Rövid útmutató: Felügyelt HSM kiépítése és aktiválása a PowerShell használatával

  • Cikk

Ebben a rövid útmutatóban egy Azure Key Vault által felügyelt HSM-et (hardveres biztonsági modult) fog létrehozni és aktiválni a PowerShell-lel. A felügyelt HSM egy teljes körűen felügyelt, magas rendelkezésre állású, egybérlős, szabványoknak megfelelő felhőszolgáltatás, amely lehetővé teszi a felhőalkalmazások titkosítási kulcsainak védelmét a FIPS 140-2 3 . szintű hitelesített HSM-ekkel. A felügyelt HSM-ről további információt az áttekintésben talál.

Ha a PowerShell helyi telepítése és használata mellett dönt, ehhez az oktatóanyaghoz az Azure PowerShell-modul 1.0.0-s vagy újabb verziójára van szükség. Írja be $PSVersionTable.PSVersion a verziót. Ha frissíteni szeretne, olvassa el az Azure PowerShell-modul telepítését ismertető cikket. Ha helyileg futtatja a PowerShellt, akkor emellett a Connect-AzAccount futtatásával kapcsolatot kell teremtenie az Azure-ral.

Connect-AzAccount

Erőforráscsoport létrehozása

Az erőforráscsoport olyan logikai tároló, amelybe a rendszer üzembe helyezi és kezeli az Azure-erőforrásokat. Az Azure PowerShell New-AzResourceGroup parancsmaggal hozzon létre egy myResourceGroup nevű erőforráscsoportot az eastus2 helyen.

New-AzResourceGroup -Name "myResourceGroup" -Location "eastus2"

Az egyszerű azonosító lekérése

Felügyelt HSM létrehozásához szüksége lesz a Microsoft Entra egyszerű azonosítóra. Az azonosító beszerzéséhez használja az Azure PowerShell Get-AzADUser parancsmagot, és adja meg az e-mail-címét a "UserPrincipalName" paraméternek:

Get-AzADUser -UserPrincipalName "<your@email.address>"

Az egyszerű azonosító a következő formátumban lesz visszaadva: "xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx".

Felügyelt HSM létrehozása

Felügyelt HSM létrehozása kétlépéses folyamat:

  1. Felügyelt HSM-erőforrás kiépítése.
  2. Aktiválja a felügyelt HSM-et egy biztonsági tartomány nevű összetevő letöltésével.

Felügyelt HSM kiépítése

Új felügyelt HSM létrehozásához használja az Azure PowerShell New-AzKeyVaultManagedHsm parancsmagot. A következő információkat kell megadnia:

  • Felügyelt HSM-név: 3–24 karakterből álló sztring, amely csak számokat (0-9), betűket (a-z, A-Z) és kötőjeleket (-) tartalmazhat

    Fontos

    Minden felügyelt HSM-nek egyedi névvel kell rendelkeznie. Cserélje le <az egyedi-managed-hsm-nevét> a felügyelt HSM nevére az alábbi példákban.

  • Erőforráscsoport neve: myResourceGroup.

  • A hely: USA 2. keleti régiója.

  • Az egyszerű azonosító: Adja meg az utolsó szakaszban beszerzett Microsoft Entra-egyszerű azonosítót a "Rendszergazda istrator" paraméternek.

New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "eastus2" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"

Megjegyzés:

A létrehozási parancs eltarthat néhány percig. Miután sikeresen visszatért, készen áll a HSM aktiválására.

A parancsmag kimenete az újonnan létrehozott felügyelt HSM tulajdonságait jeleníti meg. Jegyezze fel ezt a két tulajdonságot:

  • Név: A felügyelt HSM-hez megadott név.
  • HsmUri: A példában ez https://< your-unique-managed-hsm-name.managedhsm.azure.net/>. A tárolót a REST API-ján keresztül használó alkalmazásoknak ezt az URI-t kell használniuk.

Ezen a ponton az Azure-fiók az egyetlen jogosult az új HSM-en végzett műveletek végrehajtására.

A felügyelt HSM aktiválása

A HSM aktiválásáig minden adatsík-parancs le van tiltva. Nem fog tudni kulcsokat létrehozni vagy szerepköröket hozzárendelni. Csak a létrehozási parancs során hozzárendelt kijelölt rendszergazdák aktiválhatják a HSM-et. A HSM aktiválásához le kell töltenie a biztonsági tartományt.

A HSM aktiválásához a következőkre lesz szüksége:

  • Legalább három RSA kulcspár biztosítása (legfeljebb 10)
  • A biztonsági tartomány (kvórum) visszafejtéséhez szükséges kulcsok minimális számának megadása

A HSM aktiválásához legalább három (legfeljebb 10) RSA nyilvános kulcsot kell elküldenie a HSM-nek. A HSM ezekkel a kulcsokkal titkosítja a biztonsági tartományt, és visszaküldi. A biztonsági tartomány letöltésének sikeres befejezése után a HSM készen áll a használatra. Meg kell adnia a kvórumot is, amely a biztonsági tartomány visszafejtéséhez szükséges titkos kulcsok minimális száma.

Az alábbi példa bemutatja, hogyan használható openssl (a Windows esetében itt érhető el) három önaláírt tanúsítvány létrehozásához.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Fontos

Hozza létre és tárolja biztonságosan az ebben a lépésben létrehozott RSA-kulcspárokat és biztonsági tartományfájlt.

Az Azure PowerShell Export-AzKeyVaultSecurityDomain parancsmaggal töltse le a biztonsági tartományt, és aktiválja a felügyelt HSM-et. Az alábbi példa három RSA-kulcspárt használ (ehhez a parancshoz csak nyilvános kulcsokra van szükség), és a kvórum értékét kettőre állítja.

Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2

Tárolja biztonságosan a biztonsági tartományfájlt és az RSA-kulcspárokat. Szüksége lesz rájuk vészhelyreállításhoz vagy egy másik felügyelt HSM létrehozásához, amely ugyanazzal a biztonsági tartománnyal rendelkezik, hogy a kettő meg tudja osztani a kulcsokat.

A biztonsági tartomány sikeres letöltése után a HSM aktív állapotban lesz, és készen áll a használatra.

Clean up resources

A gyűjtemény részét képező többi rövid útmutató és oktatóanyag erre a rövid útmutatóra épül. Ha azt tervezi, hogy az ezt követő rövid útmutatókkal és oktatóanyagokkal dolgozik tovább, ne törölje ezeket az erőforrásokat.

Ha már nincs rá szükség, az Azure PowerShell Remove-AzResourceGroup parancsmaggal eltávolíthatja az erőforráscsoportot és az összes kapcsolódó erőforrást.

Remove-AzResourceGroup -Name "myResourceGroup"

Figyelmeztetés:

Az erőforráscsoport törlésével a felügyelt HSM helyreállíthatóan törölt állapotba kerül. A felügyelt HSM számlázása a törlésig folytatódik. Lásd: Felügyelt HSM helyreállítható törlés és törlés elleni védelem

Következő lépések

Ebben a rövid útmutatóban létrehozott és aktivált egy felügyelt HSM-et. Ha többet szeretne megtudni a felügyelt HSM-ről és arról, hogyan integrálható az alkalmazásokkal, folytassa az alábbi cikkekkel: