Tutorial: Creación de un HSM de pago con host y puerto de administración en una red virtual diferente mediante una plantilla de ARM

Azure Payment HSM es un servicio "BareMetal" que se entrega mediante módulos de seguridad de hardware de pago (HSM) de Thales payShield 10K para proporcionar operaciones de clave criptográfica para transacciones de pago críticas en tiempo real en la nube de Azure. Azure Payment HSM está diseñado específicamente para ayudar a un proveedor de servicios y a una entidad financiera individual a acelerar la estrategia de transformación digital de su sistema de pago y adoptar la nube pública. Para obtener más información, consulte Acerca de Azure Payment HSM.

En este tutorial se describe cómo crear un HSM de pago con el puerto de administración y host en diferentes redes virtuales, mediante la CLI de Azure o Azure PowerShell. En su lugar, puede:

• Creación de un HSM de pago con el host y el puerto de administración en la misma red virtual usando la CLI de Azure o PowerShell
• Creación de un HSM de pago con el host y el puerto de administración en la misma red virtual mediante una plantilla de ARM
• Creación de un HSM de pago con host y puerto de administración en una red virtual diferente mediante una plantilla de ARM
• Creación de un recurso de HSM con host y puerto de administración con direcciones IP en diferentes redes virtuales mediante una plantilla de ARM

Una plantilla de Azure Resource Manager es un archivo de notación de objetos JavaScript (JSON) que define tanto la infraestructura como la configuración de un proyecto. La plantilla usa sintaxis declarativa. Se describe la implementación deseada sin escribir la secuencia de comandos de programación para crear la implementación.

Prerrequisitos

Importante

Azure Payment HSM es un servicio especializado. Para calificar para la incorporación y el uso de Azure Payment HSM, los clientes deben tener asignado un administrador de cuentas de Microsoft y tener un arquitecto de servicios en la nube (CSA).

Para consultar información acerca del servicio, inicie el proceso de calificación y prepare los requisitos previos antes de incorporarse, y solicite a su administrador de cuentas de Microsoft y su CSA que envíen una solicitud por correo electrónico.

• Debe registrar los proveedores de recursos "Microsoft.HardwareSecurityModules" y "Microsoft.Network", así como las características de Azure Payment HSM. Los pasos para hacerlo se encuentran en Registro del proveedor de recursos de Azure Payment HSM y las características del proveedor de recursos.

  Para determinar rápidamente si los proveedores de recursos y las características ya están registrados, use el comando az provider show de la CLI de Azure. (La salida de este comando resultará más legible si la muestra en formato de tabla).

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  Puede continuar con este inicio rápido si los cuatro comandos devuelven "Registrado".

• Debe tener una suscripción de Azure. En caso de no tener ninguna, puede crear una cuenta gratuita.

• Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.

  

• Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.

  • Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.

  • En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.

  • Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.

---

Crear un grupo de recursos

CLI de Azure

Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure. Utilice el comando az group create para crear un grupo de recursos denominado myResourceGroup en la ubicación eastus.

az group create --name "myResourceGroup" --location "EastUS"

Azure PowerShell

Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure. Use el cmdlet New-AzResourceGroup de Azure PowerShell para crear un grupo de recursos denominado myResourceGroup en la ubicación eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Crear redes virtuales y subredes

Antes de crear un HSM de pago, primero debe crear una red virtual o subred para el host y otra red virtual o subred para el puerto de administración.

CLI de Azure

En primer lugar, use el comando az network vnet create de la CLI de Azure para crear la red virtual para el host:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Después, use el comando az network vnet subnet update de la CLI de Azure para actualizar la subred y asígnele una delegación de "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Para comprobar que la red virtual y la subred se han creado correctamente, use el comando az network vnet subnet show de la CLI de Azure:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Anote el identificador de subred del host, que se usa al crear el HSM de pago. El identificador de la subred termina con el nombre de la subred:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Ahora cree otra red virtual y subred para el puerto de administración:

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

De nuevo, use el comando az network vnet subnet update de la CLI de Azure para actualizar la subred y asígnele una delegación de "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Para comprobar que la red virtual de administración y la subred se han creado correctamente, use el comando az network vnet subnet show de la CLI de Azure:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

También necesita el identificador de subred de la administración al crear el HSM de pago.

Azure PowerShell

En primer lugar, establezca algunas variables para usarlas en la creación de la red virtual o subred del host:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Use el cmdlet New-AzDelegation de Azure PowerShell para crear una delegación de servicio que se agregará a la subred de host y guarde la salida en la variable $myDelegation:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Use el cmdlet New-AzVirtualNetworkSubnetConfig de Azure PowerShell para crear una configuración de subred de red virtual y guarde la salida en la variable $myPHSMSubnet:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Nota

El cmdlet New-AzVirtualNetworkSubnetConfig generará una advertencia, que puede omitir de forma segura.

Para crear una red virtual de Azure, use el cmdlet New-AzVirtualNetwork de Azure PowerShell:

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Para comprobar que la red virtual se creó correctamente, use el cmdlet Get-AzVirtualNetwork de Azure PowerShell:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Anote el identificador de la subred, que se usa en el paso siguiente. El identificador de la subred termina con el nombre de la subred:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Ahora cree otra red virtual y subred para el puerto de administración. En primer lugar, establezca nuevas variables:

$ManagementVNetAddressPrefix = @("10.1.0.0/16")
$ManagementSubnetAddressPrefix = "10.1.0.0/24"
$myManagementSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myManagementSubnet" -AddressPrefix $ManagementSubnetAddressPrefix -Delegation $myDelegation

Use el cmdlet New-AzVirtualNetwork de Azure PowerShell para crear la red virtual de administración y la subred:

New-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $ManagementVNetAddressPrefix -Subnet $myManagementSubnetConfig

Para comprobar que la red virtual se creó correctamente, use el cmdlet Get-AzVirtualNetwork de Azure PowerShell:

Get-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup"

También necesita el identificador de subred de la administración al crear el HSM de pago.

Creación de un HSM de pago

Creación con hosts dinámicos

CLI de Azure

Para crear un HSM de pago con hosts dinámicos, use el comando az dedicated-hsm create. En el ejemplo siguiente crea un HSM de pago denominado myPaymentHSM, que se encuentra en la región eastus, el grupo de recursos myResourceGroup y la suscripción, red virtual y subred especificadas:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

Para ver las interfaces de red recién creadas, use el comando az network nic list y proporcione el grupo de recursos:

az network nic list -g myResourceGroup -o table

En la salida, se muestran el host 1 y el host 2, así como una interfaz de administración:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Para ver las interfaces de red recién creadas, use el comando az network nic show y proporcione el grupo de recursos y el nombre de la interfaz de red:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

La salida contiene esta línea:

  "privateIPAllocationMethod": "Dynamic",

Azure PowerShell

Para crear un HSM de pago con hosts dinámicos, use el cmdlet New-AzDedicatedHsm y el identificador de red virtual del paso anterior:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -ManagementSubnetId "<ManagementSubnetId>"

La salida de la creación del HSM de pago tendrá este aspecto:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Para ver las interfaces de red recién creadas, use el cmdlet Get-AzNetworkInterface y proporcione el grupo de recursos:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

En la salida, se muestran el host 1 y el host 2, así como una interfaz de administración:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Azure Portal muestra el "Método de asignación de IP privada" como "Dinámico":

Creación con hosts estáticos

CLI de Azure

Para crear un HSM de pago con hosts estáticos, use el comando az dedicated-hsm create. En el ejemplo siguiente crea un HSM de pago denominado myPaymentHSM, que se encuentra en la región eastus, el grupo de recursos myResourceGroup y la suscripción, red virtual y subred especificadas:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Si desea especificar también una dirección IP estática para el host de administración, puede agregar:

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

Para ver las interfaces de red recién creadas, use el comando az network nic list y proporcione el grupo de recursos:

az network nic list -g myResourceGroup -o table

En la salida, se muestran el host 1 y el host 2, así como una interfaz de administración:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Para ver las propiedades de una interfaz de red, use el comando az network nic show y proporcione el grupo de recursos y el nombre de la interfaz de red:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

La salida contiene esta línea:

  "privateIPAllocationMethod": "Static",

Azure PowerShell

Para crear un HSM de pago con hosts estáticos, use el cmdlet New-AzDedicatedHsm y el identificador de red virtual del paso anterior:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<host-subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'}) -ManagementNetworkInterface @{PrivateIPAddress = '10.1.0.5'} -ManagementSubnetId "<management-subnet-id>"

La salida de la creación del HSM de pago tendrá este aspecto:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Para ver las interfaces de red recién creadas, use el cmdlet Get-AzNetworkInterface y proporcione el grupo de recursos:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

En la salida, se muestran el host 1 y el host 2, así como una interfaz de administración:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Azure Portal muestra el "Método de asignación de IP privada" como "Estático":

Pasos siguientes

Pase al siguiente artículo, donde aprenderá a ver su HSM de pago.

Visualización del HSM de pago

Información adicional:

• Lea una Introducción a Payment HSM
• Descubra cómo empezar a trabajar con Azure Payment HSM
• Consulte algunos escenarios de implementacióncomunes
• Más información sobre la certificación y el cumplimiento
• Lea las preguntas más frecuentes