Řešení potíží se službou Azure Dedicated HSM
Služba Azure Dedicated HSM má dvě různé omezující vlastnosti. Zaprvé registrace a nasazení zařízení HSM s jejich podkladovými síťovými komponentami v Azure. Za druhé, konfigurace zařízení HSM v rámci přípravy na použití nebo integraci s danou úlohou nebo aplikací. I když jsou zařízení HSM Thales Luna 7 v Azure stejná, jako byste si koupili přímo od společnosti Thales, skutečnost, že se jedná o prostředek v Azure, má několik jedinečných aspektů. Tyto důležité informace a všechny výsledné přehledy pro řešení potíží nebo osvědčené postupy jsou popsané tady, aby byla zajištěna vysoká viditelnost a přístup k důležitým informacím. Jakmile je služba používána, jsou prostřednictvím žádostí o podporu přímo společnosti Microsoft nebo Společnosti Thales k dispozici konečné informace.
Poznámka
Je třeba poznamenat, že před provedením jakékoli konfigurace na nově nasazeném zařízení HSM by se mělo aktualizovat všemi relevantními opravami. Na portálu podpory Společnosti Thales se KB0019789 konkrétní požadovaná oprava, která řeší problém, kdy systém přestane reagovat během restartování.
Registrace HSM
Vyhrazený hsm není volně dostupný pro použití, protože poskytuje hardwarové prostředky v cloudu, a proto je cenným prostředkem, který potřebuje ochranu. Proto používáme proces zařazení na seznam povolených prostřednictvím e-mailu pomocí HSMrequest@microsoft.com.
Získání přístupu k vyhrazenému HSM
Nejprve se sami sebe zeptejte, jaké máte případy použití, které azure Key Vault nebo azure managed HSM neřeší. Pokud se domníváte, že vašim požadavkům na úložiště klíčů bude vyhovovat pouze vyhrazený HSM, odešlete e-mail HSMrequest@microsoft.com a požádejte o přístup. Vytvořte přehled aplikací a případů použití, oblastí, které chcete použít, a objemu hsm, které hledáte. Pokud spolupracujete se zástupcem Microsoftu, například manažerem účtu nebo architektem cloudového řešení, zahrňte ho do jakékoli žádosti.
Zřizování HSM
Zřízení zařízení HSM v Azure je možné provést prostřednictvím rozhraní příkazového řádku nebo PowerShellu. Při registraci služby se poskytne ukázková šablona ARM a poskytne se pomoc s počátečním přizpůsobením.
Informace o selhání nasazení HSM
Vyhrazený HSM podporuje nasazení rozhraní příkazového řádku a PowerShellu, takže informace o chybách na základě portálu jsou omezené a nejsou podrobné. Lepší informace najdete v Průzkumníku prostředků. Domovská stránka portálu má ikonu pro tuto ikonu a jsou k dispozici podrobnější informace o chybě. Tyto informace hodně pomáhají, pokud jsou vložené při vytváření žádosti o podporu související s problémy s nasazením.
Delegování podsítě HSM
Hlavním důvodem selhání nasazení je, že zapomenete nastavit odpovídající delegování pro podsíť definovanou zákazníkem, ve které se zřídí moduly hardwarového zabezpečení. Nastavení tohoto delegování je součástí požadavků na nasazení virtuální sítě a podsítě a další podrobnosti najdete v kurzech.
Konflikt časování nasazení HSM
Standardní šablona ARM, která je k dispozici pro nasazení, obsahuje prostředky související s hsm a bránou ExpressRoute . Síťové prostředky jsou závislostí pro úspěšné nasazení HSM a načasování může být zásadní. Občas dochází k selháním nasazení souvisejícím s problémy se závislostmi a opakované spuštění nasazení tento problém často řeší. Pokud ne, odstranění prostředků a následné opětovné nasazení je často úspěšné. Jakmile se o to pokusíte a stále hledáte problém, vytvořte žádost o podporu v Azure Portal vyberte typ problému Problémy s konfigurací nastavení Azure.
Nasazení HSM pomocí Terraformu
Několik zákazníků použilo Terraform jako automatizační prostředí místo šablon ARM, které se dodávají při registraci k této službě. Moduly hardwarového zabezpečení se tímto způsobem nasadit nedají, ale závislé síťové prostředky je možné nasadit. Terraform obsahuje modul, který volá minimální šablonu ARM, která má jenom nasazení HSM. V takovém případě je potřeba před nasazením modulů HSM zajistit, aby síťové prostředky, jako je požadovaná brána ExpressRoute , byly plně nasazené. Následující příkaz rozhraní příkazového řádku můžete použít k otestování dokončeného nasazení a integraci podle potřeby. Vyměňte držáky pro umístění v lomené závorce pro konkrétní pojmenování. Měli byste hledat výsledek provisioningState is Succeeded.
az resource show --ids /subscriptions/<subid>/resourceGroups/<myresourcegroup>/providers/Microsoft.Network/virtualNetworkGateways/<myergateway>
Selhání nasazení na základě kvóty
Nasazení můžou selhat, pokud překročíte 2 HSM na razítko a 4 HSM na oblast. Pokud se chcete této situaci vyhnout, před dalším nasazením se ujistěte, že jste odstranili prostředky z dříve neúspěšných nasazení. Pokud chcete zkontrolovat prostředky, projděte si níže Návody zobrazit moduly hardwarového zabezpečení. Pokud se domníváte, že potřebujete tuto kvótu překročit, což je především ochrana, pošlete e-mail HSMrequest@microsoft.com s podrobnostmi.
Selhání nasazení na základě kapacity
Když se určité razítko nebo oblast zaplní, to znamená, že se zřídí téměř všechny bezplatné HSM, může to vést k selhání nasazení. Každý kolek má 12 modulů HSM dostupných pro zákazníky, což znamená 24 na oblast. V každé známce jsou také 2 náhradní díly a 1 testovací zařízení. Pokud se domníváte, že jste možná dosáhli limitu, pošlete e-mail HSMrequest@microsoft.com s informacemi o úrovni vyplnění konkrétních razítek.
Návody při zřizování zobrazit moduly hardwarového zabezpečení?
Vzhledem k tomu, že služba Dedicated HSM je službou v seznamu povolených, považuje se v Azure Portal za skrytý typ. Pokud chcete zobrazit prostředky HSM, musíte zaškrtnout políčko Zobrazit skryté typy, jak je znázorněno níže. Prostředek síťové karty vždy následuje HSM a je vhodným místem ke zjištění IP adresy HSM před použitím SSH pro připojení.
Síťové prostředky
Nasazení služby Dedicated HSM závisí na síťových prostředcích a některých závažných omezeních, o nichž je potřeba vědět.
Zřizování ExpressRoute
Vyhrazený HSM používá bránu ExpressRoute jako "tunel" pro komunikaci mezi privátním adresovým prostorem IP adres zákazníka a fyzickým HSM v datacentru Azure. Vzhledem k tomu, že platí omezení jedné brány na virtuální síť, zákazníci, kteří vyžadují připojení k místním prostředkům přes ExpressRoute, budou muset pro toto připojení použít jinou virtuální síť.
Privátní IP adresa HSM
Ukázkové šablony poskytované pro vyhrazený HSM předpokládají, že IP adresa HSM se automaticky převezme z daného rozsahu podsítě. Explicitní IP adresu hsm můžete zadat prostřednictvím atributu NetworkInterfaces v šabloně ARM.
Inicializace HSM
Inicializace připraví nový hsm k použití nebo existující HSM pro opakované použití. Inicializace HSM musí být dokončena, abyste mohli generovat nebo ukládat objekty, umožnit klientům připojení nebo provádět kryptografické operace.
Ztracené přihlašovací údaje
Ztráta hesla správce prostředí způsobí ztrátu informací o klíči HSM. Je potřeba podat žádost o podporu pro resetování HSM. Při inicializaci HSM bezpečně uložte přihlašovací údaje. Přihlašovací údaje prostředí a HSM by se měly uchovávat v souladu se zásadami vaší společnosti.
Neúspěšná přihlášení
Poskytnutí nesprávných přihlašovacích údajů modulům HSM může mít destruktivní důsledky. Níže jsou uvedené výchozí chování rolí HSM.
| Role | Prahová hodnota (počet pokusů) | Výsledek příliš mnoha chybných pokusů o přihlášení | Obnovovací |
|---|---|---|---|
| HSM SO | 3 | HSM se vynuluje (všechny identity objektů HSM a všechny oddíly jsou pryč) | HsM se musí znovu inicializovat. Obsah je možné obnovit ze záloh. |
| Dělení SO | 10 | Oddíl je vynulovaný. | Oddíl se musí znovu inicializovat. Obsah je možné obnovit ze zálohy. |
| Auditování | 10 | Uzamčení | Odemknuté automaticky po 10 minutách. |
| Kryptografický pracovník | 10 (lze snížit) | Pokud je zásada HSM 15: Povolit resetování PIN kódu oddílu nastavená na hodnotu 1 (povoleno), role CO a CU se uzamknou. Pokud je zásada HSM 15: Povolit resetování PIN kódu oddílu nastavená na hodnotu 0 (zakázáno), role CO a CU se trvale uzamknou a obsah oddílu už nebude přístupný. Toto je výchozí nastavení. |
Role CO musí být odemknutá a přihlašovací údaje musí resetovat so oddílu pomocí role resetpw -name copříkazu .Oddíl se musí znovu inicializovat a ze záložního zařízení se musí obnovit materiál klíče. |
Konfigurace HSM
Následující položky jsou situace, kdy chyby konfigurace jsou běžné nebo mají dopad, který je hoden volat:
Dokumentace k HSM a software
Software a dokumentace pro zařízení HSM Thales Luna 7 není od Společnosti Microsoft k dispozici a musí být stažena přímo z thales. Registrace se vyžaduje pomocí ID zákazníka Thales získaného během procesu registrace. Zařízení, která poskytuje Microsoft, mají verzi softwaru 7.2 a verzi firmwaru 7.0.3. Začátkem roku 2020 zveřejnil Thales dokumentaci a najdete ji tady.
Konfigurace sítě HSM
Při konfiguraci sítě v rámci HSM buďte opatrní. Modul hardwarového zabezpečení má připojení přes bránu ExpressRoute z adresního prostoru privátních IP adres zákazníka přímo k HSM. Tento komunikační kanál je určený pouze pro komunikaci se zákazníky a Microsoft nemá přístup. Pokud je modul hardwarového zabezpečení nakonfigurovaný tak, aby to ovlivnilo tuto síťovou cestu, znamená to, že veškerá komunikace s hsm se odebere. V této situaci je jedinou možností podat žádost o podporu Microsoftu prostřednictvím Azure Portal, aby bylo zařízení resetováno. Tento postup resetování nastaví modul hardwarového zabezpečení zpět do počátečního stavu a dojde ke ztrátě veškeré konfigurace a klíče. Konfiguraci je potřeba vytvořit znovu, a když se zařízení připojí ke skupině vysoké dostupnosti, získají replikovaný klíčový materiál.
Restartování zařízení HSM
Některé změny konfigurace vyžadují, aby modul hardwarového zabezpečení (HSM) byl vyměněný nebo restartovaný. Microsoft otestoval modul hardwarového zabezpečení v Azure a zjistil, že v některých případech může restartování přestat reagovat. Důsledkem je, že žádost o podporu se musí vytvořit v Azure Portal, která žádá o tvrdé restartování, což může trvat až 48 hodin, vzhledem k tomu, že se jedná o ruční proces v datacentru Azure. Pokud se chcete této situaci vyhnout, ujistěte se, že jste nasadili opravu restartování dostupnou přímo od společnosti Thales. Doporučenou opravu problému, kdy systém přestane během restartování reagovat, najdete v KB0019789 v modulu Thales Luna 7 HSM 7.2 ke stažení (Poznámka: Ke stažení budete muset být zaregistrovaní na portálu zákaznické podpory Společnosti Thales ).
Certifikáty NTLS se nesynchronizují
Klient může ztratit připojení k HSM, když vyprší platnost certifikátu nebo se přepsal prostřednictvím aktualizací konfigurace. Konfigurace klienta výměny certifikátů by se měla znovu použít s každým modulem HSM. Příklad protokolování NTLS s neplatným certifikátem:
NTLS[8508]: informace: 0: Příchozí žádost o připojení... : 192.168.50.2/59415 NTLS[8508]: Chybová zpráva z SSLAccept je : error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca NTLS[1]8508]: Chyba při přijímání protokolu SSL ( RC_SSL_ERROR ) NTLS[8508]: informace: 0xc0000711 : Nepodařilo se vytvořit zabezpečený kanál s klientem : 192.168.50.2/59415 : RC_SSL_FAILED_HANDSHAKE NTLS[8508]: info : 0 : Odebrání instance připojení klienta NTLS Neznámý název hostitele: 192.168.50.2/59415
Neúspěšná komunikace tcp
Komunikace z instalace klienta Luna do HSM vyžaduje minimálně port TCP 1792. Zvažte to, protože se v prostředí mění všechny konfigurace sítě.
Neúspěšný člen skupiny vysoké dostupnosti se neobnoví
Pokud se neúspěšný člen skupiny vysoké dostupnosti neobnoví, musí se obnovit ručně z klienta Luna pomocí příkazu hagroup recover. Pro skupinu s vysokou dostupností je potřeba nakonfigurovat počet opakování, aby bylo možné automatické obnovení. Ve výchozím nastavení se skupina vysoké dostupnosti při obnovení nepokusí obnovit člena vysoké dostupnosti do skupiny.
Skupina vysoké dostupnosti se nesynchronizuje
V případě, že členské oddíly nemají stejnou klonovací doménu, zobrazí příkaz ha synchronize následující: Upozornění: Synchronizace může selhat. Členové ve slotu 0 a slotu 1 mají konfliktní nastavení pro klonování privátního klíče. Do skupiny vysoké dostupnosti by se měl přidat nový oddíl se správnou klonovací doménou a následně odebrat nesprávně nakonfigurovaný oddíl.
Zrušení zřízení HSM
Zřízení hsm je možné zrušit pouze po úplném dokončení s modulem hardwarového zabezpečení. Microsoft ho pak resetuje a vrátí do bezplatného fondu.
Odstranění prostředku HSM
NEODSTRAŇOVAT skupinu prostředků vašeho vyhrazeného HSM přímo. Prostředek HSM se neodstraní, ale bude se vám dál účtovat, protože tento modul hsm přejde do osamoceného stavu. Pokud nedodržujete správné postupy a skončíte v této situaci, kontaktujte podpora Microsoftu.
Krok 1: Vynulujte hsm. Prostředek Azure pro HSM se nedá odstranit, pokud hsm není ve stavu nula. Proto musí být před pokusem o odstranění jako prostředku odstraněn veškerý materiál klíče. Nejrychlejším způsobem, jak nulovat, je získat třikrát nesprávné heslo správce HSM (poznámka: týká se správce HSM, a ne správce na úrovni zařízení). Použijte příkaz hsm login a třikrát zadejte nesprávné heslo. Prostředí Luna má příkaz hsm -factoryreset, který vynuluje HSM, ale dá se spustit pouze prostřednictvím konzoly na sériovém portu a zákazníci k němu nemají přístup.
Krok 2: Po vynulování HSM můžete pomocí některého z následujících příkazů zahájit odstranění vyhrazeného prostředku HSM.
Azure CLI: az dedicated-hsm delete --resource-group <název skupiny> prostředků –-name <název HSM>
Azure PowerShell: Remove-AzDedicatedHsm -Name <Název> HSM –ResourceGroupName <název skupiny prostředků>
Krok 3: Po úspěšném kroku 2 můžete odstranit skupinu prostředků a odstranit tak další prostředky přidružené k vyhrazenému HSM pomocí Azure CLI nebo Azure PowerShell.
Azure CLI: az group delete --name <RG name>
Azure PowerShell: Remove-AzResourceGroup -Name <Název skupiny prostředků>
Další kroky
Tento článek poskytuje přehled o oblastech životního cyklu nasazení HSM, které můžou mít problémy nebo vyžadují řešení potíží nebo pečlivé zvážení. Doufejme, že vám tento článek pomůže vyhnout se zbytečným zpožděním a frustraci, a pokud máte relevantní dodatky nebo změny, vytvořte žádost o podporu u Microsoftu a dejte nám vědět.