Oktatóanyag – HSM-ek üzembe helyezése meglévő virtuális hálózaton a PowerShell használatával
Az Azure Dedikált HSM szolgáltatás fizikai eszközt biztosít az egyedüli ügyfél számára, teljes körű rendszergazdai ellenőrzéssel és teljes felügyeleti felelősséggel. A fizikai hardver biztosítása miatt a Microsoftnak szabályoznia kell az eszközök lefoglalásának módját a kapacitás hatékony kezelése érdekében. Ennek eredményeképpen egy Azure-előfizetésen belül a dedikált HSM szolgáltatás általában nem lesz látható az erőforrás-kiépítéshez. A dedikált HSM szolgáltatáshoz hozzáférést igénylő Azure-ügyfeleknek először kapcsolatba kell lépniük a Microsoft-fiók vezetőjével, hogy regisztráljanak a dedikált HSM szolgáltatásra. A kiépítés csak akkor lehetséges, ha a folyamat sikeresen befejeződött. Ez az oktatóanyag egy tipikus kiépítési folyamatot mutat be, ahol:
- Az ügyfél már rendelkezik virtuális hálózatokkal
- Virtuális gépük van
- HSM-erőforrásokat kell hozzáadniuk a meglévő környezethez.
Egy tipikus, magas rendelkezésre állású, többrégiós üzembehelyezési architektúra a következőképpen nézhet ki:
Ez az oktatóanyag egy HSM-párra és a szükséges ExpressRoute-átjáróra összpontosít (lásd a fenti 1. alhálózatot) egy meglévő virtuális hálózatba integrálva (lásd a fenti 1. VNET-et). Minden más erőforrás standard Azure-erőforrás. Ugyanez az integrációs folyamat használható a 4. alhálózat HSM-jeihez a fenti 3.VNET-en.
Megjegyzés
Javasoljuk, hogy az Azure Az PowerShell-modult használja az Azure-ral való kommunikációhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Előfeltételek
Az Azure Dedicated HSM jelenleg nem érhető el a Azure Portal, ezért a szolgáltatással való minden interakció parancssoron keresztül vagy a PowerShell használatával történik. Ez az oktatóanyag a PowerShellt fogja használni az Azure Cloud Shell. Ha még nem ismerkedik a PowerShell-lel, kövesse az első lépésekre vonatkozó utasításokat itt: Azure PowerShell Első lépések.
Előfeltételek:
- Rendelkezik egy hozzárendelt Microsoft-fiókkezelővel, és megfelel az azure-beli teljes éves bevételben szereplő ötmillió (5 millió USD) usd vagy annál nagyobb pénzügyi követelménynek, hogy jogosult legyen az Azure Dedicated HSM előkészítésére és használatára.
- Az Azure Dedicated HSM regisztrációs folyamatán már átesett, és jóváhagyták a szolgáltatás használatára. Ha nem, a részletekért forduljon a Microsoft-fiók képviselőjéhez.
- Létrehozott egy erőforráscsoportot ezekhez az erőforrásokhoz, és az oktatóanyagban üzembe helyezett újak csatlakoznak ehhez a csoporthoz.
- A fenti ábrán látható módon már létrehozta a szükséges virtuális hálózatot, alhálózatot és virtuális gépeket, és most 2 HSM-et szeretne integrálni ebbe az üzembe helyezésbe.
Az alábbi utasítások feltételezik, hogy már navigált a Azure Portal, és megnyitotta a Cloud Shell (válassza a ">_" lehetőséget a portál jobb felső sarkában).
Dedikált HSM kiépítése
A HSM-ek kiépítése és a meglévő virtuális hálózatba az ExpressRoute-átjárón keresztül történő integrálása az ssh parancssori eszköz használatával lesz érvényesítve, így biztosítva a HSM-eszköz elérhetőségét és alapvető rendelkezésre állását a további konfigurációs tevékenységekhez. Az alábbi parancsok egy Resource Manager sablont használnak a HSM-erőforrások és a kapcsolódó hálózati erőforrások létrehozásához.
Funkcióregisztráció érvényesítése
Ahogy fentebb említettük, minden kiépítési tevékenységhez a dedikált HSM-szolgáltatás regisztrálva kell lennie az előfizetéshez. Ennek ellenőrzéséhez futtassa a következő PowerShell-parancsot a Azure Portal Cloud Shell.
Get-AzProviderFeature -ProviderNamespace Microsoft.HardwareSecurityModules -FeatureName AzureDedicatedHsm
A parancsnak "Regisztrált" állapotot kell visszaadnia (az alább látható módon), mielőtt továbblép. Ha nincs regisztrálva erre a szolgáltatásra, forduljon a Microsoft-fiók képviselőjéhez.
HSM-erőforrások létrehozása
A HSM-eszköz egy ügyfél virtuális hálózatába van kiépítve. Ez egy alhálózatra vonatkozó követelményt jelent. A HSM függősége a virtuális hálózat és a fizikai eszköz közötti kommunikáció engedélyezéséhez egy ExpressRoute-átjáró, és végül egy virtuális gép szükséges a HSM-eszköz eléréséhez a Thales ügyfélszoftver használatával. Ezeket az erőforrásokat a rendszer egy sablonfájlba gyűjti a megfelelő paraméterfájllal a könnyű használat érdekében. A fájlok a Microsofttól közvetlenül a címen HSMrequest@Microsoft.comérhetők el.
Miután megkapta a fájlokat, szerkesztenie kell a paraméterfájlt az erőforrások előnyben részesített nevének beszúrásához. Ez azt jelenti, hogy "value": "" karakterrel szerkeszti a sorokat.
namingInfix
A HSM-erőforrások nevének előtagjaExistingVirtualNetworkName
A HSM-ekhez használt virtuális hálózat neveDedicatedHsmResourceName1
HSM-erőforrás neve az adatközpont 1. bélyegébenDedicatedHsmResourceName2
HSM-erőforrás neve az adatközpont 2. bélyegébenhsmSubnetRange
Alhálózat IP-címtartománya HSM-ekhezERSubnetRange
Alhálózati IP-címtartomány a VNET-átjáróhoz
Ezekre a változásokra a következőképpen lehet példa:
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json",
"contentVersion": "1.0.0.0",
"parameters": {
"namingInfix": {
"value": "MyHSM"
},
"ExistingVirtualNetworkName": {
"value": "MyHSM-vnet"
},
"DedicatedHsmResourceName1": {
"value": "HSM1"
},
"DedicatedHsmResourceName2": {
"value": "HSM2"
},
"hsmSubnetRange": {
"value": "10.0.2.0/24"
},
"ERSubnetRange": {
"value": "10.0.255.0/26"
},
}
}
A társított Resource Manager sablonfájl hat erőforrást hoz létre az alábbi információkkal:
- A megadott virtuális hálózat HSM-jeinek alhálózata
- A virtuális hálózati átjáró alhálózata
- Virtuális hálózati átjáró, amely összeköti a virtuális hálózatot a HSM-eszközökkel
- Az átjáró nyilvános IP-címe
- HSM az 1. bélyegben
- HSM a 2. bélyegben
A paraméterértékek beállítása után a fájlokat fel kell tölteni Azure Portal Cloud Shell fájlmegosztásba használat céljából. A Azure Portal kattintson a jobb felső Cloud Shell Cloud Shell> szimbólumra, így a képernyő alsó része parancskörnyezet lesz. Ennek lehetőségei a BASH és a PowerShell, és ha még nincs beállítva, válassza a BASH lehetőséget.
A parancshéjban van egy feltöltési/letöltési lehetőség az eszköztáron, és ezt választva töltse fel a sablont és a paraméterfájlokat a fájlmegosztásba:
A fájlok feltöltése után készen áll az erőforrások létrehozására. Az új HSM-erőforrások létrehozása előtt bizonyos előfeltételekről gondoskodnia kell. Rendelkeznie kell egy virtuális hálózattal, amely alhálózati tartományokkal rendelkezik a számításhoz, a HSM-ekhez és az átjáróhoz. Az alábbi parancsok példaként szolgálnak arra, hogy mi hozhat létre ilyen virtuális hálózatot.
$compute = New-AzVirtualNetworkSubnetConfig `
-Name compute `
-AddressPrefix 10.2.0.0/24
$delegation = New-AzDelegation `
-Name "myDelegation" `
-ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"
$hsmsubnet = New-AzVirtualNetworkSubnetConfig `
-Name hsmsubnet `
-AddressPrefix 10.2.1.0/24 `
-Delegation $delegation
$gwsubnet= New-AzVirtualNetworkSubnetConfig `
-Name GatewaySubnet `
-AddressPrefix 10.2.255.0/26
New-AzVirtualNetwork `
-Name myHSM-vnet `
-ResourceGroupName myRG `
-Location westus `
-AddressPrefix 10.2.0.0/16 `
-Subnet $compute, $hsmsubnet, $gwsubnet
Megjegyzés
A virtuális hálózat legfontosabb konfigurációja, hogy a HSM-eszköz alhálózatának delegálásainak "Microsoft.HardwareSecurityModules/dedicatedHSMs" értékűnek kell lennie. A HSM kiépítése enélkül nem fog működni.
Miután minden előfeltétel teljesült, futtassa az alábbi parancsot a Resource Manager sablon használatához, és győződjön meg arról, hogy frissítette az értékeket az egyedi neveivel (legalább az erőforráscsoport nevével):
New-AzResourceGroupDeployment -ResourceGroupName myRG `
-TemplateFile .\Deploy-2HSM-toVNET-Template.json `
-TemplateParameterFile .\Deploy-2HSM-toVNET-Params.json `
-Name HSMdeploy -Verbose
A parancs végrehajtása körülbelül 20 percet vesz igénybe. A használt "részletes" beállítás biztosítja az állapot folyamatos megjelenítését.
Ha sikeresen befejeződött, a "provisioningState": "Succeeded" üzenet jelenik meg, bejelentkezhet a meglévő virtuális gépre, és az SSH használatával biztosíthatja a HSM-eszköz rendelkezésre állását.
Az üzembe helyezés ellenőrzése
Az eszközök kiépítésének ellenőrzéséhez és az eszközattribútumok megtekintéséhez futtassa az alábbi parancskészletet. Győződjön meg arról, hogy az erőforráscsoport megfelelően van beállítva, és az erőforrás neve pontosan olyan, mint a paraméterfájlban.
$subid = (Get-AzContext).Subscription.Id
$resourceGroupName = "myRG"
$resourceName = "HSM1"
Get-AzResource -Resourceid /subscriptions/$subId/resourceGroups/$resourceGroupName/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/$resourceName
Most már az Azure Resource Explorerrel is láthatja az erőforrásokat. A kezelőben a bal oldalon bontsa ki az "előfizetések" elemet, bontsa ki a dedikált HSM-előfizetést, bontsa ki az "erőforráscsoportok" elemet, bontsa ki a használt erőforráscsoportot, és végül válassza ki az "erőforrások" elemet.
Az üzembe helyezés tesztelése
Az üzembe helyezés tesztelése olyan virtuális géphez való csatlakozás esete, amely hozzáfér a HSM(ek)hez, majd közvetlenül a HSM-eszközhöz csatlakozik. Ezek a műveletek megerősítik, hogy a HSM elérhető. Az ssh-eszköz a virtuális géphez való csatlakozáshoz használható. A parancs a következőhöz hasonló lesz, de a paraméterben megadott rendszergazdai névvel és DNS-névvel.
ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com
A használni kívánt jelszó a paraméterfájlból származó jelszó. Miután bejelentkezett a Linux rendszerű virtuális gépre, bejelentkezhet a HSM-be a portálon található privát IP-címmel a hsm_vnic erőforrás-előtaghoz<>.
(Get-AzResource -ResourceGroupName myRG -Name HSMdeploy -ExpandProperties).Properties.networkProfile.networkInterfaces.privateIpAddress
Ha rendelkezik az IP-címmel, futtassa a következő parancsot:
ssh tenantadmin@<ip address of HSM>
Ha sikeres, a rendszer jelszó megadását fogja kérni. Az alapértelmezett jelszó a JELSZÓ. A HSM megkéri, hogy módosítsa a jelszavát, ezért állítson be egy erős jelszót, és használja azt a mechanizmust, amelyet a szervezet inkább a jelszó tárolására és a veszteség megelőzésére használ.
Fontos
Ha elveszíti ezt a jelszót, a HSM-et alaphelyzetbe kell állítani, ami azt jelenti, hogy elveszíti a kulcsait.
Ha ssh-val csatlakozik a HSM-eszközhöz, futtassa az alábbi parancsot, hogy a HSM működőképes legyen.
hsm show
A kimenetnek az alábbi ábrához hasonlóan kell kinéznie:
Ezen a ponton lefoglalta az összes erőforrást egy magas rendelkezésre állású, két HSM üzemelő példányhoz, valamint az ellenőrzött hozzáféréshez és működési állapothoz. Minden további konfiguráció vagy tesztelés magában foglalja a HSM-eszközzel való további munkát. Ehhez kövesse a Thales Luna 7 HSM felügyeleti útmutatójának 7. fejezetében található utasításokat a HSM inicializálásához és partíciók létrehozásához. Minden dokumentáció és szoftver letölthető közvetlenül a Thalesből, miután regisztrált a Thales ügyfélszolgálati portálján , és rendelkezik ügyfél-azonosítóval. Töltse le az ügyfélszoftver 7.2-es verzióját az összes szükséges összetevő beszerzéséhez.
Erőforrások törlése vagy törlése
Ha csak a HSM-eszközzel végzett, akkor az erőforrásként törölhető, és visszakerülhet az ingyenes készletbe. Ennek során nyilvánvaló, hogy az eszközön található bizalmas ügyféladatokról van szó. Az eszközök "nullázásának" legjobb módja, ha háromszor hibásan kapja meg a HSM-rendszergazdai jelszót (megjegyzés: ez nem berendezés-rendszergazda, hanem a tényleges HSM-rendszergazda). A kulcsfontosságú anyagok védelme érdekében biztonsági intézkedésként az eszköz nem törölhető Azure-erőforrásként, amíg nem nulladik állapotban van.
Megjegyzés
Ha bármilyen Thales-eszközkonfigurációval kapcsolatban problémát tapasztal, forduljon a Thales ügyfélszolgálatához.
Ha el szeretné távolítani a HSM-erőforrást az Azure-ban, az alábbi paranccsal lecserélheti a "$" változókat az egyedi paraméterekre:
$subid = (Get-AzContext).Subscription.Id
$resourceGroupName = "myRG"
$resourceName = "HSMdeploy"
Remove-AzResource -Resourceid /subscriptions/$subId/resourceGroups/$resourceGroupName/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/$resourceName
Következő lépések
Az oktatóanyag lépéseinek elvégzése után a dedikált HSM-erőforrások ki lesznek építve és elérhetők a virtuális hálózaton. Most már több erőforrással egészítheti ki ezt az üzembe helyezést az előnyben részesített üzembe helyezési architektúra által igényelt erőforrásokkal. Az üzembe helyezés megtervezésével kapcsolatos további információkért tekintse meg az Alapfogalmakat ismertető dokumentumokat. Ajánlott olyan kialakítást használni, amely egy elsődleges régióban két HSM-et tartalmaz, amely az állvány szintjén kezeli a rendelkezésre állást, és két HSM-et egy másodlagos régióban, amely a regionális rendelkezésre állást kezeli. Az oktatóanyagban használt sablonfájl könnyen használható két HSM üzembe helyezésének alapjaként, de a paramétereit módosítania kell a követelményeknek megfelelően.