Felügyelt HSM-vészhelyreállítás

A HSM pontos replikáját akkor is létrehozhatja, ha az eredeti példány az alábbi okok valamelyike miatt elveszett vagy nem érhető el:

• Törölték, majd törölték.
• A régió katasztrofális meghibásodása miatt az összes tagpartíció megsemmisült.

A HSM-példányt újból létrehozhatja ugyanabban vagy egy másik régióban, ha a következőkkel rendelkezik:

• A forrás HSM biztonsági tartománya .
• A biztonsági tartományt titkosító titkos kulcsok (legalább kvórumszám).
• A legújabb teljes HSM-biztonsági mentés a forrás HSM-ből.

A vészhelyreállítási eljárás lépései a következők:

1. Hozzon létre egy új HSM-példányt.
2. Aktiválja a "Security Domain recovery" (Biztonsági tartomány helyreállítása) elemet. A rendszer létrehoz egy új RSA-kulcspárt (Security Domain Exchange Key) a biztonsági tartomány átviteléhez, és válaszként küldi el, amelyet a rendszer SecurityDomainExchangeKey (nyilvános kulcs) néven tölt le.
3. Hozza létre, majd töltse fel a "Security Domain Transfer File" fájlt. Szüksége lesz a biztonsági tartományt titkosító titkos kulcsra. A titkos kulcsok helyileg vannak használva, és soha nem kerülnek átvitelre ebben a folyamatban.
4. Készítsen biztonsági másolatot az új HSM-ről. A visszaállítás előtt biztonsági mentésre van szükség, még akkor is, ha a HSM üres. A biztonsági mentések megkönnyítik a visszaállítást.
5. Állítsa vissza a legutóbbi HSM-biztonsági mentést a forrás HSM-ből.

Ezekkel a lépésekkel manuálisan replikálhatja a HSM tartalmát egy másik régióba. A HSM neve (és a szolgáltatásvégpont URI) eltérő lesz, ezért módosítania kell az alkalmazás konfigurációját, hogy ezeket a kulcsokat más helyről használja.

Új felügyelt HSM létrehozása

az keyvault create A parancs használatával hozzon létre egy felügyelt HSM-et. Ez a szkript három kötelező paraméterrel rendelkezik: egy erőforráscsoport neve, egy HSM-név és a földrajzi hely.

Felügyelt HSM-erőforrás létrehozásához a következő bemeneteket kell megadnia:

• A HSM neve.
• Az az erőforráscsoport, amelybe az előfizetésbe kerül.
• Az Azure-hely.
• A kezdeti rendszergazdák listája.

Az alábbi példa létrehoz egy ContosoMHSM2 nevű HSM-et a ContosoResourceGroup erőforráscsoportban, amely az USA 3. nyugati régiójában található, és az aktuális bejelentkezett felhasználó az egyetlen rendszergazda.

oid=$(az ad signed-in-user show --query objectId -o tsv)
az keyvault create --hsm-name "ContosoMHSM2" --resource-group "ContosoResourceGroup" --location "westus3" --administrators $oid

Feljegyzés

A létrehozási parancs eltarthat néhány percig. A sikeres visszatérés után készen áll a HSM aktiválására.

Figyelmeztetés

A felügyelt HSM-példányok mindig használatban lévőnek minősülnek. Ha úgy dönt, hogy engedélyezi a törlés elleni védelmet a --enable-purge-protection jelölő használatával, a rendszer a megőrzési időszak teljes időtartamára kiszámlázzuk.

A parancs kimenete a létrehozott felügyelt HSM tulajdonságait jeleníti meg. A két legfontosabb tulajdonság:

• név: A példában a név ContosoMHSM. Ezt a nevet fogja használni más Key Vault-parancsokhoz.
• hsmUri: A példában az URI a ""https://contosomhsm2.managedhsm.azure.net. A HSM-et REST API-val használó alkalmazásoknak ezt az URI-t kell használniuk.

Az Azure-fiókja mostantól jogosult a felügyelt HSM-en végzett műveletek elvégzésére. Egyelőre senki más nem rendelkezik engedéllyel.

A biztonsági tartomány helyreállítási módjának aktiválása

A normál létrehozási folyamat ezen pontján inicializáljuk és letöltjük az új HSM biztonsági tartományát. Mivel azonban vészhelyreállítási eljárást hajtunk végre, megkérjük a HSM-et, hogy lépjen be a security domain recovery módba, és töltse le helyette a biztonsági tartomány exchange-kulcsát. A biztonsági tartomány Exchange-kulcsa egy NYILVÁNOS RSA-kulcs, amely a biztonsági tartomány titkosítására szolgál, mielőtt feltöltené azt a HSM-be. A megfelelő titkos kulcs védett a HSM-ben, hogy a biztonsági tartomány tartalma biztonságban legyen az átvitel során.

az keyvault security-domain init-recovery --hsm-name ContosoMHSM2 --sd-exchange-key ContosoMHSM2-SDE.cer

Biztonsági tartományfeltöltési blob létrehozása a forrás HSM-ből

Ehhez a lépéshez a következőkre lesz szüksége:

• Az előző lépésben letöltött biztonsági tartomány Exchange-kulcsa.
• A forrás HSM biztonsági tartománya.
• A biztonsági tartomány titkosításához használt titkos kulcsok legalább kvórumszáma.

A az keyvault security-domain restore-blob parancs a következő műveleteket hajtja végre:

• A forrás HSM biztonsági tartományának visszafejtése a megadott titkos kulcsokkal.
• Biztonsági tartományfeltöltési blob létrehozása az előző lépésben letöltött biztonsági tartomány exchange-kulcsával titkosítva

Ez a lépés offline módban is elvégezhető.

A következő példában a ContosoMHSM biztonsági tartományát, a megfelelő titkos kulcsok közül 3-at és a biztonsági tartomány Exchange-kulcsát használjuk egy titkosított blob létrehozásához és letöltéséhez, amelyet a ContosoMHSM2-be fogunk feltölteni, amely arra vár, hogy megkapja a biztonsági tartományt.

az keyvault security-domain restore-blob --sd-exchange-key ContosoMHSM2-SDE.cer --sd-file ContosoMHSM-SD.json --sd-wrapping-keys cert_0.key cert_1.key cert_2.key --sd-file-restore-blob restore_blob.json 

Biztonsági tartomány feltöltése blob feltöltése a cél HSM-be

Most az előző lépésben létrehozott biztonsági tartományfeltöltési blobot használjuk, és feltöltjük a cél HSM-be a biztonsági tartomány helyreállításának befejezéséhez. A --restore-blob jelölő használatával megakadályozhatja a kulcsok online környezetben való felfedését.

az keyvault security-domain upload --hsm-name ContosoMHSM2 --sd-file restore_blob.json --restore-blob

A forrás HSM (ContosoMHSM) és a cél HSM (ContosoMHSM2) is ugyanazzal a biztonsági tartománnyal rendelkezik. Most már teljes biztonsági másolatot állíthatunk vissza a forrás HSM-ről a cél HSM-be.

Biztonsági mentés és visszaállítás

A teljes HSM-visszaállítás végrehajtása előtt mindig érdemes teljes biztonsági másolatot készíteni, hogy legyen egy visszaállítási pont, ha valami probléma merül fel a visszaállítással. Ezt két módszer egyikével teheti meg: felhasználó által hozzárendelt felügyelt identitás vagy SAS-jogkivonatok.

Biztonsági másolat létrehozása (visszaállítási pontként) az új HSM-ről

HSM biztonsági mentés létrehozásához a következőkre lesz szüksége:

• Egy tárfiók, ahol a biztonsági mentést tárolni fogják
• Egy blobtároló ebben a tárfiókban, ahol a biztonsági mentési folyamat létrehoz egy új mappát a titkosított biztonsági mentés tárolásához
• Egy felhasználó által hozzárendelt felügyelt identitás, amely rendelkezik a storage blobadatok közreműködői szerepkörével a tárfiókban vagy a tárolótároló SAS-jogkivonatában a "crdw" engedélyekkel

Az az keyvault backup parancsot használjuk a HSM biztonsági mentéséhez az mhsmbackupcontainer tárolóban, amely az mhsmdemobackup tárfiókban található az alábbi példákban.

Felhasználó által hozzárendelt felügyelt identitás

Ha a felhasználó által hozzárendelt felügyelt identitás metódust használja, meg kell adnia a felhasználó által hozzárendelt felügyelt identitást a --mi-user-assigned paraméterrel, és azt társítjuk a felügyelt HSM-hez, mielőtt az alábbi példában megírnánk a biztonsági mentést.

az keyvault update-hsm --hsm-name ContosoMHSM2 --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentityname"
az keyvault backup start --use-managed-identity true --hsm-name ContosoMHSM2 --storage-account-name mhsmdemobackup --blob-container-name mhsmbackupcontainer

SAS-jogkivonat

Az SAS-token metódus használata esetén létrehozunk egy SAS-jogkivonatot, amely 30 perc múlva lejár, és ezt biztosítjuk a felügyelt HSM-nek a biztonsági mentés írásához az alábbi példában.

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup)
az storage container create --account-name  mhsmdemobackup --name mhsmbackupcontainer  --account-key $skey
sas=$(az storage container generate-sas -n mhsmbackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv)
az keyvault backup start --hsm-name ContosoMHSM2 --storage-account-name mhsmdemobackup --blob-container-name mhsmbackupcontainer --storage-container-SAS-token $sas

Biztonsági mentés visszaállítása a forrás HSM-ből

Ehhez a lépéshez a következőkre van szüksége:

• A tárfiók és a blobtároló, amelyben a forrás HSM biztonsági másolatai találhatók.
• A mappa neve, ahonnan vissza szeretné állítani a biztonsági másolatot. Ha rendszeres biztonsági másolatokat hoz létre, ebben a tárolóban sok mappa lesz.

Az az keyvault restore parancsot használjuk az új HSM ContosoMHSM2-hez a visszaállítani kívánt forrás MHSM biztonsági mentésével, amely az mhsm-ContosoMHSM-2020083120161860 nevű mappában található a ContosoBackup tárfiók mhsmdemobackupcontainer tárolójában az alábbi példában.

Felhasználó által hozzárendelt felügyelt identitás

Ha a felhasználó által hozzárendelt felügyelt identitás metódust használja, a --use-managed-identity pramatert "true" értékre állítjuk.

az keyvault restore start --hsm-name ContosoMHSM2 --storage-account-name ContosoBackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-ContosoMHSM-2020083120161860 --use-managed-identity true

SAS-jogkivonat

Ha az SAS-jogkivonat metódust használja, létrehozunk egy 30 perc alatt lejáró SAS-jogkivonatot, és ezt biztosítjuk a felügyelt HSM-nek a visszaállítás megírásához.

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name ContosoBackup)
sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name ContosoBackup --permissions rl --expiry $end --account-key $skey -o tsv)
az keyvault restore start --hsm-name ContosoMHSM2 --storage-account-name ContosoBackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-ContosoMHSM-2020083120161860

Most befejezett egy teljes vészhelyreállítási folyamatot. A forrás HSM tartalma a biztonsági mentés készítésekor a cél HSM-be lesz másolva, beleértve az összes kulcsot, verziót, attribútumot, címkét és szerepkör-hozzárendelést.

Következő lépések

• További információ a biztonsági tartományról: Tudnivalók a felügyelt HSM biztonsági tartományról
• A felügyelt HSM ajánlott eljárásainak követése