Bagikan melalui

Mulai cepat: Menyebarkan Azure Cloud HSM dengan menggunakan Azure PowerShell

Azure Cloud HSM adalah layanan penyewa tunggal tervalidasi FIPS 140-3 Level 3 yang sangat tersedia yang memungkinkan Anda menyebarkan modul keamanan perangkat keras (HSM) dengan menggunakan berbagai metode. Metode ini termasuk Azure CLI, Azure PowerShell, templat Azure Resource Manager (templat ARM), Terraform, atau portal Microsoft Azure. Panduan cepat ini membimbing Anda melalui proses pengembangan di Azure PowerShell.

Prasyarat

  • Sebuah akun Azure dengan langganan aktif. Jika Anda belum memiliki satu, buatlah akun gratis sebelum Anda mulai.
  • Versi terbaru Azure PowerShell terinstal.
  • Izin yang sesuai untuk membuat sumber daya di langganan Anda, termasuk sumber daya HSM.
  • Untuk lingkungan produksi, jaringan virtual yang sudah ada dan subnet untuk mengonfigurasi titik akhir privat.

Buat instans Azure Cloud HSM

Contoh kode berikut membuat grup sumber daya dan instans Cloud HSM. Anda perlu memperbarui langganan, grup sumber daya, lokasi, dan nama HSM agar sesuai dengan lingkungan Anda.

Penting

Nama HSM harus unik. Jika Anda menentukan nama HSM yang sudah ada di wilayah yang dipilih, penyebaran Anda akan gagal.

# Define variables for your Cloud HSM deployment
$server = @{
    Location = "<RegionName>"
    Sku = @{"family" = "B"; "Name" = "Standard_B1" }
    ResourceName = "<HSMName>"
    ResourceType = "microsoft.hardwaresecuritymodules/cloudHsmClusters"
    ResourceGroupName = "<ResourceGroupName>"
    Force = $true
}

# Create an HSM cluster resource group
New-AzResourceGroup -Name $server.ResourceGroupName -Location $server.Location -Force

# Create an HSM cluster
New-AzResource @server -AsJob -Verbose

Nota

Kami menyarankan agar Anda menyebarkan sumber daya Cloud HSM dalam grup sumber daya terpisah dari jaringan virtual klien terkait dan sumber daya komputer virtual (VM). Menggunakan grup sumber daya terpisah memberikan manajemen dan isolasi keamanan yang lebih baik.

Mengonfigurasi identitas terkelola (opsional)

Untuk operasi pencadangan dan pemulihan di Azure Cloud HSM, Anda perlu membuat identitas terkelola yang ditetapkan pengguna. Identitas ini digunakan untuk mentransfer cadangan Cloud HSM ke akun penyimpanan yang Anda tentukan dalam skenario kelangsungan bisnis dan pemulihan bencana (BCDR).

Jika Anda berencana menggunakan fungsionalitas pencadangan dan pemulihan, Anda dapat membuat dan mengonfigurasi identitas terkelola dengan menggunakan perintah Azure PowerShell berikut:

# Define parameters for the new managed identity
$identity = @{
    Location          = "<RegionName>"                                         
    ResourceName      = "<ManagedIdentityName>"                                         
    ResourceGroupName = "<ResourceGroupName>"
}

# Create a new user-assigned managed identity
New-AzUserAssignedIdentity -Name $identity.ResourceName -ResourceGroupName $identity.ResourceGroupName -Location $identity.Location

# Get the subscription ID
$subscriptionId = (Get-AzContext).Subscription.Id

# Define the Cloud HSM managed identity's patch payload
$chsmMSIPatch = @{
    Sku = @{
        Family = "B"
        Name = "Standard_B1"
    }
    Location = $server.Location
    Identity = @{
        type = "UserAssigned"
        userAssignedIdentities = @{
            "/subscriptions/$subscriptionId/resourcegroups/$($identity.ResourceGroupName)/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$($identity.ResourceName)" = @{}
        }
    }
} | ConvertTo-Json -Depth 4

# Construct the URI for the Cloud HSM resource
$resourceURI = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)?api-version=2024-06-30-preview"

# Update the Cloud HSM resource with the managed identity
Invoke-AzRestMethod -Path $resourceURI -Method Put -Payload $chsmMSIPatch

Untuk instruksi terperinci tentang mengonfigurasi operasi pencadangan dan pemulihan, lihat Mencadangkan dan memulihkan sumber daya Azure Cloud HSM.

Untuk lingkungan produksi, kami sangat menyarankan Anda mengonfigurasi titik akhir privat untuk penyebaran Cloud HSM Anda untuk membantu memastikan komunikasi yang aman. Anda bisa menggunakan perintah Azure PowerShell berikut ini untuk membuat titik akhir privat:

# Define private endpoint parameters
$privateEndpoint = @{
    Name = "<PrivateEndpointName>"
    ResourceGroupName = $server.ResourceGroupName
    Location = $server.Location
    Subnet = $subnet # You need to have $subnet defined with your subnet configuration
    PrivateLinkServiceConnection = @{
        Name = "$($server.ResourceName)-connection"
        PrivateLinkServiceId = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)"
        GroupId = "cloudhsmclusters"
    }
}

# Create the private endpoint
New-AzPrivateEndpoint @privateEndpoint

Petunjuk / Saran

Titik akhir privat sangat penting untuk keamanan. Mereka mengaktifkan koneksi aman ke instans Azure Cloud HSM Anda melalui tautan privat. Koneksi ini memastikan bahwa lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft. Konfigurasi ini menghilangkan paparan internet publik, seperti yang dijelaskan dalam Keamanan jaringan untuk Azure Cloud HSM.

Menyebarkan sumber daya Cloud HSM Anda

Saat Anda menjalankan perintah New-AzResource dengan parameter -AsJob, sebuah pekerjaan latar belakang akan dibuat untuk mengimplementasikan sumber daya Cloud HSM Anda. Anda dapat memeriksa status penyebaran dengan menjalankan:

Get-Job -Id <JobId> | Receive-Job

Dalam perintah sebelumnya, <JobId> adalah ID yang dikembalikan sistem saat Anda menjalankan New-AzResource perintah.

Penyebaran selesai saat Anda melihat hasil yang berhasil dari pekerjaan atau kapan Anda dapat memverifikasi bahwa sumber daya ada di langganan Azure Anda.

Menginisialisasi dan mengonfigurasi HSM Anda

Anda tidak dapat menyelesaikan aktivasi dan konfigurasi Azure Cloud HSM melalui Azure PowerShell secara langsung. Anda memerlukan Azure Cloud HSM SDK dan alat klien.

Setelah Anda menyebarkan sumber daya Cloud HSM melalui Azure PowerShell, ikuti langkah-langkah berikut:

  1. Unduh dan instal Azure Cloud HSM SDK dari GitHub pada VM yang memiliki konektivitas jaringan ke HSM Anda.

  2. Inisialisasi dan konfigurasikan HSM Anda dengan mengikuti langkah-langkah terperinci dalam panduan onboarding Azure Cloud HSM.

  3. Buat manajemen pengguna dengan petugas dan pengguna kriptografi yang sesuai, seperti yang dijelaskan dalam Manajemen pengguna di Azure Cloud HSM.

  4. Terapkan praktik manajemen kunci yang tepat untuk membantu memastikan keamanan dan performa yang optimal, seperti yang diuraikan dalam Manajemen kunci di Azure Cloud HSM.

Membersihkan sumber daya

Jika Anda membuat grup sumber daya hanya untuk mulai cepat ini dan Anda tidak perlu menyimpan sumber daya ini, Anda dapat menghapus seluruh grup sumber daya:

Remove-AzResourceGroup -Name $server.ResourceGroupName -Force

Memecahkan masalah penyebaran umum

Jika Anda mengalami masalah selama penyebaran:

  • Konflik nama sumber daya: Pastikan nama HSM Anda unik di wilayah tersebut. Jika penyebaran gagal karena konflik penamaan, gunakan nama lain.
  • Masalah konektivitas jaringan: Jika Anda menggunakan titik akhir privat, verifikasi bahwa VM Anda memiliki akses jaringan yang tepat ke HSM. Untuk praktik terbaik, lihat Keamanan jaringan untuk Azure Cloud HSM.
  • Kegagalan autentikasi: Saat Anda menginisialisasi HSM, pastikan Anda menggunakan format yang benar untuk kredensial, sebagaimana dirinci dalam Autentikasi di Azure Cloud HSM.
  • Masalah identitas terkelola: Jika operasi pencadangan gagal, verifikasi bahwa identitas terkelola ditetapkan dengan benar dan memiliki izin yang diperlukan.

Konten terkait