Dedikált Azure HSM-hálózatkezelés
Az Azure Dedicated HSM rendkívül biztonságos hálózati környezetet igényel. Ez igaz, akár az Azure-felhőből az ügyfél informatikai környezetéhez (helyszíni), elosztott alkalmazásokkal vagy magas rendelkezésre állási forgatókönyvekhez. Az Azure Networking ezt biztosítja, és négy különböző területet kell kezelni.
- HSM-eszközök létrehozása a Virtual Network (VNet)-ben az Azure-ban
- Helyszíni csatlakoztatás felhőalapú erőforrásokhoz HSM-eszközök konfigurálásához és kezeléséhez
- Virtuális hálózatok létrehozása és csatlakoztatása alkalmazáserőforrások és HSM-eszközök összekapcsolására
- Virtuális hálózatok csatlakoztatása régiók között az interkommunikációhoz és a magas rendelkezésre állási forgatókönyvek lehetővé tétele érdekében
Virtuális hálózat dedikált HSM-ekhez
A dedikált HSM-eket egy Virtual Network integrálják, és az ügyfelek saját privát hálózatába helyezik az Azure-ban. Ez lehetővé teszi az eszközök elérését a virtuális gépekről vagy a virtuális hálózat számítási erőforrásaiból.
Az Azure-szolgáltatások virtuális hálózatba való integrálásáról és az általa biztosított képességekről további információt a Virtuális hálózat az Azure-szolgáltatásokhoz című dokumentációban talál.
Virtuális hálózatok
Dedikált HSM-eszköz kiépítése előtt az ügyfeleknek először létre kell hozniuk egy Virtual Network az Azure-ban, vagy olyant kell használniuk, amely már létezik az ügyfelek előfizetésében. A virtuális hálózat határozza meg a dedikált HSM-eszköz biztonsági szegélyét. A virtuális hálózatok létrehozásával kapcsolatos további információkért lásd a virtuális hálózatok dokumentációját.
Alhálózatok
Az alhálózat külön címtartományokra bontja a virtuális hálózatot, amelyeket azok az Azure-erőforrások használhatnak, amelyeket beléjük helyez. A dedikált HSM-eket a rendszer a virtuális hálózat egy alhálózatán helyezi üzembe. Az ügyfél alhálózatán üzembe helyezett minden dedikált HSM-eszköz magánhálózati IP-címet kap erről az alhálózatról. A HSM-eszközt üzembe helyező alhálózatot explicit módon delegálni kell a szolgáltatásba: Microsoft.HardwareSecurityModules/dedicatedHSMs. Ez bizonyos engedélyeket ad a HSM szolgáltatásnak az alhálózaton való üzembe helyezéshez. A dedikált HSM-ekre való delegálás bizonyos szabályzatkorlátozásokat ró az alhálózatra. A hálózati biztonsági csoportok (NSG-k) és User-Defined útvonalak (UDR-ek) jelenleg nem támogatottak a delegált alhálózatokon. Ennek eredményeképpen, ha egy alhálózat dedikált HSM-ekhez van delegálva, csak HSM-erőforrások üzembe helyezésére használható. A többi ügyfélerőforrás alhálózatba történő üzembe helyezése sikertelen lesz. Nem követelmény, hogy a dedikált HSM alhálózata mekkora vagy kicsi legyen, azonban minden HSM-eszköz egy privát IP-címet fog használni, ezért gondoskodni kell arról, hogy az alhálózat elég nagy legyen ahhoz, hogy az üzembe helyezéshez szükséges számú HSM-eszközt el tudja helyezni.
ExpressRoute-átjáró
A jelenlegi architektúra egyik követelménye egy ExpressRoute-átjáró konfigurálása az ügyfelek alhálózatán, ahol HSM-eszközt kell elhelyezni a HSM-eszköz Azure-ba való integrálásának engedélyezéséhez. Ez az ExpressRoute-átjáró nem használható helyszíni helyek azure-beli HSM-eszközökhöz való csatlakoztatásához.
A helyszíni INFORMATIKAI csatlakoztatása az Azure-hoz
Felhőalapú erőforrások létrehozásakor ez egy tipikus követelmény a helyszíni informatikai erőforrásokhoz való privát kapcsolathoz. Dedikált HSM esetén ez elsősorban a HSM-ügyfélszoftverre vonatkozik a HSM-eszközök konfigurálásához, valamint olyan tevékenységekhez, mint a biztonsági mentések és a naplók lekérése a HSM-ekből elemzés céljából. Itt a legfontosabb döntési pont a kapcsolat természete, mivel vannak lehetőségek. A legrugalmasabb megoldás a helyek közötti VPN, mivel valószínűleg több helyszíni erőforrás is lesz, amelyek biztonságos kommunikációt igényelnek az azure-felhőbeli erőforrásokkal (beleértve a HSM-eket is). Ehhez az ügyfélszervezetnek VPN-eszközzel kell rendelkeznie a kapcsolat megkönnyítése érdekében. Pont–hely VPN-kapcsolat akkor használható, ha csak egyetlen végpont van a helyszínen, például egyetlen felügyeleti munkaállomás. A csatlakozási lehetőségekről további információt a VPN Gateway tervezési lehetőségek című témakörben talál.
Megjegyzés
Az ExpressRoute jelenleg nem használható helyszíni erőforrásokhoz való csatlakozásra. Azt is meg kell jegyezni, hogy a fent ismertetett ExpressRoute-átjáró nem a helyszíni infrastruktúrához való csatlakozásra szolgál.
Pont–hely VPN
A pont–hely virtuális magánhálózat az egyetlen helyszíni végponttal létesített biztonságos kapcsolat legegyszerűbb formája. Ez akkor lehet releváns, ha csak egyetlen felügyeleti munkaállomást kíván használni az Azure-alapú dedikált HSM-ekhez.
Helyek közötti VPN
A helyek közötti virtuális magánhálózat biztonságos kommunikációt tesz lehetővé az Azure-alapú dedikált HSM-ek és a helyszíni informatikai rendszerek között. Ennek egyik oka, hogy a HSM helyszíni biztonsági mentési létesítménye van, és a biztonsági mentés futtatásához kapcsolatra van szükség a kettő között.
Virtuális hálózatok csatlakoztatása
A dedikált HSM tipikus üzembehelyezési architektúrája egyetlen virtuális hálózattal és annak megfelelő alhálózattal kezdődik, amelyben a HSM-eszközök létrejönnek és kiépültek. Ezen a régión belül további virtuális hálózatok és alhálózatok is lehetnek az alkalmazás-összetevők számára, amelyek a dedikált HSM-et használják. A hálózatok közötti kommunikáció engedélyezéséhez Virtual Network társviszony-létesítést használunk.
Társviszony létesítése virtuális hálózatok között
Ha egy régióban több virtuális hálózatnak is hozzá kell férnie egymás erőforrásaihoz, Virtual Network társviszony-létesítés segítségével biztonságos kommunikációs csatornák hozhatók létre közöttük. A virtuális hálózatok közötti társviszony-létesítés nem csak biztonságos kommunikációt biztosít, hanem alacsony késésű és nagy sávszélességű kapcsolatokat is biztosít az Azure-beli erőforrások között.
Csatlakozás azure-régiók között
A HSM-eszközök szoftverkódtárakon keresztül átirányítják a forgalmat egy másik HSM-hez. A forgalom átirányítása akkor hasznos, ha az eszközök meghibásodnak, vagy az eszközhöz való hozzáférés elveszik. A regionális szintű meghibásodási forgatókönyvek elháríthatók a HSM-eknek más régiókban történő üzembe helyezésével és a virtuális hálózatok közötti régiók közötti kommunikáció engedélyezésével.
Régiók közötti HA VPN-átjáró használatával
Globálisan elosztott alkalmazások vagy magas rendelkezésre állású regionális feladatátvételi forgatókönyvek esetén a virtuális hálózatok régiók közötti összekapcsolására van szükség. Az Azure Dedicated HSM használatával a magas rendelkezésre állás egy VPN Gateway használatával érhető el, amely biztonságos alagutat biztosít a két virtuális hálózat között. A VPN Gateway használatával létesített virtuális hálózatok közötti kapcsolatokról a Mi az VPN Gateway? című cikkben talál további információt.
Megjegyzés
A globális virtuális hálózatok közötti társviszony-létesítés jelenleg nem érhető el a dedikált HSM-ekkel rendelkező régiók közötti kapcsolati forgatókönyvekben, és helyette VPN-átjárót kell használni.
Hálózatkezelési korlátozások
Megjegyzés
Az alhálózat-delegálást használó dedikált HSM-szolgáltatás korlátozásai olyan korlátozásokat vezetnek be, amelyeket figyelembe kell venni a HSM-üzemelő példány célhálózati architektúrájának tervezésekor. Az alhálózat-delegálás használata azt jelenti, hogy a dedikált HSM nem támogatja az NSG-ket, az UDR-eket és a globális virtuális hálózatok közötti társviszony-létesítést. Az alábbi szakaszok segítséget nyújtanak az alternatív technikákhoz, amelyek hasonló vagy hasonló eredményeket érhetnek el ezekhez a képességekhez.
A dedikált HSM virtuális hálózaton található HSM hálózati adapter nem használhat hálózati biztonsági csoportokat vagy felhasználó által megadott útvonalakat. Ez azt jelenti, hogy nem lehet alapértelmezett megtagadási szabályzatokat beállítani a dedikált HSM virtuális hálózat szempontjából, és hogy más hálózati szegmenseket engedélyezni kell a dedikált HSM szolgáltatáshoz való hozzáféréshez.
A hálózati virtuális berendezések (NVA) proxymegoldásának hozzáadása azt is lehetővé teszi, hogy a tranzit-/DMZ-központban található NVA-tűzfal logikailag a HSM hálózati adaptere elé kerüljön, így biztosítva a szükséges alternatívát az NSG-k és az UDR-ek helyett.
Megoldásarchitektúra
Ehhez a hálózattervezéshez a következő elemek szükségesek:
- Átviteli vagy DMZ-központ virtuális hálózat NVA proxyszinttel. Ideális esetben két vagy több NVA van jelen.
- Egy ExpressRoute-kapcsolatcsoport, amelyen engedélyezve van a privát társviszony- és kapcsolat a tranzitközpont virtuális hálózatával.
- Virtuális hálózatok közötti társviszony a tranzitközpont virtuális hálózata és a dedikált HSM virtuális hálózat között.
- Egy NVA-tűzfal vagy Azure Firewall üzembe helyezhető DMZ-szolgáltatásokat kínálhat a központban lehetőségként.
- A számítási feladatok küllős virtuális hálózatai további társviszonyban lehetnek a központi virtuális hálózattal. A Gemalto-ügyfél a központi virtuális hálózaton keresztül érheti el a dedikált HSM-szolgáltatást.
Mivel az NVA-proxymegoldás hozzáadása lehetővé teszi, hogy a tranzit/DMZ hub NVA-tűzfala logikailag a HSM hálózati adapter elé kerüljön, így biztosítva a szükséges alapértelmezett megtagadási szabályzatokat. Példánkban a Azure Firewall erre a célra fogjuk használni, és a következő elemekre lesz szükség:
- Az "AzureFirewallSubnet" alhálózatba üzembe helyezett Azure Firewall a DMZ hub virtuális hálózatában
- Útválasztási táblázat egy UDR-vel, amely az Azure ILB privát végpontjára vezető forgalmat irányítja a Azure Firewall. Ez az útválasztási tábla arra a GatewaySubnetre lesz alkalmazva, ahol az ügyfél ExpressRoute virtuális átjárója található
- Az AzureFirewallon belüli hálózati biztonsági szabályok lehetővé teszik a megbízható forrástartomány és az Azure IBL privát végpontja közötti továbbítást az 1792-s TCP-porton. Ez a biztonsági logika hozzáadja a szükséges "alapértelmezett megtagadási" szabályzatot a dedikált HSM szolgáltatáshoz. Ez azt jelenti, hogy csak megbízható forrás IP-tartományok lesznek engedélyezve a dedikált HSM szolgáltatásban. Az összes többi tartomány el lesz dobva.
- Útválasztási táblázat UDR-vel, amely a helyszíni forgalom felé irányítja a Azure Firewall. Ez az útválasztási tábla az NVA-proxy alhálózatra lesz alkalmazva.
- A proxy NVA alhálózatra alkalmazott NSG csak a Azure Firewall alhálózati tartományát megbízhatónak minősíti forrásként, és csak az 1792-as TCP-porton keresztül engedélyezi a HSM hálózati adapter IP-címére való továbbítást.
Megjegyzés
Mivel az NVA-proxyszint SNAT-ként kezeli az ügyfél IP-címét a HSM hálózati adapterre való továbbításkor, nincs szükség UDR-ekre a HSM virtuális hálózat és a DMZ-központ virtuális hálózata között.
Alternatíva az UDR-ek helyett
A fent említett NVA-szintű megoldás az UDR-ek alternatívaként működik. Van néhány fontos megjegyzés.
- A hálózati címfordítást úgy kell konfigurálni az NVA-n, hogy a visszatérő forgalom megfelelően legyen irányítva.
- Az ügyfeleknek le kell tiltania az ügyfél IP-ellenőrzését a Luna HSM-konfigurációban a VNA NAT-hoz való használatához. Példaként az alábbi parancsok szolgálnak a servce parancsra.
Disable:
[hsm01] lunash:>ntls ipcheck disable
NTLS client source IP validation disabled
Command Result : 0 (Success)
Show:
[hsm01] lunash:>ntls ipcheck show
NTLS client source IP validation : Disable
Command Result : 0 (Success)
- UDR-ek üzembe helyezése a bejövő forgalom számára az NVA-szintre.
- A kialakításnak megfelelően a HSM-alhálózatok nem kezdeményeznek kimenő kapcsolati kérést a platformszintre.
Alternatív megoldás a globális virtuális hálózatok közötti társviszony-létesítés használatára
Számos architektúrát használhat a globális virtuális hálózatok közötti társviszony-létesítés alternatíváiként.
- Virtuális hálózatok közötti VPN Gateway kapcsolat használata
- Csatlakoztassa a HSM virtuális hálózatot egy másik virtuális hálózathoz egy ER-kapcsolatcsoporttal. Ez akkor működik a legjobban, ha közvetlen helyszíni elérési útra vagy VPN-alapú virtuális hálózatra van szükség.