Az Azure Dedicated HSM szolgáltatás hibaelhárítása
Az Azure Dedicated HSM szolgáltatásnak két különböző aspektusa van. Először is a HSM-eszközök Azure-ban való regisztrálása és üzembe helyezése a mögöttes hálózati összetevőkkel. Másodszor, a HSM-eszközök konfigurálása egy adott számítási feladattal vagy alkalmazással való használatra/integrációra való felkészülés során. Bár a Thales Luna 7 HSM-eszközök megegyeznek az Azure-ban, mint amelyet közvetlenül a Thalestől vásárolna, az a tény, hogy az Azure-ban erőforrásként szolgálnak, egyedi szempontokat hoz létre. Ezeket a szempontokat és az ebből eredő hibaelhárítási megállapításokat és ajánlott eljárásokat itt dokumentáljuk a kritikus információk magas láthatóságának és hozzáférésének biztosítása érdekében. A szolgáltatás használatba adása után a végleges információk közvetlenül a Microsoft vagy a Thales támogatási kérelmei révén érhetők el.
Feljegyzés
Meg kell jegyezni, hogy az újonnan üzembe helyezett HSM-eszközökön a konfiguráció végrehajtása előtt frissíteni kell a megfelelő javításokkal. Egy adott szükséges javítás KB0019789 a Thales támogatási portálján, amely elhárít egy hibát, amely miatt a rendszer nem válaszol az újraindítás során.
HSM-regisztráció
A dedikált HSM egy értékes erőforrás, amely baremetális HSM-képességeket biztosít az Azure-ban, és nem érhető el szabadon használatra. A megfelelő kihasználtság biztosítása érdekében engedélyezési folyamatot alkalmazunk az Azure-előfizetések előkészítéséhez és üzembe helyezéséhez való jóváhagyásához. Ha folytatni szeretné a dedikált HSM-be való előkészítést, további útmutatásért forduljon a Microsoft Fiókkezelőjéhez.
Hozzáférés a dedikált HSM-hez
Először ellenőrizze, hogy a használati eseteket nem tudja-e kezelni az Azure Key Vault vagy az Azure Managed HSM. Ha úgy véli, hogy csak a dedikált HSM felel meg a legfontosabb tárolási követelményeknek, további útmutatásért forduljon a Microsoft Fiókkezelőjéhez vagy a Microsoft ügyfélszolgálatához. Vázolja fel az alkalmazást és a használati eseteket, a HSM-eket használni kívánt régiókat és a kívánt HSM-eket.
HSM-kiépítés
A HSM-eszközök üzembe helyezése az Azure-ban cli-vel vagy PowerShell-lel végezhető el. Amikor regisztrál a szolgáltatásra, egy ARM-mintasablont kap, és segítséget kap a kezdeti testreszabáshoz.
A HSM üzembehelyezési hibáinak információi
A dedikált HSM támogatja a parancssori felületet és a PowerShellt az üzembe helyezéshez, így a portálalapú hibainformációk korlátozottak és nem részletesek. Jobb információt az Erőforrás-kezelővel találhat. Ehhez a portál kezdőlapján található egy ikon, és részletesebb hibainformációk érhetők el. Ezek az információk sokat segítenek, ha be vannak illesztve az üzembe helyezési problémákhoz kapcsolódó támogatási kérések létrehozásakor.
HSM-alhálózat delegálása
Az üzembehelyezési hibák első számú oka, hogy elfelejti beállítani a megfelelő delegálást ahhoz az ügyfél által meghatározott alhálózathoz, amelyen a HSM-eket kiépítették. Annak beállítása, hogy a delegálás része a virtuális hálózatnak és az alhálózatnak az üzembe helyezés előfeltételeinek, és további részletek az oktatóanyagokban találhatók.
A HSM üzembehelyezési versenyfeltétele
Az üzembe helyezéshez biztosított standard ARM-sablon HSM- és ExpressRoute-átjáróhoz kapcsolódó erőforrásokkal rendelkezik. A hálózati erőforrások függőséget jelentenek a HSM sikeres üzembe helyezéséhez, és az időzítés kulcsfontosságú lehet. Időnként a függőségi problémákhoz kapcsolódó üzembehelyezési hibák láthatók, és az üzembe helyezés újrafuttatása gyakran megoldja a problémát. Ha nem, az erőforrások törlése és az újbóli üzembe helyezés gyakran sikeres. Miután megkísérelte ezt a problémát, és továbbra is megtalálta a problémát, küldjön egy támogatási kérést az Azure Portalon, és válassza ki az "Azure-beállítás konfigurálásával kapcsolatos problémák" problématípust.
HSM üzembe helyezése a Terraform használatával
Néhány ügyfél automatizálási környezetként használta a Terraformot a szolgáltatás regisztrálásakor megadott ARM-sablonok helyett. A HSM-eket nem lehet így üzembe helyezni, de a függő hálózati erőforrások igen. A Terraform rendelkezik egy modullal, amely meghív egy minimális ARM-sablont, amely csak a HSM üzembe helyezését tartalmazza. Ebben az esetben ügyelni kell arra, hogy a HSM-ek üzembe helyezése előtt teljes mértékben üzembe legyenek helyezve az olyan hálózati erőforrások, mint a szükséges ExpressRoute-átjáró . A következő CLI-parancs használható a befejezett üzembe helyezés teszteléséhez és szükség szerint integrálásához. Cserélje le a szögletes zárójelek helyőrzőit az adott elnevezéshez. A "provisioningState sikeres" eredményre kell keresnie
az resource show --ids /subscriptions/<subid>/resourceGroups/<myresourcegroup>/providers/Microsoft.Network/virtualNetworkGateways/<myergateway>
Üzembe helyezési hiba a kvóta alapján
A dedikált HSM kezdeti kvótakorlátja 2 HSM bélyegenként és régiónként 4 HSM. Mivel az üzemelő példányok sikertelenek lehetnek, ha túllépik ezeket a korlátokat, az újak megkísérlése előtt törölnie kell az erőforrásokat a korábbi sikertelen üzemelő példányokból. A meglévő erőforrásokat a kiépítéskor látható HSM-ekre hivatkozva ellenőrizheti a Hogyan. Ha több mint 4 HSM-et igényel egy régióban, küldjön egy ügyfélszolgálati jegyet a kvótakorlát növelésének igényléséhez.
Üzembehelyezési hiba a kapacitás alapján
Ha egy bélyeg vagy régió megközelíti a kapacitást, és a rendelkezésre álló HSM-k nagy része ki van építve, üzembehelyezési hibák léphetnek fel. Mindegyik bélyeg 12 HSM-et biztosít az ügyfelek számára, összesen régiónként 24 darab, bélyegenként két tartalék és egy teszteszközzel. Ha azt gyanítja, hogy elérte ezt a korlátot, küldjön egy ügyfélszolgálati jegyet, hogy érdeklődjön a régióban elérhető kapacitásról vagy az adott bélyegek kitöltési szintjéről.
Hogyan hSM-eket lát a kiépítéskor?
Mivel a dedikált HSM egy engedélyezett szolgáltatás, "rejtett típusnak" számít az Azure Portalon. A HSM-erőforrások megtekintéséhez jelölje be a "Rejtett típusok megjelenítése" jelölőnégyzetet. A hálózati adapter erőforrása mindig a HSM-et követi, és jó hely a HSM IP-címének megkereséséhez, mielőtt SSH-t használ a csatlakozáshoz.
Hálózati erőforrások
A dedikált HSM üzembe helyezése függ a hálózati erőforrásoktól, és néhány következményi korlátozást is figyelembe kell venni.
Az ExpressRoute kiépítése
A dedikált HSM az ExpressRoute-átjárót használja "alagútként" az ügyfél privát IP-címtere és a fizikai HSM közötti kommunikációhoz egy Azure-adatközpontban. Figyelembe véve, hogy a virtuális hálózatonként egy átjáró van korlátozva, azOknak az ügyfeleknek, akik az ExpressRoute-on keresztül csatlakoznak a helyszíni erőforrásaikhoz, egy másik virtuális hálózatot kell használniuk ehhez a kapcsolathoz.
HSM privát IP-címe
A dedikált HSM-hez biztosított mintasablonok feltételezik, hogy a HSM IP-címe automatikusan egy adott alhálózati tartományból származik. A HSM explicit IP-címét az ARM-sablon "NetworkInterfaces" attribútumával adhatja meg.
HSM-inicializálás
Az inicializálás előkészít egy új HSM-et a használatra, vagy egy meglévő HSM-et az újrafelhasználáshoz. A HSM inicializálásának le kell fejeződnie, mielőtt objektumokat hozhat létre vagy tárolhat, lehetővé teheti az ügyfelek számára a csatlakozást, vagy titkosítási műveleteket hajthat végre.
Elveszett hitelesítő adatok
A Shell rendszergazdai jelszavának elvesztése a HSM-kulcs anyagának elvesztését eredményezi. Támogatási kérelmet kell küldeni a HSM alaphelyzetbe állításához. A HSM inicializálásakor biztonságosan tárolja a hitelesítő adatokat. A rendszerhéj- és HSM-hitelesítő adatokat a vállalat szabályzatainak megfelelően kell megőrizni.
Sikertelen bejelentkezések
A HSM-eknek helytelen hitelesítő adatok megadása romboló következményekkel járhat. Az alábbiakban a HSM-szerepkörök alapértelmezett viselkedését mutatjuk be.
| Szerepkör | Küszöbérték (a próbálkozások száma) | Túl sok rossz bejelentkezési kísérlet eredménye | Helyreállítási |
|---|---|---|---|
| HSM SO | 3 | A HSM nullázva van (az összes HSM-objektum identitása és az összes partíció eltűnt) | A HSM-et újra kell újrainicializálni. A tartalom visszaállítható a biztonsági másolatokból. |
| Particionálási SO | 10 | A partíció nullázva van. | A partíciót újra kell újrainicializálni. A tartalom biztonsági másolatból visszaállítható. |
| Audit | 10 | Lockout | 10 perc után automatikusan feloldva. |
| Kriptográfiai tisztviselő | 10 (csökkenthető) | Ha a HSM-szabályzat 15: A partíció PIN-kódjának SO alaphelyzetbe állításának engedélyezése 1 (engedélyezve) van, a CO- és CU-szerepkörök ki vannak zárva. Ha a HSM-szabályzat 15: A partíció PIN-kódjának SO visszaállítása 0 értékre van állítva (le van tiltva), a CO- és CU-szerepkörök véglegesen ki vannak zárva, és a partíció tartalma már nem érhető el. Alapértelmezett beállítás. |
A CO-szerepkört fel kell oldani, és a hitelesítő adatokat a partíciós so-nak kell visszaállítania a használatával role resetpw -name co.A partíciót újra kell újrainicializálni, és a kulcsanyagot vissza kell állítani egy biztonsági mentési eszközről. |
HSM-konfiguráció
A következő elemek olyan helyzetek, amikor a konfigurációs hibák gyakoriak, vagy olyan hatással vannak, amelyet érdemes meghívni:
A HSM dokumentációja és szoftvere
A Thales Luna 7 HSM-eszközök szoftvere és dokumentációja nem érhető el a Microsofttól, és közvetlenül a Thalesből kell letölteni. A regisztráció a regisztrációs folyamat során kapott Thales-ügyfél-azonosítóval szükséges. A Microsoft által biztosított eszközök a 7.2-es szoftververzióval és a belső vezérlőprogram 7.0.3-as verziójával rendelkeznek. A Thales 2020 elején nyilvánossá tette a dokumentációt, és itt található.
HSM hálózatkezelési konfiguráció
Ügyeljen arra, hogy a HSM-ben konfigurálja a hálózatkezelést. A HSM az ExpressRoute-átjárón keresztül kapcsolódik egy ügyfél privát IP-címterétől közvetlenül a HSM-hez. Ez a kommunikációs csatorna csak az ügyfélkommunikációhoz használható, és a Microsoftnak nincs hozzáférése. Ha a HSM úgy van konfigurálva, hogy ez a hálózati útvonal érintett legyen, az azt jelenti, hogy a HSM-kel folytatott összes kommunikáció el lesz távolítva. Ebben az esetben az egyetlen lehetőség a Microsoft támogatási kérésének kérése az Azure Portalon keresztül az eszköz alaphelyzetbe állításához. Ez az alaphelyzetbe állítási eljárás visszaállítja a HSM-et a kezdeti állapotára, és az összes konfiguráció és kulcsanyag elveszik. A konfigurációt újra létre kell hozni, és amikor az eszköz csatlakozik a HA-csoporthoz, a rendszer replikálja a kulcsanyagot.
HSM-eszköz újraindítása
Egyes konfigurációs módosításokhoz a HSM-et fel kell ciklikusan vagy újra kell indítani. Az Azure-beli HSM Microsoft-tesztelése megállapította, hogy bizonyos esetekben az újraindítás leállhat. Ennek az a következménye, hogy egy támogatási kérelmet kell létrehozni az Azure Portalon, amely kemény újraindítást kér, és ez akár 48 órát is igénybe vehet, tekintve, hogy ez egy manuális folyamat egy Azure-adatközpontban. A helyzet elkerülése érdekében győződjön meg arról, hogy közvetlenül a Thalesből elérhető újraindítási javítást telepítette. Tekintse meg KB0019789 a Thales Luna 7 HSM 7.2-ben a javasolt javítások letöltésével kapcsolatban, ha a rendszer nem válaszol az újraindítás során (megjegyzés: regisztrálnia kell a Thales ügyfélszolgálati portálján a letöltéshez.)
NTLS-tanúsítványok szinkronizáláson kívül
Előfordulhat, hogy az ügyfél elveszíti a HSM-hez való kapcsolatot, ha egy tanúsítvány lejár, vagy a konfigurációfrissítések felülírták. A tanúsítványcsere ügyfélkonfigurációját minden HSM-hez újra kell alkalmazni. Példa érvénytelen tanúsítvánnyal rendelkező NTLS-naplózásra:
NTLS[8508]: info: 0 : Bejövő kapcsolatkérés... : 192.168.50.2/59415 NTLS[8508]: Az SSLAccept hibaüzenete: error:14094418:SSL rutinok:ssl3_read_bytes:tlsv1 riasztás ismeretlen ca NTLS[8508]: Hiba az SSL accept (RC_SSL_ERROR ) NTLS[8508]: info : 0xc0000711: Nem sikerült biztonságos csatornát létrehozni az ügyféllel: 192.168.50.2/59415 : RC_SSL_FAILED_HANDSHAKE NTLS[8508]: info : 0 : Az NTLS-ügyfél "Ismeretlen gazdagép neve" kapcsolatpéldánya el lett távolítva: 192.168.50.2/59415
Sikertelen TCP-kommunikáció
A Luna-ügyfél telepítésétől a HSM-hez való kommunikációhoz legalább 1792 TCP-port szükséges. Fontolja meg ezt, mivel a környezetben a hálózati konfigurációk módosulnak.
A sikertelen HA-csoporttag nem állítható helyre
Ha egy sikertelen HA-csoporttag nem áll helyre, manuálisan kell helyreállítani a Luna-ügyfélből a hagroup recover parancs használatával. Az automatikus helyreállítás engedélyezéséhez újrapróbálkozást kell konfigurálni egy HA-csoporthoz. A HA-csoportok alapértelmezés szerint nem próbálják helyreállítani a HA-tagokat a csoportba a helyreállításkor.
A HA-csoport nem szinkronizál
Abban az esetben, ha a tagpartíciók nem rendelkeznek azonos klónozási tartománnyal, a ha szinkronizálási parancs a következőt jeleníti meg: Figyelmeztetés: A szinkronizálás sikertelen lehet. A 0. és az 1. pont tagjai ütköző beállításokat használnak a titkos kulcs klónozásához. A HA-csoporthoz hozzá kell adni egy új partíciót a megfelelő klónozási tartománnyal, majd el kell távolítani a helytelenül konfigurált partíciót.
HSM-leépítés
Csak akkor lehet megszüntetni a HSM-et, ha teljesen elkészült egy HSM-kel, majd a Microsoft alaphelyzetbe állítja, és visszaküldi egy ingyenes készletbe.
HSM-erőforrás törlése
NE TÖRÖLJE közvetlenül a dedikált HSM erőforráscsoportját. Nem törli a HSM-erőforrást, a rendszer továbbra is kiszámláz, mivel árva állapotba helyezi a HSM-et. Ha nem követte a megfelelő eljárásokat, és ebben a helyzetben végződik, forduljon Microsoft ügyfélszolgálata.
1. lépés: A HSM nullázása. A HSM Azure-erőforrása csak akkor törölhető, ha a HSM "nulladik" állapotban van. Ezért az összes kulcsfontosságú anyagot törölni kell, mielőtt megpróbálná törölni erőforrásként. A nullázásának leggyorsabb módja, ha a HSM-rendszergazdai jelszót háromszor helytelenül kapja meg (megjegyzés: ez a HSM-rendszergazdára vonatkozik, nem pedig a berendezésszintű rendszergazdara). Használja a "hsm login" parancsot, és háromszor adjon meg hibás jelszót. A Luna-rendszerhéj rendelkezik egy hsm -factoryreset paranccsal, amely nullázja a HSM-et, de csak a soros port konzolján keresztül hajtható végre, és az ügyfelek nem férnek hozzá ehhez.
2. lépés: A HSM nullázása után az alábbi parancsok egyikével kezdeményezheti a dedikált HSM-erőforrás törlését
Azure CLI: az dedicated-hsm delete --resource-group <RG name> –-name <HSM name>
Azure PowerShell: Remove-AzDedicatedHsm -Name <HSM name> -ResourceGroupName <RG name>
3. lépés: A 2. lépés sikeres végrehajtása után törölheti az erőforráscsoportot a dedikált HSM-hez társított egyéb erőforrások törléséhez az Azure CLI vagy az Azure PowerShell használatával.
Azure CLI: az group delete --name <RG name>
Azure PowerShell: Remove-AzResourceGroup –Név <– RG-név>
Következő lépések
Ez a cikk betekintést nyújtott a HSM üzembehelyezési életciklusának olyan területeibe, amelyek problémákat okozhatnak, vagy hibaelhárítást vagy gondos megfontolást igényelnek. Remélhetőleg ez a cikk segít elkerülni a szükségtelen késéseket és frusztrációt, és ha releváns kiegészítésekkel vagy módosításokkal rendelkezik, küldjön támogatási kérelmet a Microsoftnál, és tudassa velünk.