Felügyelt HSM-vészhelyreállítás
A HSM pontos replikáját akkor is létrehozhatja, ha az eredeti példány az alábbi okok valamelyike miatt elveszett vagy nem érhető el:
- Törölték, majd törölték.
- A régió katasztrofális meghibásodása miatt az összes tagpartíció megsemmisült.
A HSM-példányt újból létrehozhatja ugyanabban vagy egy másik régióban, ha a következőkkel rendelkezik:
- A forrás HSM biztonsági tartománya .
- A biztonsági tartományt titkosító titkos kulcsok (legalább kvórumszám).
- A legújabb teljes HSM-biztonsági mentés a forrás HSM-ből.
A vészhelyreállítási eljárás lépései a következők:
- Hozzon létre egy új HSM-példányt.
- Aktiválja a "Security Domain recovery" (Biztonsági tartomány helyreállítása) elemet. A rendszer létrehoz egy új RSA-kulcspárt (Security Domain Exchange Key) a biztonsági tartomány átviteléhez, és válaszként küldi el, amelyet a rendszer SecurityDomainExchangeKey (nyilvános kulcs) néven tölt le.
- Hozza létre, majd töltse fel a "Security Domain Transfer File" fájlt. Szüksége lesz a biztonsági tartományt titkosító titkos kulcsra. A titkos kulcsok helyileg vannak használva, és soha nem kerülnek átvitelre ebben a folyamatban.
- Készítsen biztonsági másolatot az új HSM-ről. A visszaállítás előtt biztonsági mentésre van szükség, még akkor is, ha a HSM üres. A biztonsági mentések megkönnyítik a visszaállítást.
- Állítsa vissza a legutóbbi HSM-biztonsági mentést a forrás HSM-ből.
Ezekkel a lépésekkel manuálisan replikálhatja a HSM tartalmát egy másik régióba. A HSM neve (és a szolgáltatásvégpont URI) eltérő lesz, ezért módosítania kell az alkalmazás konfigurációját, hogy ezeket a kulcsokat más helyről használja.
Új felügyelt HSM létrehozása
az keyvault create
A parancs használatával hozzon létre egy felügyelt HSM-et. Ez a szkript három kötelező paraméterrel rendelkezik: egy erőforráscsoport neve, egy HSM-név és a földrajzi hely.
Felügyelt HSM-erőforrás létrehozásához a következő bemeneteket kell megadnia:
- A HSM neve.
- Az az erőforráscsoport, amelybe az előfizetésbe kerül.
- Az Azure-hely.
- A kezdeti rendszergazdák listája.
Az alábbi példa létrehoz egy ContosoMHSM2 nevű HSM-et a ContosoResourceGroup erőforráscsoportban, amely az USA 3. nyugati régiójában található, és az aktuális bejelentkezett felhasználó az egyetlen rendszergazda.
oid=$(az ad signed-in-user show --query objectId -o tsv)
az keyvault create --hsm-name "ContosoMHSM2" --resource-group "ContosoResourceGroup" --location "westus3" --administrators $oid
Feljegyzés
A létrehozási parancs eltarthat néhány percig. A sikeres visszatérés után készen áll a HSM aktiválására.
Figyelmeztetés
A felügyelt HSM-példányok mindig használatban lévőnek minősülnek. Ha úgy dönt, hogy engedélyezi a törlés elleni védelmet a --enable-purge-protection
jelölő használatával, a rendszer a megőrzési időszak teljes időtartamára kiszámlázzuk.
A parancs kimenete a létrehozott felügyelt HSM tulajdonságait jeleníti meg. A két legfontosabb tulajdonság:
- név: A példában a név ContosoMHSM. Ezt a nevet fogja használni más Key Vault-parancsokhoz.
- hsmUri: A példában az URI a ""https://contosomhsm2.managedhsm.azure.net. A HSM-et REST API-val használó alkalmazásoknak ezt az URI-t kell használniuk.
Az Azure-fiókja mostantól jogosult a felügyelt HSM-en végzett műveletek elvégzésére. Egyelőre senki más nem rendelkezik engedéllyel.
A biztonsági tartomány helyreállítási módjának aktiválása
A normál létrehozási folyamat ezen pontján inicializáljuk és letöltjük az új HSM biztonsági tartományát. Mivel azonban vészhelyreállítási eljárást hajtunk végre, megkérjük a HSM-et, hogy lépjen be a security domain recovery módba, és töltse le helyette a biztonsági tartomány exchange-kulcsát. A biztonsági tartomány Exchange-kulcsa egy NYILVÁNOS RSA-kulcs, amely a biztonsági tartomány titkosítására szolgál, mielőtt feltöltené azt a HSM-be. A megfelelő titkos kulcs védett a HSM-ben, hogy a biztonsági tartomány tartalma biztonságban legyen az átvitel során.
az keyvault security-domain init-recovery --hsm-name ContosoMHSM2 --sd-exchange-key ContosoMHSM2-SDE.cer
Biztonsági tartományfeltöltési blob létrehozása a forrás HSM-ből
Ehhez a lépéshez a következőkre lesz szüksége:
- Az előző lépésben letöltött biztonsági tartomány Exchange-kulcsa.
- A forrás HSM biztonsági tartománya.
- A biztonsági tartomány titkosításához használt titkos kulcsok legalább kvórumszáma.
A az keyvault security-domain restore-blob
parancs a következő műveleteket hajtja végre:
- A forrás HSM biztonsági tartományának visszafejtése a megadott titkos kulcsokkal.
- Biztonsági tartományfeltöltési blob létrehozása az előző lépésben letöltött biztonsági tartomány exchange-kulcsával titkosítva
Ez a lépés offline módban is elvégezhető.
A következő példában a ContosoMHSM biztonsági tartományát, a megfelelő titkos kulcsok közül 3-at és a biztonsági tartomány Exchange-kulcsát használjuk egy titkosított blob létrehozásához és letöltéséhez, amelyet a ContosoMHSM2-be fogunk feltölteni, amely arra vár, hogy megkapja a biztonsági tartományt.
az keyvault security-domain restore-blob --sd-exchange-key ContosoMHSM2-SDE.cer --sd-file ContosoMHSM-SD.json --sd-wrapping-keys cert_0.key cert_1.key cert_2.key --sd-file-restore-blob restore_blob.json
Biztonsági tartomány feltöltése blob feltöltése a cél HSM-be
Most az előző lépésben létrehozott biztonsági tartományfeltöltési blobot használjuk, és feltöltjük a cél HSM-be a biztonsági tartomány helyreállításának befejezéséhez. A --restore-blob
jelölő használatával megakadályozhatja a kulcsok online környezetben való felfedését.
az keyvault security-domain upload --hsm-name ContosoMHSM2 --sd-file restore_blob.json --restore-blob
A forrás HSM (ContosoMHSM) és a cél HSM (ContosoMHSM2) is ugyanazzal a biztonsági tartománnyal rendelkezik. Most már teljes biztonsági másolatot állíthatunk vissza a forrás HSM-ről a cél HSM-be.
Biztonsági mentés és visszaállítás
A teljes HSM-visszaállítás végrehajtása előtt mindig érdemes teljes biztonsági másolatot készíteni, hogy legyen egy visszaállítási pont, ha valami probléma merül fel a visszaállítással. Ezt két módszer egyikével teheti meg: felhasználó által hozzárendelt felügyelt identitás vagy SAS-jogkivonatok.
Biztonsági másolat létrehozása (visszaállítási pontként) az új HSM-ről
HSM biztonsági mentés létrehozásához a következőkre lesz szüksége:
- Egy tárfiók, ahol a biztonsági mentést tárolni fogják
- Egy blobtároló ebben a tárfiókban, ahol a biztonsági mentési folyamat létrehoz egy új mappát a titkosított biztonsági mentés tárolásához
- Egy felhasználó által hozzárendelt felügyelt identitás, amely rendelkezik a storage blobadatok közreműködői szerepkörével a tárfiókban vagy a tárolótároló SAS-jogkivonatában a "crdw" engedélyekkel
Az az keyvault backup parancsot használjuk a HSM biztonsági mentéséhez az mhsmbackupcontainer tárolóban, amely az mhsmdemobackup tárfiókban található az alábbi példákban.
Ha a felhasználó által hozzárendelt felügyelt identitás metódust használja, meg kell adnia a felhasználó által hozzárendelt felügyelt identitást a --mi-user-assigned
paraméterrel, és azt társítjuk a felügyelt HSM-hez, mielőtt az alábbi példában megírnánk a biztonsági mentést.
az keyvault update-hsm --hsm-name ContosoMHSM2 --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentityname"
az keyvault backup start --use-managed-identity true --hsm-name ContosoMHSM2 --storage-account-name mhsmdemobackup --blob-container-name mhsmbackupcontainer
Biztonsági mentés visszaállítása a forrás HSM-ből
Ehhez a lépéshez a következőkre van szüksége:
- A tárfiók és a blobtároló, amelyben a forrás HSM biztonsági másolatai találhatók.
- A mappa neve, ahonnan vissza szeretné állítani a biztonsági másolatot. Ha rendszeres biztonsági másolatokat hoz létre, ebben a tárolóban sok mappa lesz.
Az az keyvault restore parancsot használjuk az új HSM ContosoMHSM2-hez a visszaállítani kívánt forrás MHSM biztonsági mentésével, amely az mhsm-ContosoMHSM-2020083120161860 nevű mappában található a ContosoBackup tárfiók mhsmdemobackupcontainer tárolójában az alábbi példában.
Ha a felhasználó által hozzárendelt felügyelt identitás metódust használja, a --use-managed-identity
pramatert "true" értékre állítjuk.
az keyvault restore start --hsm-name ContosoMHSM2 --storage-account-name ContosoBackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-ContosoMHSM-2020083120161860 --use-managed-identity true
Most befejezett egy teljes vészhelyreállítási folyamatot. A forrás HSM tartalma a biztonsági mentés készítésekor a cél HSM-be lesz másolva, beleértve az összes kulcsot, verziót, attribútumot, címkét és szerepkör-hozzárendelést.
Következő lépések
- További információ a biztonsági tartományról: Tudnivalók a felügyelt HSM biztonsági tartományról
- A felügyelt HSM ajánlott eljárásainak követése