Dedikált Azure HSM-hálózatkezelés

  • Cikk

Az Azure Dedicated HSM rendkívül biztonságos hálózati környezetet igényel. Ez igaz, akár az Azure-felhőből az ügyfél informatikai környezetéhez (helyszíni), elosztott alkalmazásokkal vagy magas rendelkezésre állási forgatókönyvekhez. Az Azure Networking ezt biztosítja, és négy különböző területet kell kezelni.

  • HSM-eszközök létrehozása a Virtual Network (VNet)-ben az Azure-ban
  • Helyszíni csatlakoztatás felhőalapú erőforrásokhoz HSM-eszközök konfigurálásához és kezeléséhez
  • Virtuális hálózatok létrehozása és csatlakoztatása alkalmazáserőforrások és HSM-eszközök összekapcsolására
  • Virtuális hálózatok csatlakoztatása régiók között az interkommunikációhoz és a magas rendelkezésre állási forgatókönyvek lehetővé tétele érdekében

Virtuális hálózat dedikált HSM-ekhez

A dedikált HSM-eket egy Virtual Network integrálják, és az ügyfelek saját privát hálózatába helyezik az Azure-ban. Ez lehetővé teszi az eszközök elérését a virtuális gépekről vagy a virtuális hálózat számítási erőforrásaiból.
Az Azure-szolgáltatások virtuális hálózatba való integrálásáról és az általa biztosított képességekről további információt a Virtuális hálózat az Azure-szolgáltatásokhoz című dokumentációban talál.

Virtuális hálózatok

Dedikált HSM-eszköz kiépítése előtt az ügyfeleknek először létre kell hozniuk egy Virtual Network az Azure-ban, vagy olyant kell használniuk, amely már létezik az ügyfelek előfizetésében. A virtuális hálózat határozza meg a dedikált HSM-eszköz biztonsági szegélyét. A virtuális hálózatok létrehozásával kapcsolatos további információkért lásd a virtuális hálózatok dokumentációját.

Alhálózatok

Az alhálózat külön címtartományokra bontja a virtuális hálózatot, amelyeket azok az Azure-erőforrások használhatnak, amelyeket beléjük helyez. A dedikált HSM-eket a rendszer a virtuális hálózat egy alhálózatán helyezi üzembe. Az ügyfél alhálózatán üzembe helyezett minden dedikált HSM-eszköz magánhálózati IP-címet kap erről az alhálózatról. A HSM-eszközt üzembe helyező alhálózatot explicit módon delegálni kell a szolgáltatásba: Microsoft.HardwareSecurityModules/dedicatedHSMs. Ez bizonyos engedélyeket ad a HSM szolgáltatásnak az alhálózaton való üzembe helyezéshez. A dedikált HSM-ekre való delegálás bizonyos szabályzatkorlátozásokat ró az alhálózatra. A hálózati biztonsági csoportok (NSG-k) és User-Defined útvonalak (UDR-ek) jelenleg nem támogatottak a delegált alhálózatokon. Ennek eredményeképpen, ha egy alhálózat dedikált HSM-ekhez van delegálva, csak HSM-erőforrások üzembe helyezésére használható. A többi ügyfélerőforrás alhálózatba történő üzembe helyezése sikertelen lesz. Nem követelmény, hogy a dedikált HSM alhálózata mekkora vagy kicsi legyen, azonban minden HSM-eszköz egy privát IP-címet fog használni, ezért gondoskodni kell arról, hogy az alhálózat elég nagy legyen ahhoz, hogy az üzembe helyezéshez szükséges számú HSM-eszközt el tudja helyezni.

ExpressRoute-átjáró

A jelenlegi architektúra egyik követelménye egy ExpressRoute-átjáró konfigurálása az ügyfelek alhálózatán, ahol HSM-eszközt kell elhelyezni a HSM-eszköz Azure-ba való integrálásának engedélyezéséhez. Ez az ExpressRoute-átjáró nem használható helyszíni helyek azure-beli HSM-eszközökhöz való csatlakoztatásához.

A helyszíni INFORMATIKAI csatlakoztatása az Azure-hoz

Felhőalapú erőforrások létrehozásakor ez egy tipikus követelmény a helyszíni informatikai erőforrásokhoz való privát kapcsolathoz. Dedikált HSM esetén ez elsősorban a HSM-ügyfélszoftverre vonatkozik a HSM-eszközök konfigurálásához, valamint olyan tevékenységekhez, mint a biztonsági mentések és a naplók lekérése a HSM-ekből elemzés céljából. Itt a legfontosabb döntési pont a kapcsolat természete, mivel vannak lehetőségek. A legrugalmasabb megoldás a helyek közötti VPN, mivel valószínűleg több helyszíni erőforrás is lesz, amelyek biztonságos kommunikációt igényelnek az azure-felhőbeli erőforrásokkal (beleértve a HSM-eket is). Ehhez az ügyfélszervezetnek VPN-eszközzel kell rendelkeznie a kapcsolat megkönnyítése érdekében. Pont–hely VPN-kapcsolat akkor használható, ha csak egyetlen végpont van a helyszínen, például egyetlen felügyeleti munkaállomás. A csatlakozási lehetőségekről további információt a VPN Gateway tervezési lehetőségek című témakörben talál.

Megjegyzés

Az ExpressRoute jelenleg nem használható helyszíni erőforrásokhoz való csatlakozásra. Azt is meg kell jegyezni, hogy a fent ismertetett ExpressRoute-átjáró nem a helyszíni infrastruktúrához való csatlakozásra szolgál.

Pont–hely VPN

A pont–hely virtuális magánhálózat az egyetlen helyszíni végponttal létesített biztonságos kapcsolat legegyszerűbb formája. Ez akkor lehet releváns, ha csak egyetlen felügyeleti munkaállomást kíván használni az Azure-alapú dedikált HSM-ekhez.

Helyek közötti VPN

A helyek közötti virtuális magánhálózat biztonságos kommunikációt tesz lehetővé az Azure-alapú dedikált HSM-ek és a helyszíni informatikai rendszerek között. Ennek egyik oka, hogy a HSM helyszíni biztonsági mentési létesítménye van, és a biztonsági mentés futtatásához kapcsolatra van szükség a kettő között.

Virtuális hálózatok csatlakoztatása

A dedikált HSM tipikus üzembehelyezési architektúrája egyetlen virtuális hálózattal és annak megfelelő alhálózattal kezdődik, amelyben a HSM-eszközök létrejönnek és kiépültek. Ezen a régión belül további virtuális hálózatok és alhálózatok is lehetnek az alkalmazás-összetevők számára, amelyek a dedikált HSM-et használják. A hálózatok közötti kommunikáció engedélyezéséhez Virtual Network társviszony-létesítést használunk.

Társviszony létesítése virtuális hálózatok között

Ha egy régióban több virtuális hálózatnak is hozzá kell férnie egymás erőforrásaihoz, Virtual Network társviszony-létesítés segítségével biztonságos kommunikációs csatornák hozhatók létre közöttük. A virtuális hálózatok közötti társviszony-létesítés nem csak biztonságos kommunikációt biztosít, hanem alacsony késésű és nagy sávszélességű kapcsolatokat is biztosít az Azure-beli erőforrások között.

hálózati társviszony-létesítés

Csatlakozás azure-régiók között

A HSM-eszközök szoftverkódtárakon keresztül átirányítják a forgalmat egy másik HSM-hez. A forgalom átirányítása akkor hasznos, ha az eszközök meghibásodnak, vagy az eszközhöz való hozzáférés elveszik. A regionális szintű meghibásodási forgatókönyvek elháríthatók a HSM-eknek más régiókban történő üzembe helyezésével és a virtuális hálózatok közötti régiók közötti kommunikáció engedélyezésével.

Régiók közötti HA VPN-átjáró használatával

Globálisan elosztott alkalmazások vagy magas rendelkezésre állású regionális feladatátvételi forgatókönyvek esetén a virtuális hálózatok régiók közötti összekapcsolására van szükség. Az Azure Dedicated HSM használatával a magas rendelkezésre állás egy VPN Gateway használatával érhető el, amely biztonságos alagutat biztosít a két virtuális hálózat között. A VPN Gateway használatával létesített virtuális hálózatok közötti kapcsolatokról a Mi az VPN Gateway? című cikkben talál további információt.

Megjegyzés

A globális virtuális hálózatok közötti társviszony-létesítés jelenleg nem érhető el a dedikált HSM-ekkel rendelkező régiók közötti kapcsolati forgatókönyvekben, és helyette VPN-átjárót kell használni.

Az ábrán két, két V P N-átjáróval összekapcsolt régió látható. Minden régió társviszonyban álló virtuális hálózatokat tartalmaz.

Hálózatkezelési korlátozások

Megjegyzés

Az alhálózat-delegálást használó dedikált HSM-szolgáltatás korlátozásai olyan korlátozásokat vezetnek be, amelyeket figyelembe kell venni a HSM-üzemelő példány célhálózati architektúrájának tervezésekor. Az alhálózat-delegálás használata azt jelenti, hogy a dedikált HSM nem támogatja az NSG-ket, az UDR-eket és a globális virtuális hálózatok közötti társviszony-létesítést. Az alábbi szakaszok segítséget nyújtanak az alternatív technikákhoz, amelyek hasonló vagy hasonló eredményeket érhetnek el ezekhez a képességekhez.

A dedikált HSM virtuális hálózaton található HSM hálózati adapter nem használhat hálózati biztonsági csoportokat vagy felhasználó által megadott útvonalakat. Ez azt jelenti, hogy nem lehet alapértelmezett megtagadási szabályzatokat beállítani a dedikált HSM virtuális hálózat szempontjából, és hogy más hálózati szegmenseket engedélyezni kell a dedikált HSM szolgáltatáshoz való hozzáféréshez.

A hálózati virtuális berendezések (NVA) proxymegoldásának hozzáadása azt is lehetővé teszi, hogy a tranzit-/DMZ-központban található NVA-tűzfal logikailag a HSM hálózati adaptere elé kerüljön, így biztosítva a szükséges alternatívát az NSG-k és az UDR-ek helyett.

Megoldásarchitektúra

Ehhez a hálózattervezéshez a következő elemek szükségesek:

  1. Átviteli vagy DMZ-központ virtuális hálózat NVA proxyszinttel. Ideális esetben két vagy több NVA van jelen.
  2. Egy ExpressRoute-kapcsolatcsoport, amelyen engedélyezve van a privát társviszony- és kapcsolat a tranzitközpont virtuális hálózatával.
  3. Virtuális hálózatok közötti társviszony a tranzitközpont virtuális hálózata és a dedikált HSM virtuális hálózat között.
  4. Egy NVA-tűzfal vagy Azure Firewall üzembe helyezhető DMZ-szolgáltatásokat kínálhat a központban lehetőségként.
  5. A számítási feladatok küllős virtuális hálózatai további társviszonyban lehetnek a központi virtuális hálózattal. A Gemalto-ügyfél a központi virtuális hálózaton keresztül érheti el a dedikált HSM-szolgáltatást.

Az ábrán egy NVA proxyszinttel rendelkező DMZ-központ virtuális hálózata látható az NSG-hez és az UDR kerülő megoldásához

Mivel az NVA-proxymegoldás hozzáadása lehetővé teszi, hogy a tranzit/DMZ hub NVA-tűzfala logikailag a HSM hálózati adapter elé kerüljön, így biztosítva a szükséges alapértelmezett megtagadási szabályzatokat. Példánkban a Azure Firewall erre a célra fogjuk használni, és a következő elemekre lesz szükség:

  1. Az "AzureFirewallSubnet" alhálózatba üzembe helyezett Azure Firewall a DMZ hub virtuális hálózatában
  2. Útválasztási táblázat egy UDR-vel, amely az Azure ILB privát végpontjára vezető forgalmat irányítja a Azure Firewall. Ez az útválasztási tábla arra a GatewaySubnetre lesz alkalmazva, ahol az ügyfél ExpressRoute virtuális átjárója található
  3. Az AzureFirewallon belüli hálózati biztonsági szabályok lehetővé teszik a megbízható forrástartomány és az Azure IBL privát végpontja közötti továbbítást az 1792-s TCP-porton. Ez a biztonsági logika hozzáadja a szükséges "alapértelmezett megtagadási" szabályzatot a dedikált HSM szolgáltatáshoz. Ez azt jelenti, hogy csak megbízható forrás IP-tartományok lesznek engedélyezve a dedikált HSM szolgáltatásban. Az összes többi tartomány el lesz dobva.
  4. Útválasztási táblázat UDR-vel, amely a helyszíni forgalom felé irányítja a Azure Firewall. Ez az útválasztási tábla az NVA-proxy alhálózatra lesz alkalmazva.
  5. A proxy NVA alhálózatra alkalmazott NSG csak a Azure Firewall alhálózati tartományát megbízhatónak minősíti forrásként, és csak az 1792-as TCP-porton keresztül engedélyezi a HSM hálózati adapter IP-címére való továbbítást.

Megjegyzés

Mivel az NVA-proxyszint SNAT-ként kezeli az ügyfél IP-címét a HSM hálózati adapterre való továbbításkor, nincs szükség UDR-ekre a HSM virtuális hálózat és a DMZ-központ virtuális hálózata között.

Alternatíva az UDR-ek helyett

A fent említett NVA-szintű megoldás az UDR-ek alternatívaként működik. Van néhány fontos megjegyzés.

  1. A hálózati címfordítást úgy kell konfigurálni az NVA-n, hogy a visszatérő forgalom megfelelően legyen irányítva.
  2. Az ügyfeleknek le kell tiltania az ügyfél IP-ellenőrzését a Luna HSM-konfigurációban a VNA NAT-hoz való használatához. Példaként az alábbi parancsok szolgálnak a servce parancsra.
Disable:
[hsm01] lunash:>ntls ipcheck disable
NTLS client source IP validation disabled
Command Result : 0 (Success)

Show:
[hsm01] lunash:>ntls ipcheck show
NTLS client source IP validation : Disable
Command Result : 0 (Success)
  1. UDR-ek üzembe helyezése a bejövő forgalom számára az NVA-szintre.
  2. A kialakításnak megfelelően a HSM-alhálózatok nem kezdeményeznek kimenő kapcsolati kérést a platformszintre.

Alternatív megoldás a globális virtuális hálózatok közötti társviszony-létesítés használatára

Számos architektúrát használhat a globális virtuális hálózatok közötti társviszony-létesítés alternatíváiként.

  1. Virtuális hálózatok közötti VPN Gateway kapcsolat használata
  2. Csatlakoztassa a HSM virtuális hálózatot egy másik virtuális hálózathoz egy ER-kapcsolatcsoporttal. Ez akkor működik a legjobban, ha közvetlen helyszíni elérési útra vagy VPN-alapú virtuális hálózatra van szükség.

HSM közvetlen ExpressRoute-kapcsolattal

A HSM közvetlen ExpressRoute-kapcsolatot ábrázoló ábrája

Következő lépések