Freigeben über

Schnellstart: Bereitstellen von Azure Cloud HSM mithilfe des Azure-Portals

Azure Cloud HSM ist ein hoch verfügbarer FIPS 140-3 Level 3-validierter Einzelmandantendienst, mit dem Sie Hardwaresicherheitsmodule (HARDWARE Security Modules, HSMs) mithilfe verschiedener Methoden bereitstellen können. Zu diesen Methoden gehören azure CLI, Azure PowerShell, Azure Resource Manager-Vorlagen (ARM-Vorlagen), Terraform oder das Azure-Portal. Diese Schnellstartanleitung führt Sie durch den Bereitstellungsprozess im Azure-Portal.

Voraussetzungen

  • Ein Azure-Konto mit einem aktiven Abonnement. Falls Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
  • Geeignete Berechtigungen zum Erstellen von Ressourcen in Ihrem Abonnement, einschließlich der Möglichkeit, HSM-Ressourcen und verwaltete Identitäten zu erstellen.
  • Für Produktionsumgebungen, ein vorhandenes virtuelles Netzwerk und subnetz zum Konfigurieren privater Endpunkte.

Hinweis

Wenn Sie nicht über ein virtuelles Netzwerk und ein Subnetz verfügen, können Sie das HSM zuerst erstellen und später eine Netzwerkkonnektivität hinzufügen. Es wird dringend empfohlen, private Endpunkte für Produktionsumgebungen zu verwenden, wie in der Netzwerksicherheit für Azure Cloud HSM beschrieben.

Erstellen einer Azure Cloud HSM-Ressource

So erstellen Sie eine Azure Cloud HSM-Ressource über das Azure-Portal:

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Azure Cloud HSMs, und wählen Sie sie aus.

  3. Wählen Sie "Erstellen" aus.

Screenshot des Azure-Portals mit Auswahlmöglichkeiten zum Erstellen einer Cloud HSM-Ressource.

Grundeinstellungen konfigurieren

Auf der Registerkarte Grundlagen:

  1. Wählen Sie Ihr Azure-Abonnement.

  2. Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue Ressourcengruppe.

    Es wird empfohlen, Ihre Cloud HSM-Ressourcen in einer separaten Ressourcengruppe von den zugehörigen virtuellen Clientnetzwerk- und den virtuellen Maschinen (VM)-Ressourcen bereitzustellen. Diese Trennung sorgt für eine bessere Verwaltung und Sicherheitsisolation.

  3. Geben Sie die HSM-Werte "Name", " Region" und "Sku " (Produktebene) an.

    Der HSM-Name muss eindeutig sein. Wenn Sie einen HSM-Ressourcennamen angeben, der bereits in der ausgewählten Region vorhanden ist, schlägt die Bereitstellung fehl.

  4. Behalten Sie die Standardeinstellung Domänennamenwiederverwendung als Mandantenwiederverwendung bei. Diese Einstellung verhindert die Übernahme bösartiger Unterdomänen und stellt sicher, dass der vollqualifizierte Domänenname (FQDN) nur innerhalb Ihres Mandanten wiederverwendet werden kann.

Screenshot der Grundlegenden Konfigurationseinstellungen für Cloud HSM für Abonnement, Ressourcengruppe, Name, Region und Produktebene.

Konfigurieren einer verwalteten Identität (optional)

Berücksichtigen Sie auf der Registerkarte "Verwaltete Identität " die folgenden Optionen:

  • Keine Identität: Wählen Sie diese Option aus, wenn Sie nicht beabsichtigen, Sicherungs- und Wiederherstellungsvorgänge zu verwenden.

    Standardmäßig ist Azure Cloud HSM auf "No Identity " festgelegt, da in erster Linie kennwortbasierte Authentifizierung mit der Benutzerverwaltung verwendet wird, die direkt auf dem HSM verarbeitet wird. Für Sicherungs- und Wiederherstellungsvorgänge benötigen Sie jedoch eine verwaltete Identität.

    Screenshot der Registerkarte für die Identitätskonfiguration, auf der die Standardoption

  • User-Assigned Identität: Wir empfehlen, diese Option für Geschäftskontinuität und Notfallwiederherstellung (BCDR) auszuwählen. Jeder Cloud HSM-Cluster kann nur eine verwaltete Identität haben, Sie können jedoch dieselbe verwaltete Identität für mehrere HSMs verwenden oder unterschiedliche zuweisen.

    Screenshot der Registerkarte für die Identitätskonfiguration, auf der die option User-Assigned Identität für Cloud HSM-Sicherungs- und Wiederherstellungsvorgänge ausgewählt ist.

Ausführliche Anweisungen zum Konfigurieren einer vom Benutzer zugewiesenen Identität für Sicherungs- und Wiederherstellungsvorgänge finden Sie unter Anwenden einer verwalteten Identität und Erstellen eines Speicherkontos.

Um eine sichere Konnektivität zu gewährleisten, richten Sie einen privaten Endpunkt für Azure Cloud HSM ein. Für diese Aufgabe ist ein vorhandenes virtuelles Netzwerk erforderlich.

Auf der Registerkarte Netzwerk:

  1. Wählen Sie das Abonnement aus, das Ihr virtuelles Netzwerk enthält.

  2. Wählen Sie Ihr virtuelles Netzwerk und Ihr Subnetz aus.

  3. Konfigurieren Sie die DNS-Integrationseinstellungen (Domain Name System) nach Bedarf.

Screenshot der Registerkarte für die Netzwerkkonfiguration mit dem Abschnitt zum Einrichten eines privaten Endpunkts für sichere Konnektivität mit Cloud HSM.

Tipp

Private Endpunkte sind für die Sicherheit von entscheidender Bedeutung. Sie ermöglichen sichere Verbindungen mit Azure Cloud HSM über einen privaten Link. Diese Verbindungen stellen sicher, dass der Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst das Microsoft-Backbone-Netzwerk durchläuft. Diese Konfiguration beseitigt die Gefährdung des öffentlichen Internets, wie in der Netzwerksicherheit für Azure Cloud HSM beschrieben.

Das Hinzufügen von Tags ist optional.

Kategorien sind Name-Wert-Paare, die Ihnen beim Organisieren und Kategorisieren von Ressourcen für Verwaltung und Berichterstellung helfen. Auf der Registerkarte "Kategorien " können Sie Details zum Erstellen von Tags eingeben. Dieser Schritt ist optional, wird jedoch für die Ressourcenorganisation empfohlen, insbesondere in Unternehmensumgebungen.

Screenshot der Registerkarte zum Erstellen von Tags zum Organisieren von Cloud HSM-Ressourcen mit Namen-Wert-Paaren.

Bereitstellen Ihrer Cloud HSM-Ressource

Auf der Registerkarte "Überprüfen+ Absenden ":

  1. Überprüfen Sie alle HSM-Details, einschließlich verwalteter Identitäts- und Netzwerkeinstellungen.

  2. Wählen Sie "Erstellen" aus, um mit der Bereitstellung Ihrer Azure Cloud HSM-Ressource zu beginnen.

Screenshot des Azure-Portals, auf dem die Registerkarte zum Überprüfen von Ressourcendetails zusammen mit der Schaltfläche

Das Portal zeigt Bereitstellung in Bearbeitung an, während es die Ressource erstellt. Wenn die Bereitstellung abgeschlossen ist, zeigt das Portal an, dass Die Bereitstellung abgeschlossen ist.

Screenshot des Azure-Portalbereichs, der die erfolgreiche Bereitstellung einer Cloud HSM-Ressource zeigt.

Initialisieren Sie und konfigurieren Sie Ihr HSM

Sie können Azure Cloud HSM nicht über das Portal aktivieren oder konfigurieren. Sie müssen das Azure Cloud HSM SDK und die Clienttools verwenden.

Führen Sie nach der Bereitstellung Ihrer Cloud HSM-Ressource die folgenden Schritte aus:

  1. Laden Sie das Azure Cloud HSM SDK von GitHub auf einem virtuellen Computer herunter, der eine Netzwerkkonnektivität mit Ihrem HSM aufweist, und installieren Sie es.

  2. Initialisieren und konfigurieren Sie Ihr HSM, indem Sie die detaillierten Schritte im Azure Cloud HSM-Onboarding-Handbuch ausführen.

  3. Richten Sie die Benutzerverwaltung mit geeigneten Kryptografiebeauftragten und Benutzern ein, wie in der Benutzerverwaltung in Azure Cloud HSM beschrieben.

  4. Implementieren Sie geeignete Schlüsselverwaltungsmethoden, um eine optimale Sicherheit und Leistung zu gewährleisten, wie in der Schlüsselverwaltung in Azure Cloud HSM beschrieben.

Bereinigen von Ressourcen

Wenn Sie eine Ressourcengruppe ausschließlich für diese Schnellstartanleitung erstellt haben und diese Ressourcen nicht beibehalten müssen, können Sie die gesamte Ressourcengruppe löschen:

  1. Wechseln Sie im Azure-Portal zu der Ressourcengruppe, die Ihre Cloud HSM-Ressourcen enthält.

  2. Wählen Sie die Option Ressourcengruppe löschen.

  3. Geben Sie den Namen der Ressourcengruppe ein, um den Löschvorgang zu bestätigen, und wählen Sie dann "Löschen" aus.

Fehlerbehebung bei häufigen Bereitstellungsproblemen

Wenn während der Bereitstellung Probleme auftreten:

  • Ressourcennamenskonflikte: Stellen Sie sicher, dass der HSM-Name in der Region eindeutig ist. Wenn die Bereitstellung aufgrund eines Namenskonflikts fehlschlägt, versuchen Sie, einen anderen Namen zu verwenden.
  • Netzwerkkonnektivitätsprobleme: Stellen Sie sicher, dass Ihre VM über einen ordnungsgemäßen Netzwerkzugriff auf das HSM verfügt. Bewährte Methoden: Überprüfen Sie die Netzwerksicherheit für Azure Cloud HSM.
  • Authentifizierungsfehler: Überprüfen Sie, ob Sie das richtige Format für Anmeldeinformationen verwenden, wie in der Authentifizierung in Azure Cloud HSM beschrieben.
  • Clientverbindungsfehler: Überprüfen Sie, ob der Azure Cloud HSM-Client ausgeführt und ordnungsgemäß konfiguriert ist. Allgemeine Clientverbindungsprobleme finden Sie unter "Problembehandlung bei Azure Cloud HSM".

Verwandte Inhalte