Compartir a través de

Inicio rápido: Implementación de Azure Cloud HSM mediante Azure Portal

Azure Cloud HSM es un servicio de un solo inquilino validado por FIPS 140-3 de alta disponibilidad que permite implementar módulos de seguridad de hardware (HSM) mediante varios métodos. Estos métodos incluyen la CLI de Azure, Azure PowerShell, plantillas de Azure Resource Manager (plantillas de ARM), Terraform o Azure Portal. Este inicio rápido le guía a través del proceso de implementación en Azure Portal.

Prerrequisitos

  • Una cuenta de Azure con una suscripción activa. Si no tienes una, crea una cuenta gratuita antes de empezar.
  • Permisos adecuados para crear recursos en la suscripción, incluida la capacidad de crear recursos de HSM e identidades administradas.
  • En entornos de producción, una red virtual y una subred existentes para configurar puntos de conexión privados.

Nota:

Si no tiene lista una red virtual y una subred, puede crear primero el HSM y agregar conectividad de red más adelante. Se recomienda encarecidamente usar puntos de conexión privados para entornos de producción, como se describe en Seguridad de red para Azure Cloud HSM.

Creación de un recurso de HSM en la nube de Azure

Para crear un recurso de Azure Cloud HSM mediante Azure Portal:

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione HSM en la nube de Azure.

  3. Selecciona Crear.

Captura de pantalla de Azure Portal que muestra las selecciones para crear un recurso HSM en la nube.

Configuración básica

En la pestaña Aspectos básicos:

  1. Seleccione su suscripción a Azure.

  2. Elija un grupo de recursos existente o cree uno.

    Se recomienda implementar los recursos de HSM en la nube en un grupo de recursos independiente de la red virtual de cliente relacionada y los recursos de máquina virtual (VM). Esta separación proporciona una mejor administración y aislamiento de seguridad.

  3. Especifique los valores de Nombre, Región y Sku (nivel de producto) de HSM.

    El nombre del HSM debe ser único. Si especifica un nombre de recurso de HSM que ya existe en la región elegida, se producirá un error en la implementación.

  4. Mantenga la configuración predeterminada Reutilización de nombres de dominio como Reutilización de inquilinos. Esta configuración ayuda a evitar la adquisición de subdominios malintencionados y a garantizar que el nombre de dominio completo (FQDN) solo se pueda reutilizar dentro del inquilino.

Captura de pantalla de la configuración básica de HSM en la nube para la suscripción, el grupo de recursos, el nombre, la región y el nivel de producto.

Configuración de una identidad administrada (opcional)

En la pestaña Identidad administrada , tenga en cuenta las siguientes opciones:

  • Sin identidad: seleccione esta opción si no tiene previsto usar operaciones de copia de seguridad y restauración.

    De forma predeterminada, Azure Cloud HSM se establece en No Identity porque usa principalmente la autenticación basada en contraseñas con la administración de usuarios controlada directamente en el HSM. Sin embargo, para las operaciones de copia de seguridad y restauración, necesita una identidad administrada.

    Captura de pantalla de la pestaña para la configuración de identidad que muestra la opción Predeterminada Sin identidad seleccionada para HSM en la nube.

  • User-Assigned identidad: se recomienda seleccionar esta opción para la continuidad empresarial y la recuperación ante desastres (BCDR). Cada clúster de HSM en la nube solo puede tener una identidad administrada, pero puede usar la misma identidad administrada para varios HSM o asignar otras diferentes.

    Captura de pantalla de la pestaña configuración de identidad que muestra la opción User-Assigned Identidad seleccionada para las operaciones de copia de seguridad y restauración de HSM en la nube.

Para obtener instrucciones detalladas sobre cómo configurar una identidad asignada por el usuario para las operaciones de copia de seguridad y restauración, consulte Aplicación de una identidad administrada y creación de una cuenta de almacenamiento.

Para una conectividad segura, establezca un punto de conexión privado en Azure Cloud HSM. Esta tarea requiere una red virtual existente.

En la pestaña Redes:

  1. Seleccione la suscripción que contiene la red virtual.

  2. Seleccione la red virtual y la subred.

  3. Configure las opciones de integración del Sistema de nombres de dominio (DNS) según sea necesario.

Captura de pantalla de la pestaña configuración de red, con la sección para configurar un punto de conexión privado para la conectividad segura con HSM en la nube.

Sugerencia

Los puntos de conexión privados son cruciales para la seguridad. Habilitan conexiones seguras a Azure Cloud HSM a través de un vínculo privado. Estas conexiones garantizan que el tráfico entre la red virtual y el servicio atraviesa la red troncal de Microsoft. Esta configuración elimina la exposición a la red pública de Internet, como se describe en Seguridad de red para Azure Cloud HSM.

Agregar etiquetas (opcional)

Las etiquetas son pares de nombre y valor que le ayudan a organizar y clasificar los recursos para la administración y los informes. En la pestaña Etiquetas , puede especificar los detalles para crear etiquetas. Este paso es opcional, pero se recomienda para la organización de recursos, especialmente en entornos empresariales.

Captura de pantalla de la pestaña para crear etiquetas para organizar los recursos de HSM en la nube con pares de nombre y valor.

Implementación del recurso HSM en la nube

En la pestaña Revisar y enviar :

  1. Revise todos los detalles de HSM, incluida la identidad administrada y la configuración de red.

  2. Seleccione Crear para comenzar a aprovisionar el recurso de Azure Cloud HSM.

Captura de pantalla de Azure Portal que muestra la pestaña para revisar los detalles del recurso, junto con el botón Crear.

El portal muestra La implementación está en curso mientras crea el recurso. Cuando finalice la implementación, el portal muestra Que la implementación se ha completado.

Captura de pantalla del panel de Azure Portal que muestra la implementación completada correctamente de un recurso HSM en la nube.

Inicialización y configuración del HSM

No puede activar ni configurar HSM en la nube de Azure a través del portal. Debe usar el SDK de Azure Cloud HSM y las herramientas de cliente.

Después de implementar el recurso HSM en la nube, siga estos pasos:

  1. Descargue e instale el SDK de Azure Cloud HSM desde GitHub en una máquina virtual que tenga conectividad de red con el HSM.

  2. Inicialice y configure el HSM siguiendo los pasos detallados de la guía de incorporación de HSM en la nube de Azure.

  3. Establezca la administración de usuarios con los oficiales de criptografía y los usuarios adecuados, tal como se describe en Administración de usuarios en Azure Cloud HSM.

  4. Implemente procedimientos de administración de claves adecuados para ayudar a garantizar una seguridad y un rendimiento óptimos, como se describe en Administración de claves en Azure Cloud HSM.

Limpieza de recursos

Si ha creado un grupo de recursos únicamente para esta guía de inicio rápido y no necesita mantener estos recursos, puede eliminar todo el grupo de recursos:

  1. En Azure Portal, vaya al grupo de recursos que contiene los recursos de HSM en la nube.

  2. Seleccione Eliminar grupo de recursos.

  3. Escriba el nombre del grupo de recursos para confirmar la eliminación y, a continuación, seleccione Eliminar.

Solución de problemas comunes de implementación

Si tiene problemas durante la implementación:

  • Conflictos de nombres de recursos: asegúrese de que el nombre del HSM sea único en la región. Si se produce un error en la implementación con un conflicto de nomenclatura, pruebe con otro nombre.
  • Problemas de conectividad de red: asegúrese de que la máquina virtual tiene acceso de red adecuado al HSM. Para conocer los procedimientos recomendados, consulte Seguridad de red para Azure Cloud HSM.
  • Errores de autenticación: compruebe que usa el formato correcto para las credenciales, tal como se detalla en Autenticación en Azure Cloud HSM.
  • Errores de conexión de cliente: compruebe que el cliente de Azure Cloud HSM se está ejecutando y configurado correctamente. Para ver problemas comunes de conexión de cliente, consulte Solución de problemas de HSM en la nube de Azure.

Contenido relacionado