM, nemůže používat skupiny zabezpečení sítě ani trasy definované uživatelem. To znamená, že z hlediska vyhrazené virtuální sítě HSM není možné nastavit výchozí zásady zamítnutí a že pro získání přístupu ke službě Dedicated HSM musí být na seznamu povolených i další síťové segmenty.

Přidání řešení proxy síťových virtuálních zařízení (NVA) také umožňuje logické umístění brány firewall síťového virtuálního zařízení v tranzitním centru nebo centru DMZ před síťový adaptér HSM, což poskytuje potřebnou alternativu k skupinám zabezpečení sítě a trasám definované uživatelem.

Architektura řešení

Tento návrh sítě vyžaduje následující prvky:

  1. Virtuální síť centra DMZ s úrovní proxy síťového virtuálního zařízení V ideálním případě jsou k dispozici dvě nebo více síťových virtuálních zařízení.
  2. Okruh ExpressRoute s povoleným privátním peeringem a připojením k virtuální síti tranzitního centra.
  3. Partnerský vztah virtuálních sítí mezi virtuální sítí tranzitního centra a vyhrazenou virtuální sítí HSM.
  4. Jako možnost je možné nasadit bránu firewall síťového virtuálního zařízení nebo Azure Firewall, které nabízí služby DMZ v centru.
  5. Další paprskové virtuální sítě úloh je možné vytvořit v partnerském vztahu s virtuální sítí centra. Klient Gemalto má přístup k vyhrazené službě HSM prostřednictvím virtuální sítě centra.

Diagram znázorňující virtuální síť centra DMZ s úrovní proxy síťového virtuálního zařízení pro alternativní řešení skupiny zabezpečení sítě a trasy definované uživatelem

Vzhledem k tomu, že přidání řešení proxy síťového virtuálního zařízení také umožňuje logické umístění brány firewall síťového virtuálního zařízení v centru tranzitu nebo DMZ před síťový adaptér HSM, čímž se poskytují potřebné výchozí zásady zamítnutí. V našem příkladu použijeme k tomuto účelu Azure Firewall a budeme potřebovat následující prvky:

  1. Azure Firewall nasazená do podsítě AzureFirewallSubnet ve virtuální síti centra DMZ
  2. Směrovací tabulka s trasou definovanou uživatelem, která směruje provoz směřující do privátního koncového bodu Azure SLB do Azure Firewall. Tato směrovací tabulka se použije na podsíť GatewaySubnet, ve které se nachází virtuální brána ExpressRoute zákazníka.
  3. Pravidla zabezpečení sítě v rámci AzureFirewallu umožňující přesměrování mezi důvěryhodným zdrojovým rozsahem a privátním koncovým bodem Azure IBL, který naslouchá na portu TCP 1792. Tato logika zabezpečení přidá do služby Dedicated HSM nezbytné zásady "výchozího zamítnutí". To znamená, že do služby Dedicated HSM budou povoleny pouze důvěryhodné rozsahy zdrojových IP adres. Všechny ostatní rozsahy budou vyřazeny.
  4. Směrovací tabulka s trasou definovanou uživatelem, která směruje provoz směřující do místního prostředí do Azure Firewall. Tato směrovací tabulka se použije na podsíť proxy síťového virtuálního zařízení.
  5. Skupina zabezpečení sítě použitá u podsítě síťového virtuálního virtuálního zařízení proxy serveru důvěřuje pouze rozsahu podsítě Azure Firewall jako zdroji a povoluje přesměrování pouze na IP adresu síťové karty HSM přes port TCP 1792.

Poznámka

Vzhledem k tomu, že vrstva proxy síťového virtuálního zařízení bude při předávání síťovému adaptéru HSM snat IP adresu klienta, mezi virtuální sítí HSM a virtuální sítí centra DMZ se nevyžadují žádné trasy definované uživatelem.

Alternativa k UDR

Výše uvedené řešení úrovně síťového virtuálního zařízení funguje jako alternativa k UDR. Je potřeba si uvědomit několik důležitých bodů.

  1. Překlad síťových adres by měl být nakonfigurovaný na síťovém virtuálním virtuálním zařízení, aby bylo možné správně směrovat zpětný provoz.
  2. Zákazníci by měli zakázat kontrolu ip adres klienta v konfiguraci Modulu hardwarového zabezpečení Luna, aby pro překlad adres (NAT) používali VNA. Jako příklad uvádíme následující příkazy.
Disable:
[hsm01] lunash:>ntls ipcheck disable
NTLS client source IP validation disabled
Command Result : 0 (Success)

Show:
[hsm01] lunash:>ntls ipcheck show
NTLS client source IP validation : Disable
Command Result : 0 (Success)
  1. Nasaďte trasy definované uživatelem pro příchozí přenos dat do úrovně síťového virtuálního zařízení.
  2. Podle návrhu nebudou podsítě HSM inicializovat požadavek na odchozí připojení na vrstvu platformy.

Alternativa k použití globálního partnerského vztahu virtuálních sítí

Existuje několik architektur, které můžete použít jako alternativu ke globálnímu partnerskému vztahu virtuálních sítí.

  1. Použití připojení VNet-to-VNet VPN Gateway
  2. Připojte virtuální síť HSM k jiné virtuální síti s okruhem ER. To funguje nejlépe, když se vyžaduje přímá místní cesta nebo virtuální síť VPN.

HSM s přímým připojením ExpressRoute

Diagram znázorňující HSM s přímým připojením ExpressRoute

Další kroky