Rövid útmutató: Felügyelt HSM kiépítése és aktiválása az Azure CLI használatával

  • Cikk
  • 4 perc alatt elolvasható

Ebben a rövid útmutatóban egy Azure Key Vault felügyelt HSM-et (hardveres biztonsági modult) fog létrehozni és aktiválni az Azure CLI-vel. A felügyelt HSM egy teljes körűen felügyelt, magas rendelkezésre állású, egybérlős, szabványnak megfelelő felhőszolgáltatás, amely lehetővé teszi a titkosítási kulcsok védelmét a felhőalkalmazások számára a FIPS 140-2 3. szintű ellenőrzött HSM-ekkel. A felügyelt HSM-ről további információt az Áttekintésben talál.

Előfeltételek

A cikkben ismertetett lépések elvégzéséhez a következőkkel kell rendelkeznie:

  • Egy Microsoft Azure-előfizetésre. Ha még nem rendelkezik előfizetéssel, regisztrálhat egy ingyenes próbaverzióra.
  • Az Azure CLI 2.25.0-s vagy újabb verziója. A verzió azonosításához futtassa a következőt: az --version. Ha telepíteni vagy frissíteni szeretne, olvassa el az Azure CLI telepítését ismertető cikket.

Azure Cloud Shell

Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. Az Cloud Shell előre telepített parancsokkal futtathatja a jelen cikkben szereplő kódot anélkül, hogy bármit telepítenie kellene a helyi környezetben.

Az Azure Cloud Shell indítása:

Beállítás Példa/hivatkozás
Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőség választása nem másolja automatikusan a kódot vagy a parancsot a Cloud Shell. Képernyőkép a Try It for Azure Cloud Shell példájáról.
Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben. Képernyőkép a Cloud Shell új ablakban való indításáról.
Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra. Képernyőkép a Azure Portal Cloud Shell gombjáról

Az Azure Cloud Shell használata:

  1. Indítsa el a Cloud Shellt.

  2. A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).

  3. Illessze be a kódot vagy a parancsot a Cloud Shell munkamenetbe a CtrlShift+Vbillentyűkombinációval+ Windows és Linux rendszeren, vagy a Cmd+Shift+V macOS rendszeren való kiválasztásával.

  4. A kód vagy parancs futtatásához válassza az Enter billentyűt .

Bejelentkezés az Azure-ba

Az Azure-ba a parancssori felülettel való bejelentkezéshez írja be a következőt:

az login

Erőforráscsoport létrehozása

Az erőforráscsoport olyan logikai tároló, amelybe a rendszer üzembe helyezi és kezeli az Azure-erőforrásokat. Az alábbi példa egy ContosoResourceGroup nevű erőforráscsoportot hoz létre a westus3 helyen.

az group create --name "ContosoResourceGroup" --location westus3

Felügyelt HSM létrehozása

A felügyelt HSM létrehozása kétlépéses folyamat:

  1. Felügyelt HSM-erőforrás kiépítése.
  2. Aktiválja a felügyelt HSM-et egy biztonsági tartomány nevű összetevő letöltésével.

Felügyelt HSM kiépítése

az keyvault create A parancs használatával hozzon létre egy felügyelt HSM-et. Ez a szkript három kötelező paraméterrel rendelkezik: egy erőforráscsoport nevével, egy HSM-névvel és a földrajzi helyével.

Felügyelt HSM-erőforrás létrehozásához a következő bemeneteket kell megadnia:

  • Egy erőforráscsoport, amelybe az előfizetésbe kerül.
  • Azure-hely.
  • A kezdeti rendszergazdák listája.

Az alábbi példa egy ContosoMHSM nevű HSM-et hoz létre a ContosoResourceGroup erőforráscsoportban, amely az USA 3. nyugati régiójában található, és az aktuális bejelentkezett felhasználó az egyetlen rendszergazda, és 7 napos megőrzési időtartamot biztosít a helyreállítható törléshez. További információ a felügyelt HSM helyreállítható törléséről

oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "westus3" --administrators $oid --retention-days 7

Megjegyzés

A létrehozási parancs eltarthat néhány percig. A sikeres visszatérést követően készen áll a HSM aktiválására.

Figyelmeztetés

A felügyelt HSM-példányok mindig használatban lévőnek minősülnek. Ha a jelölővel engedélyezi a --enable-purge-protection végleges törlés elleni védelmet, a megőrzési időtartam teljes időtartamára kiszámlázzuk.

A parancs kimenete a létrehozott felügyelt HSM tulajdonságait jeleníti meg. A két legfontosabb tulajdonság:

  • name: A példában a név ContosoMHSM. Ezt a nevet fogja használni más parancsokhoz.
  • hsmUri: A példában az URI a "https://contosohsm.managedhsm.azure.net." A HSM-et REST API-val használó alkalmazásoknak ezt az URI-t kell használniuk.

Az Azure-fiókja most már jogosult bármilyen művelet végrehajtására ezen a felügyelt HSM-en. Egyelőre senki más nem rendelkezik engedéllyel.

A felügyelt HSM aktiválása

A HSM aktiválásáig minden adatsíkparancs le van tiltva. Nem hozhat létre például kulcsokat, és nem rendelhet hozzá szerepköröket. Csak a létrehozási parancs során hozzárendelt rendszergazdák aktiválhatják a HSM-et. A HSM aktiválásához le kell töltenie a biztonsági tartományt.

A HSM aktiválásához a következőkre lesz szüksége:

  • Legalább három RSA-kulcspár biztosítása (legfeljebb 10)
  • A biztonsági tartomány ( úgynevezett kvórum) visszafejtéséhez szükséges kulcsok minimális számának megadása

A HSM aktiválásához legalább három (legfeljebb 10) RSA nyilvános kulcsot kell küldenie a HSM-nek. A HSM ezekkel a kulcsokkal titkosítja a biztonsági tartományt, és visszaküldi. A biztonsági tartomány letöltésének sikeres befejezése után a HSM készen áll a használatra. Meg kell adnia a kvórumot is, amely a biztonsági tartomány visszafejtéséhez minimálisan szükséges titkos kulcsok száma.

Az alábbi példa bemutatja, hogyan hozhat openssl létre három önaláírt tanúsítványt.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Fontos

Hozza létre és tárolja biztonságosan az ebben a lépésben létrehozott RSA-kulcspárokat és biztonsági tartományfájlt.

az keyvault security-domain download A paranccsal töltse le a biztonsági tartományt, és aktiválja a felügyelt HSM-et. Az alábbi példa három RSA-kulcspárt használ (ehhez a parancshoz csak nyilvános kulcsokra van szükség), és a kvórumot kettőre állítja.

az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json

Tárolja biztonságosan a biztonsági tartományfájlt és az RSA-kulcspárokat. Szüksége lesz rájuk vészhelyreállításhoz vagy egy másik felügyelt HSM létrehozásához, amely ugyanazt a biztonsági tartományt használja, hogy a kettő meg tudja osztani a kulcsokat.

A biztonsági tartomány sikeres letöltése után a HSM aktív állapotban lesz, és készen áll a használatra.

Az erőforrások eltávolítása

A gyűjtemény részét képező többi rövid útmutató és oktatóanyag erre a rövid útmutatóra épül. Ha azt tervezi, hogy az ezt követő rövid útmutatókkal és oktatóanyagokkal dolgozik tovább, ne törölje ezeket az erőforrásokat.

Ha már nincs rá szükség, az az group delete paranccsal eltávolíthatja az erőforráscsoportot és az összes kapcsolódó erőforrást. Az erőforrásokat a következőképpen törölheti:

az group delete --name ContosoResourceGroup

Figyelmeztetés

Az erőforráscsoport törlésével a felügyelt HSM helyreállíthatóan törölt állapotba kerül. A felügyelt HSM számlázása a végleges törlésig folytatódik. Lásd : Felügyelt HSM helyreállítható törlés és végleges törlés elleni védelem

Következő lépések

Ebben a rövid útmutatóban üzembe helyezett egy felügyelt HSM-et, és aktiválta azt. Ha többet szeretne megtudni a felügyelt HSM-ről és az alkalmazásokba való integrálásáról, folytassa ezekkel a cikkekkel.