Kurz – Nasazení modulů HSM do existující virtuální sítě pomocí PowerShellu
Služba Azure Dedicated HSM poskytuje fyzické zařízení pro použití jediným zákazníkem s úplnou správou a plnou odpovědností za správu. Kvůli poskytování fyzického hardwaru musí Společnost Microsoft řídit, jak se tato zařízení přidělují, aby se zajistila efektivní správa kapacity. V důsledku toho nebude služba Dedicated HSM v rámci předplatného Azure normálně viditelná pro zřizování prostředků. Každý zákazník Azure, který vyžaduje přístup ke službě Dedicated HSM, musí nejprve kontaktovat svého vedoucího účtu Microsoftu a požádat o registraci služby Dedicated HSM. Zřízení bude možné pouze po úspěšném dokončení tohoto procesu. Cílem tohoto kurzu je ukázat typický proces zřizování, při kterém:
- Zákazník už má virtuální síť.
- Mají virtuální počítač.
- Do stávajícího prostředí musí přidat prostředky HSM.
Typická architektura nasazení s vysokou dostupností ve více oblastech může vypadat takto:
Tento kurz se zaměřuje na integraci dvojice modulů HSM a požadované brány ExpressRoute (viz Podsíť 1 výše) do existující virtuální sítě (viz virtuální síť 1 výše). Všechny ostatní prostředky jsou standardní prostředky Azure. Stejný proces integrace je možné použít pro moduly HSM v podsíti 4 ve virtuální síti 3 výše.
Poznámka
K interakci s Azure doporučujeme použít modul Azure Az PowerShell. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Požadavky
Azure Dedicated HSM není v současné době k dispozici v Azure Portal, takže veškerá interakce se službou bude přes příkazový řádek nebo PowerShell. V tomto kurzu se v Azure Cloud Shell použije PowerShell. Pokud s PowerShellem začínáte, postupujte podle pokynů začínáme tady: Azure PowerShell Začínáme.
Předpoklady:
- Máte přiřazeného Správce účtů Microsoftu a splňujete peněžní požadavek 5 milionů (5 milionů USD) v celkovém ročním závazku Azure, abyste měli nárok na onboarding a používání služby Azure Dedicated HSM.
- Prošli jste procesem registrace služby Azure Dedicated HSM a schválili jste použití služby. Pokud ne, požádejte o podrobnosti zástupce účtu Microsoft.
- Vytvořili jste pro tyto prostředky skupinu prostředků a nové prostředky nasazené v tomto kurzu se k této skupině připojí.
- Už jste podle diagramu výše vytvořili potřebnou virtuální síť, podsíť a virtuální počítače a teď chcete do nasazení integrovat 2 moduly HSM.
Ve všech následujících pokynech se předpokládá, že jste už přešli na Azure Portal a otevřeli jste Cloud Shell (v pravém horním rohu portálu vyberte _>).
Zřizování vyhrazeného modulu HSM
Zřízení modulů hardwarového zabezpečení a integrace do existující virtuální sítě prostřednictvím brány ExpressRoute se ověří pomocí nástroje příkazového řádku ssh, který zajistí dostupnost a základní dostupnost zařízení HSM pro jakékoli další aktivity konfigurace. Následující příkazy pomocí šablony Resource Manager vytvoří prostředky HSM a přidružené síťové prostředky.
Ověřování registrace funkcí
Jak je uvedeno výše, každá aktivita zřizování vyžaduje, aby pro vaše předplatné byla zaregistrovaná služba Dedicated HSM. Pokud to chcete ověřit, spusťte v Azure Portal Cloud Shell následující příkaz PowerShellu.
Get-AzProviderFeature -ProviderNamespace Microsoft.HardwareSecurityModules -FeatureName AzureDedicatedHsm
Než budete pokračovat, měl by příkaz vrátit stav "Registrováno" (jak je znázorněno níže). Pokud nejste pro tuto službu zaregistrovaní, obraťte se na svého zástupce microsoftu.
Vytváření prostředků HSM
Zařízení HSM se zřizuje ve virtuální síti zákazníka. To znamená požadavek na podsíť. Závislost modulu HARDWAROVÉHO ZABEZPEČENÍ umožňující komunikaci mezi virtuální sítí a fyzickým zařízením je brána ExpressRoute a nakonec je virtuální počítač nutný pro přístup k zařízení HSM pomocí klientského softwaru Thales. Tyto prostředky byly shromážděny do souboru šablony s odpovídajícím souborem parametrů, aby se usnadnilo použití. Soubory jsou k dispozici tak, že kontaktujete Microsoft přímo na adrese HSMrequest@Microsoft.com.
Jakmile budete mít soubory, musíte upravit soubor parametrů a vložit upřednostňované názvy pro prostředky. To znamená, že se upravují řádky s "value": "".
namingInfixPředpona pro názvy prostředků HSMExistingVirtualNetworkNameNázev virtuální sítě používané pro moduly HSMDedicatedHsmResourceName1Název prostředku HSM v razítku datacentra 1DedicatedHsmResourceName2Název prostředku HSM v datovém centru – razítko 2hsmSubnetRangeRozsah IP adres podsítě pro moduly HSMERSubnetRangeRozsah IP adres podsítě pro bránu virtuální sítě
Příkladem těchto změn je následující:
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json",
"contentVersion": "1.0.0.0",
"parameters": {
"namingInfix": {
"value": "MyHSM"
},
"ExistingVirtualNetworkName": {
"value": "MyHSM-vnet"
},
"DedicatedHsmResourceName1": {
"value": "HSM1"
},
"DedicatedHsmResourceName2": {
"value": "HSM2"
},
"hsmSubnetRange": {
"value": "10.0.2.0/24"
},
"ERSubnetRange": {
"value": "10.0.255.0/26"
},
}
}
Přidružený soubor šablony Resource Manager vytvoří šest prostředků s těmito informacemi:
- Podsíť pro hsmy v zadané virtuální síti
- Podsíť pro bránu virtuální sítě
- Brána virtuální sítě, která připojuje virtuální síť k zařízením HSM
- Veřejná IP adresa brány
- HsM v razítku 1
- HsM v razítku 2
Po nastavení hodnot parametrů je potřeba soubory nahrát do Azure Portal Cloud Shell sdílené složky pro použití. V Azure Portal klikněte na> symbol Cloud Shell "_" vpravo nahoře a tím se dolní část obrazovky změní na příkazové prostředí. Možnosti jsou BASH a PowerShell, a pokud už nejsou nastavené, měli byste vybrat BASH.
Příkazové prostředí má na panelu nástrojů možnost nahrát/stáhnout. Tuto možnost byste měli vybrat, pokud chcete nahrát šablonu a soubory parametrů do sdílené složky:
Po nahrání souborů můžete vytvářet prostředky. Před vytvořením nových prostředků HSM je potřeba zajistit, aby byly splněné některé požadované prostředky. Musíte mít virtuální síť s rozsahy podsítí pro výpočetní prostředky, hsmy a brány. Následující příkazy slouží jako příklad vytvoření takové virtuální sítě.
$compute = New-AzVirtualNetworkSubnetConfig `
-Name compute `
-AddressPrefix 10.2.0.0/24
$delegation = New-AzDelegation `
-Name "myDelegation" `
-ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"
$hsmsubnet = New-AzVirtualNetworkSubnetConfig `
-Name hsmsubnet `
-AddressPrefix 10.2.1.0/24 `
-Delegation $delegation
$gwsubnet= New-AzVirtualNetworkSubnetConfig `
-Name GatewaySubnet `
-AddressPrefix 10.2.255.0/26
New-AzVirtualNetwork `
-Name myHSM-vnet `
-ResourceGroupName myRG `
-Location westus `
-AddressPrefix 10.2.0.0/16 `
-Subnet $compute, $hsmsubnet, $gwsubnet
Poznámka
Nejdůležitější konfigurací virtuální sítě je, že podsíť pro zařízení HSM musí mít delegování nastavená na Microsoft.HardwareSecurityModules/dedicatedHSMs. Bez toho nebude zřizování HSM fungovat.
Jakmile jsou splněné všechny požadavky, spusťte následující příkaz, který použije šablonu Resource Manager a ujistěte se, že máte aktualizované hodnoty s jedinečnými názvy (alespoň název skupiny prostředků):
New-AzResourceGroupDeployment -ResourceGroupName myRG `
-TemplateFile .\Deploy-2HSM-toVNET-Template.json `
-TemplateParameterFile .\Deploy-2HSM-toVNET-Params.json `
-Name HSMdeploy -Verbose
Dokončení tohoto příkazu by mělo trvat přibližně 20 minut. Použitá možnost "-verbose" zajistí, že se stav bude zobrazovat nepřetržitě.
Po úspěšném dokončení se můžete přihlásit ke stávajícímu virtuálnímu počítači a pomocí SSH zajistit dostupnost zařízení HSM.
Ověření nasazení
Pokud chcete ověřit zřízení zařízení a zobrazit atributy zařízení, spusťte následující sadu příkazů. Ujistěte se, že je skupina prostředků správně nastavená a název prostředku je přesně stejný jako v souboru parametrů.
$subid = (Get-AzContext).Subscription.Id
$resourceGroupName = "myRG"
$resourceName = "HSM1"
Get-AzResource -Resourceid /subscriptions/$subId/resourceGroups/$resourceGroupName/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/$resourceName
Teď také budete moct zobrazit prostředky pomocí Průzkumníka prostředků Azure. V průzkumníkovi rozbalte na levé straně předplatná, rozbalte své konkrétní předplatné pro Vyhrazený HSM, rozbalte "skupiny prostředků", rozbalte skupinu prostředků, kterou jste použili, a nakonec vyberte položku "resources".
Testování nasazení
Testování nasazení je případ připojení k virtuálnímu počítači, který má přístup k modulům HSM a pak se připojí přímo k zařízení HSM. Tyto akce potvrdí, že hsm je dostupný. Nástroj ssh se používá k připojení k virtuálnímu počítači. Příkaz bude podobný následujícímu, ale bude mít název správce a název DNS, který jste zadali v parametru.
ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com
Heslo, které se má použít, je heslo ze souboru parametrů. Po přihlášení k virtuálnímu počítači s Linuxem se můžete k modulu HSM přihlásit pomocí privátní IP adresy, kterou najdete na portálu pro předponu>prostředku <hsm_vnic.
(Get-AzResource -ResourceGroupName myRG -Name HSMdeploy -ExpandProperties).Properties.networkProfile.networkInterfaces.privateIpAddress
Až budete mít IP adresu, spusťte následující příkaz:
ssh tenantadmin@<ip address of HSM>
V případě úspěchu se zobrazí výzva k zadání hesla. Výchozí heslo je HESLO. Modul hardwarového zabezpečení vás požádá o změnu hesla, abyste nastavili silné heslo a použili jakýkoli mechanismus, který vaše organizace preferuje, abyste heslo uložili a zabránili ztrátě.
Důležité
Pokud toto heslo ztratíte, bude nutné hsm resetovat, což znamená ztrátu klíčů.
Když jste připojení k zařízení HSM pomocí ssh, spusťte následující příkaz, aby se zajistilo, že je HSM funkční.
hsm show
Výstup by měl vypadat jako na následujícím obrázku:
V tomto okamžiku jste přidělili všechny prostředky pro vysoce dostupné, dvě nasazení HSM a ověřený přístup a provozní stav. Jakákoli další konfigurace nebo testování zahrnuje větší práci se samotným zařízením HSM. V tomto případě byste měli postupovat podle pokynů v průvodci správou HSM thales Luna 7 v kapitole 7 a inicializovat MODUL HARDWAROVÉHO ZABEZPEČENÍ a vytvořit oddíly. Veškerá dokumentace a software jsou k dispozici přímo ze společnosti Thales ke stažení, jakmile se zaregistrujete na portálu zákaznické podpory společnosti Thales a budete mít ID zákazníka. Stáhněte si klientský software verze 7.2 a získejte všechny požadované komponenty.
Odstranění nebo vyčištění prostředků
Pokud jste dokončili jenom zařízení HSM, můžete ho odstranit jako prostředek a vrátit se do bezplatného fondu. Očividnou obavou při tom jsou veškerá citlivá zákaznická data, která jsou na zařízení. Nejlepší způsob, jak zařízení "vynulovat", je třikrát získat nesprávné heslo správce HSM (poznámka: nejedná se o správce zařízení, ale o skutečného správce HSM). V rámci bezpečnostních opatření pro ochranu klíčových materiálů není možné zařízení odstranit jako prostředek Azure, dokud nebude ve stavu nula.
Poznámka
Pokud máte problém s konfigurací zařízení Thales, měli byste kontaktovat zákaznickou podporu společnosti Thales.
Pokud chcete odebrat prostředek HSM v Azure, můžete použít následující příkaz, který nahradí proměnné $jedinečnými parametry:
$subid = (Get-AzContext).Subscription.Id
$resourceGroupName = "myRG"
$resourceName = "HSMdeploy"
Remove-AzResource -Resourceid /subscriptions/$subId/resourceGroups/$resourceGroupName/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/$resourceName
Další kroky
Po dokončení kroků v tomto kurzu se vyhrazené prostředky HSM zřídí a zpřístupní ve vaší virtuální síti. Teď můžete toto nasazení doplnit o další prostředky, které vyžaduje vaše upřednostňovaná architektura nasazení. Další informace o plánování nasazení najdete v dokumentech o konceptech. Doporučuje se návrh se dvěma moduly HARDWAROVÉHO ZABEZPEČENÍ v primární oblasti, které řeší dostupnost na úrovni racku, a dvěma moduly hardwarového zabezpečení v sekundární oblasti, které řeší regionální dostupnost. Soubor šablony použitý v tomto kurzu se dá snadno použít jako základ pro dvě nasazení HSM, ale jeho parametry je potřeba upravit tak, aby splňovaly vaše požadavky.