Tutoriel : Créer un HSM de paiement

HSM de paiement Azure est un service « nu » fourni en utilisant des modules de sécurité matériels (HSM) de paiement Thales payShield 10K et qui permet d’effectuer des opérations de clé de chiffrement pour les transactions de paiement critiques en temps réel dans le cloud Azure. Le service HSM de paiement Azure est spécifiquement conçu pour aider les fournisseurs de services et les établissements financiers à accélérer la stratégie de transformation numérique de leur système de paiement ainsi qu’à adopter le cloud public. Pour plus d’informations, consultez À propos de HSM de paiement Azure : Vue d’ensemble.

Ce tutoriel explique de quelle manière créer un HSM de paiement Azure avec des ports hôte et de gestion dans le même réseau virtuel. Vous pouvez à la place :

• Créer un HSM de paiement avec des ports hôte et de gestion dans le même réseau virtuel à l’aide d’un modèle ARM
• Créer un HSM de paiement avec des ports hôte et de gestion dans différents réseaux virtuels à l’aide d’Azure CLI ou PowerShell
• Créer un HSM de paiement avec des ports hôte et de gestion dans différents réseaux virtuels à l’aide d’un modèle ARM
• Créer un HSM de paiement avec des ports hôte et de gestion avec des adresses IP dans différents réseaux virtuels en utilisant un modèle ARM

Notes

Si vous souhaitez réutiliser un réseau virtuel existant, vérifiez que vous tous les prérequis sont satisfaits, puis lisez le Guide pratique pour réutiliser un réseau virtuel existant.

Prérequis

Important

HSM de paiement Azure est un service spécialisé. Pour pouvoir intégrer et utiliser HSM de paiement Azure, les clients doivent se voir attribuer un responsable de compte Microsoft et avoir un architecte de services cloud (CSA).

Pour vous renseigner sur le service, démarrer le processus de qualification et préparer les prérequis avant l’intégration, demandez à votre responsable de compte Microsoft et à CSA d’envoyer une demande par e-mail.

Azure CLI

• Vous devez inscrire les fournisseurs de ressources « Microsoft.HardwareSecurityModules » et « Microsoft.Network » ainsi que les fonctionnalités du HSM de paiement Azure. Pour ce faire, consultez Inscrire les fonctionnalités du fournisseur de ressources et du fournisseur de ressources du HSM de paiement Azure.

  Avertissement

  Vous devez appliquer l’indicateur de fonctionnalité « FastPathEnabled » à chaque ID d’abonnement et ajouter l’indicateur « fastpathenabled » à chaque réseau virtuel. Pour plus d’informations, consultez Fastpathenabled.

  Pour déterminer rapidement si les fournisseurs de ressources et les fonctionnalités sont déjà inscrits, utilisez la commande Azure CLI az provider show. (La sortie de cette commande est plus lisible si vous l’affichez dans le format tableau.)

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  Vous pouvez continuer dans ce guide de démarrage rapide si ces quatre commandes retournent « Inscrit ».

• Vous devez avoir un abonnement Azure. Vous pouvez créer un compte gratuit si vous n’en avez pas.

• Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.

  

• Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.

  • Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.

  • Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.

  • Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.

Azure PowerShell

• Vous devez inscrire les fournisseurs de ressources « Microsoft.HardwareSecurityModules » et « Microsoft.Network » ainsi que les fonctionnalités du HSM de paiement Azure. Pour ce faire, consultez Inscrire les fonctionnalités du fournisseur de ressources et du fournisseur de ressources du HSM de paiement Azure.

  Avertissement

  Vous devez appliquer l’indicateur de fonctionnalité « FastPathEnabled » à chaque ID d’abonnement et ajouter l’indicateur « fastpathenabled » à chaque réseau virtuel. Pour plus d’informations, consultez Fastpathenabled.

  Pour déterminer rapidement si les fournisseurs de ressources et les fonctionnalités sont déjà inscrits, utilisez la commande Azure PowerShell Get-AzProviderFeature.

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

Vous pouvez continuer avec ce guide de démarrage rapide si le « RegistrationState » des deux commandes retourne « Inscrit ».

• Vous devez avoir un abonnement Azure. Vous pouvez créer un compte gratuit si vous n’en avez pas.

* Si vous choisissez d’utiliser Azure PowerShell localement : * Installez la dernière version du module Az PowerShell. * Connectez-vous à votre compte Azure à l’aide de l’applet de commande Connect-AzAccount. * Si vous choisissez d’utiliser Cloud Shell : consultez Vue d’ensemble d’Azure Cloud Shell pour plus d’informations.\

• Vous devez installer le module PowerShell Az.DedicatedHsm :

  Install-Module -Name Az.DedicatedHsm
  

Créer un groupe de ressources

Azure CLI

Un groupe de ressources est un conteneur logique dans lequel les ressources Azure sont déployées et gérées. Utilisez la commande az group create pour créer un groupe de ressources nommé myResourceGroup à l’emplacement eastus.

az group create --name "myResourceGroup" --location "EastUS"

Azure PowerShell

Un groupe de ressources est un conteneur logique dans lequel les ressources Azure sont déployées et gérées. Utilisez l’applet de commande Azure PowerShell New-AzResourceGroup pour créer un groupe de ressources nommé myResourceGroup à l’emplacement eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Créer un réseau virtuel et un sous-réseau

Azure CLI

Avant de créer un HSM de paiement, vous devez d’abord créer un réseau virtuel et un sous-réseau. Pour ce faire, utilisez la commande Azure CLI az network vnet create :

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Ensuite, utilisez la commande Azure CLI az network vnet subnet update pour mettre à jour le sous-réseau et lui donner une délégation de « Microsoft.HardwareSecurityModules/dedicatedHSMs » :

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Pour vérifier que le réseau virtuel et le sous-réseau ont été créés correctement, utilisez la commande Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Notez l’ID du sous-réseau, nécessaire pour l’étape suivante. L’ID du sous-réseau se termine par le nom du sous-réseau :

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Azure PowerShell

Avant de créer un HSM de paiement, vous devez d’abord créer un réseau virtuel et un sous-réseau.

Tout d’abord, définissez certaines variables à utiliser dans les opérations ultérieures :

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Utilisez l’applet de commande Azure PowerShell New-AzDelegation pour créer une délégation de service à ajouter à votre sous-réseau, et enregistrez la sortie dans la variable $myDelegation :

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Utilisez l’applet de commande Azure PowerShell New-AzVirtualNetworkSubnetConfig pour créer une configuration de sous-réseau de réseau virtuel, et enregistrez la sortie dans la variable $myPHSMSubnet :

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Notes

L’applet de commande New-AzVirtualNetworkSubnetConfig génère un avertissement que vous pouvez ignorer sans risque.

Pour créer un réseau virtuel Azure, utilisez l’applet de commande Azure PowerShell New-AzVirtualNetwork :

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Pour vérifier que le réseau virtuel a été créé correctement, utilisez l’applet de commande Azure PowerShell Get-AzVirtualNetwork :

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Notez l’ID du sous-réseau utilisé à l’étape suivante. L’ID du sous-réseau se termine par le nom du sous-réseau :

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Créer un HSM de paiement

Important

Si vous créez deux modules HSM de paiement dans la même région, vous devez en allouer un à « stamp1 » et l’autre à « stamp2 ». Pour plus d’informations, consultez Scénarios de déploiement : déploiement à haute disponibilité.

Créer avec des hôtes dynamiques

Azure CLI

Pour créer un HSM de paiement avec des hôtes dynamiques, utilisez la commande az dedicated-hsm create. L’exemple suivant crée un HSM de paiement nommé myPaymentHSM dans la région eastus, le groupe de ressources myResourceGroup ainsi que l’abonnement, le réseau virtuel et le sous-réseau spécifiés :

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60" 

Pour afficher les interfaces réseau nouvellement créées, utilisez la commande az network nic list, en fournissant le groupe de ressources :

az network nic list -g myResourceGroup -o table

Dans la sortie, l’hôte 1 et l’hôte 2 sont répertoriés, ainsi qu’une interface de gestion :

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Pour afficher les détails d’une interface réseau nouvellement créée, utilisez la commande Az network nic show, en fournissant le groupe de ressources et le nom de l’interface réseau :

az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

La sortie contient cette ligne :

  "privateIPAllocationMethod": "Dynamic",

Azure PowerShell

Pour créer un HSM de paiement avec des hôtes dynamiques, utilisez la cmdlet New-AzDedicatedHsm et l’ID de réseau virtuel de l’étape précédente :

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

La sortie de la création du HSM de paiement ressemble à ce qui suit :

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Pour afficher les interfaces réseau nouvellement créées, utilisez la cmdlet Get-AzNetworkInterface, en fournissant le groupe de ressources :

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

Dans la sortie, l’hôte 1 et l’hôte 2 sont répertoriés, ainsi que l’interface de gestion :

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Dans le Portail Azure, la « méthode d’allocation d’adresses IP privées » est « Dynamique » :

Créer avec des hôtes statiques

Azure CLI

Pour créer un HSM de paiement avec des hôtes statiques, utilisez la commande az dedicated-hsm create. L’exemple suivant crée un HSM de paiement nommé myPaymentHSM dans la région eastus, le groupe de ressources myResourceGroup ainsi que l’abonnement, le réseau virtuel et le sous-réseau spécifiés :

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Si vous souhaitez également spécifier une adresse IP statique pour l’hôte de gestion, vous pouvez ajouter :

  --mgmt-network-interfaces private-ip-address="10.0.0.7" \
  --mgmt-network-subnet="<subnet-id>"

Pour afficher les interfaces réseau nouvellement créées, utilisez la commande az network nic list, en fournissant le groupe de ressources :

az network nic list -g myResourceGroup -o table

Dans la sortie, l’hôte 1 et l’hôte 2 sont répertoriés, ainsi que l’interface de gestion :

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Pour afficher les propriétés d’une interface de réseau, utilisez la commande az network nic show, en fournissant le groupe de ressources et le nom de l’interface réseau :

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

La sortie contient cette ligne :

  "privateIPAllocationMethod": "Static",

Azure PowerShell

Pour créer un HSM de paiement avec des hôtes statiques, utilisez l’applet de commande New-AzDedicatedHsm et l’ID de réseau virtuel de l’étape précédente :

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'})

Si vous souhaitez également spécifier une adresse IP statique pour l’hôte de gestion, vous pouvez ajouter :

-ManagementNetworkInterface @{PrivateIPAddress = '10.0.07'} -ManagementSubnetId "<subnetId>"

La sortie de la création du HSM de paiement ressemble à ce qui suit :

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Pour afficher les interfaces réseau nouvellement créées, utilisez la cmdlet Get-AzNetworkInterface, en fournissant le groupe de ressources :

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

Dans la sortie, l’hôte 1 et l’hôte 2 sont répertoriés, ainsi que l’interface de gestion :

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Le Portail Azure affiche la « méthode d’allocation d’adresses IP privées » comme « Dynamique » :

Étapes suivantes

Passez à l’article suivant pour découvrir comment afficher un HSM de paiement.

Affichez vos HSM de paiement

Informations complémentaires :

• Lisez une Vue d’ensemble du HSM de paiement
• Découvrir comment bien démarrer avec HSM de paiement Azure
• Voir quelques scénarios de déploiement courants
• En savoir plus sur la certification et la conformité
• Consulter la foire aux questions