Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Layanan Azure Dedicated HSM memiliki dua faset yang berbeda. Pertama, pendaftaran dan penyebaran di Azure dari perangkat HSM dengan komponen jaringan yang mendasarinya. Kedua, konfigurasi perangkat HSM dalam persiapan penggunaan/integrasi dengan beban kerja atau aplikasi tertentu. Meskipun perangkat HSM Thales Luna 7 sama di Azure karena Anda akan membeli langsung dari Thales, fakta bahwa mereka adalah sumber daya di Azure menciptakan beberapa pertimbangan unik. Pertimbangan ini dan wawasan pemecahan masalah yang dihasilkan atau praktik terbaik didokumenkan di sini untuk memastikan visibilitas dan akses tinggi ke informasi penting. Setelah layanan digunakan, informasi definitif tersedia melalui permintaan dukungan baik untuk Microsoft atau Thales secara langsung.
Catatan
Perlu dicatat bahwa sebelum melakukan konfigurasi apa pun pada perangkat HSM yang baru disebarkan, itu harus diperbarui dengan patch yang relevan. Patch tertentu yang diperlukan adalah KB0019789 di portal dukungan Thales yang membahas masalah di mana sistem menjadi tidak responsif selama reboot.
Pendaftaran HSM
Dedicated HSM adalah sumber daya berharga yang memberikan kemampuan HSM baremetal di Azure, dan tidak tersedia secara bebas untuk digunakan. Untuk memastikan pemanfaatan yang tepat, kami menggunakan proses daftar yang diizinkan untuk menyetujui langganan Azure untuk orientasi dan penyebaran. Jika Anda ingin melanjutkan onboarding ke Dedicated HSM, hubungi Manajer Akun Microsoft Anda untuk panduan lebih lanjut.
Mendapatkan akses ke Dedicated HSM
Pertama, verifikasi bahwa kasus penggunaan Anda tidak dapat ditangani oleh Azure Key Vault atau Azure Managed HSM. Jika kemudian Anda yakin hanya Dedicated HSM yang memenuhi persyaratan penyimpanan utama Anda, hubungi Manajer Akun Microsoft atau Dukungan Pelanggan Microsoft Anda untuk panduan lebih lanjut guna meminta akses. Menguraikan aplikasi dan kasus penggunaan Anda, wilayah yang Anda inginkan untuk HSM dan volume HSM yang Anda inginkan.
Provisi HSM
Provisi perangkat HSM di Azure dapat dilakukan melalui CLI atau PowerShell. Saat Anda mendaftar untuk layanan, sampel templat ARM disediakan dan bantuan diberikan untuk penyesuaian awal.
Informasi Kegagalan Penyebaran HSM
Dedicated HSM mendukung CLI dan PowerShell untuk penyebaran sehingga informasi kesalahan berbasis portal terbatas dan tidak verbose. Informasi yang lebih baik dapat ditemukan dengan menggunakan Penjelajah Sumber Daya. Halaman beranda portal memiliki ikon untuk informasi kesalahan ini dan tersedia dengan lebih rinci. Informasi ini sangat membantu jika ditempelkan saat membuat permintaan dukungan terkait masalah penyebaran.
Delegasi Subnet HSM
Alasan nomor satu untuk kegagalan penyebaran lupa mengatur delegasi yang sesuai untuk subnet yang ditentukan pelanggan tempat HSM disediakan. Mengatur bahwa delegasi adalah bagian dari jaringan virtual dan prasyarat subnet untuk penyebaran dan detail selengkapnya dapat ditemukan dalam tutorial.
Kondisi Persaingan Penyebaran HSM
Template ARM standar yang disediakan untuk penyebaran memiliki sumber daya terkait HSM dan gateway ExpressRoute. Sumber daya jaringan adalah dependensi untuk penyebaran dan waktu HSM yang sukses dapat menjadi penting. Terkadang, kami melihat kegagalan penyebaran yang terkait dengan masalah dependensi dan menjalankan kembali penyebaran sering kali menyelesaikan masalah. Jika tidak, menghapus sumber daya dan kemudian melakukan penyebaran ulang sering berhasil. Setelah mencoba ini dan masih menemukan masalah, naikkan permintaan dukungan di portal Azure memilih jenis masalah "Masalah yang mengonfigurasi penyetelan Azure".
Penyebaran HSM Menggunakan Terraform
Beberapa pelanggan menggunakan Terraform sebagai lingkungan otomatisasi alih-alih templat ARM yang disediakan saat mendaftar untuk layanan ini. HSM tidak dapat digunakan dengan cara ini tetapi sumber daya jaringan dependen dapat digunakan. Terraform memiliki modul untuk memanggil template ARM minimal yang hanya memiliki penyebaran HSM. Dalam situasi ini, perawatan harus dilakukan untuk memastikan sumber daya jaringan seperti gateway ExpressRoute yang diperlukan sepenuhnya digunakan sebelum menyebarkan HSM. Perintah CLI berikut dapat digunakan untuk menguji penyebaran yang selesai dan terintegrasi sesuai yang diperlukan. Ganti tempat penampung sudut untuk penamaan spesifik Anda. Anda harus mencari hasil dari "provisioningState is Succeeded"
az resource show --ids /subscriptions/<subid>/resourceGroups/<myresourcegroup>/providers/Microsoft.Network/virtualNetworkGateways/<myergateway>
Kegagalan penyebaran berdasarkan kuota
Dedicated HSM memiliki batas kuota awal 2 HSM per stempel dan 4 HSM per wilayah. Karena penyebaran mungkin gagal jika batas ini terlampaui, Anda harus menghapus sumber daya dari penyebaran yang gagal sebelumnya sebelum mencoba yang baru. Anda dapat memeriksa sumber daya yang ada dengan merujuk pada Bagaimana cara melihat HSM saat disediakan. Jika Anda memerlukan lebih dari 4 HSM dalam satu wilayah, kirimkan tiket dukungan pelanggan untuk meminta peningkatan batas kuota Anda.
Kegagalan penyebaran berdasarkan kapasitas
Ketika stempel atau wilayah mendekati kapasitas, dengan sebagian besar HSM yang tersedia disediakan, kegagalan penyebaran dapat terjadi. Setiap stempel menyediakan 12 HSM untuk penggunaan pelanggan, berjumlah 24 per wilayah, dengan dua cadangan dan satu perangkat pengujian per stempel. Jika Anda menduga Anda mencapai batas ini, kirimkan tiket dukungan pelanggan untuk menanyakan kapasitas yang tersedia di wilayah atau tingkat pengisian stempel tertentu.
Bagaimana cara melihat HSM saat disediakan?
Karena Dedicated HSM menjadi layanan yang diizinkan, itu dianggap sebagai "Jenis Tersembunyi" dalam portal Azure. Untuk melihat sumber daya HSM, Anda harus mencentang kotak centang "Tampilkan jenis tersembunyi". Sumber daya NIC selalu mengikuti HSM dan merupakan tempat yang baik untuk mengetahui alamat IP HSM sebelum menggunakan SSH untuk terhubung.
Sumber Daya Jaringan
Penyebaran Dedicated HSM memiliki ketergantungan pada sumber daya jaringan dan beberapa keterbatasan konsekuensial yang harus diperhatikan.
Provisi ExpressRoute
HSM khusus menggunakan gateway ExpressRoute sebagai "terowongan" untuk komunikasi antara ruang alamat IP pribadi pelanggan dan HSM fisik di pusat data Azure. Mengingat ada pembatasan satu gateway per jaringan virtual, pelanggan yang memerlukan koneksi ke sumber daya lokal mereka melalui ExpressRoute harus menggunakan jaringan virtual lain untuk koneksi tersebut.
Alamat IP Privat HSM
Contoh templat yang disediakan untuk Dedicated HSM mengasumsikan bahwa IP HSM secara otomatis diambil dari rentang subnet tertentu. Anda dapat menentukan alamat IP eksplisit untuk HSM melalui atribut "NetworkInterfaces" di template ARM.
Inisialisasi HSM
Inisialisasi menyiapkan HSM baru untuk digunakan, atau HSM yang ada untuk digunakan kembali. Inisialisasi HSM harus selesai sebelum Anda dapat menghasilkan atau menyimpan objek, memungkinkan klien untuk terhubung, atau melakukan operasi kriptografi.
Info masuk Hilang
Hilangnya kata sandi administrator Shell akan mengakibatkan hilangnya materi kunci HSM. Permintaan dukungan harus dibuat untuk mengatur ulang HSM. Saat menginisialisasi HSM, simpan info masuk dengan aman. Info masuk Shell dan HSM harus disimpan sesuai dengan kebijakan perusahaan Anda.
Log-masuk Gagal
Memberikan info masuk yang salah untuk HSM dapat memiliki konsekuensi yang merusak. Berikut ini adalah perilaku default untuk Peran HSM.
Peran | Ambang batas (# percobaan) | Hasil dari terlalu banyak upaya masuk yang buruk | Pemulihan |
---|---|---|---|
HSM SO | 3 | HSM nol (semua identitas objek HSM, dan semua partisi hilang) | HSM harus diinisialisasi ulang. Isi dapat dipulihkan dari cadangan. |
Partisi SO | 10 | Partisi adalah nol. | Partisi harus diinisialisasi ulang. Konten bisa dipulihkan dari cadangan. |
Audit | 10 | Dikunci | Dibuka secara otomatis setelah 10 menit. |
Petugas Kripto | 10 (dapat di berkurang) | Jika kebijakan HSM 15: Aktifkan RESET SO dari PIN partisi diatur ke 1 (diaktifkan), peran CO dan CU dikunci. Jika kebijakan HSM 15: Aktifkan RESET SO dari PIN partisi diatur ke 0 (dinonaktifkan), peran CO dan CU dikunci secara permanen dan konten partisi tidak lagi dapat diakses. Pengaturan awal. |
Peran CO harus dibuka dan reset info masuk oleh Partisi SO, menggunakan role resetpw -name co .Partisi harus dinisialisasi ulang, dan materi kunci dipulihkan dari perangkat cadangan. |
Konfigurasi HSM
Item berikut adalah situasi di mana kesalahan konfigurasi umum atau memiliki dampak yang layak untuk memanggil:
Dokumentasi dan Perangkat Lunak HSM
Perangkat lunak dan dokumentasi untuk perangkat HSM Thales Luna 7 tidak tersedia dari Microsoft dan harus diunduh dari Thales secara langsung. Pendaftaran diwajibkan menggunakan ID Pelanggan Thales yang diterima selama proses registrasi. Perangkat, seperti yang disediakan oleh Microsoft, memiliki perangkat lunak versi 7.2 dan firmware versi 7.0.3. Awal tahun 2020 Thales membuat dokumentasi publik dan dapat ditemukan di sini.
Konfigurasi Jaringan HSM
Berhati-hatilah saat mengonfigurasi jaringan dalam HSM. HSM memiliki koneksi melalui gateway ExpressRoute dari ruang alamat IP pribadi pelanggan langsung ke HSM. Saluran komunikasi ini hanya untuk komunikasi pelanggan dan Microsoft tidak memiliki akses. Jika HSM dikonfigurasi sedih sehingga jalur jaringan ini terpengaruh, itu berarti semua komunikasi dengan HSM dihapus. Dalam situasi ini, satu-satunya opsi adalah menaikkan permintaan dukungan Microsoft melalui portal Azure agar perangkat direset. Prosedur reset ini mengatur HSM kembali ke keadaan awal dan semua konfigurasi dan materi kunci hilang. Konfigurasi harus dibuat ulang dan ketika perangkat bergabung dengan grup HA, materi kunci direplikasi.
Reboot Perangkat HSM
Beberapa perubahan konfigurasi mengharuskan HSM untuk di-siklus daya atau di-boot ulang. Pengujian Microsoft terhadap HSM di Azure menentukan bahwa dalam beberapa kesempatan reboot dapat berhenti merespons. Implikasinya adalah bahwa permintaan dukungan harus dibuat di portal Azure yang meminta hard-reboot dan itu bisa memakan waktu hingga 48 jam untuk diselesaikan mengingat ini adalah proses manual di pusat data Azure. Untuk menghindari situasi ini, pastikan Anda menyebarkan patch reboot yang tersedia dari Thales secara langsung. Lihat KB0019789 di Unduhan Thales Luna 7 HSM 7.2 untuk patch yang direkomendasikan untuk masalah di mana sistem menjadi tidak responsif selama reboot (Catatan: Anda harus mendaftar di portal dukungan pelanggan Thales untuk diunduh.)
Sertifikat NTLS tidak sinkron
Klien mungkin kehilangan konektivitas ke HSM ketika sertifikat kedaluwarsa atau ditimpa melalui pembaruan konfigurasi. Konfigurasi klien pertukaran sertifikat harus diterapkan kembali dengan setiap HSM. Contoh pembuatan log NTLS dengan sertifikat yang tidak valid:
NTLS[8508]: info : 0 : Incoming connection request... : 192.168.50.2/59415 NTLS[8508]: Error message from SSLAccept is : error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca NTLS[8508]: Error during SSL accept ( RC_SSL_ERROR ) NTLS[8508]: info : 0xc0000711 : Fail to establish a secure channel with client : 192.168.50.2/59415 : RC_SSL_FAILED_HANDSHAKE NTLS[8508]: info : 0 : NTLS Client "Unknown host name" Connection instance removed : 192.168.50.2/59415
Komunikasi TCP Gagal
Komunikasi dari penginstalan Luna Client ke HSM memerlukan pada port TCP minimum 1792. Pertimbangkan ini karena konfigurasi jaringan apa pun diubah di lingkungan.
Anggota Grup HA Gagal Tidak Pulih
Jika anggota GRUP HA gagal tidak pulih, anggota GRUP HA harus dipulihkan secara manual dari klien Luna menggunakan perintah hagroup pulih. Penting untuk mengonfigurasi jumlah coba lagi untuk grup HA untuk memungkinkan pemulihan otomatis. Secara default grup HA tidak akan mencoba memulihkan anggota HA ke dalam grup saat pulih.
Grup HA Tidak Disinkronkan
Dalam kasus di mana partisi anggota tidak memiliki domain kloning yang sama, perintah sinkronisasi ha akan menampilkan yang berikut: Peringatan: Sinkronisasi mungkin gagal. Anggota di slot 0 dan slot 1 memiliki pengaturan yang bertentangan untuk kloning kunci pribadi. Partisi baru dengan domain kloning yang benar harus ditambahkan ke grup HA, diikuti dengan menghapus partisi yang dikonfigurasi dengan benar.
Pembatalan provisi HSM
Hanya ketika sepenuhnya selesai dengan HSM dapat dideprovision dan kemudian Microsoft akan mengatur ulang dan mengembalikannya ke kolam gratis.
Cara menghapus sumber daya HSM
JANGAN HAPUS Grup Sumber Daya Dari Dedicated HSM Anda secara langsung. Ini tidak akan menghapus sumber daya HSM, Anda akan terus ditagih karena menempatkan HSM ke dalam status tanpa yatim piatu. Jika tidak mengikuti prosedur yang benar dan berakhir dalam situasi ini, hubungi Dukungan Microsoft.
Langkah 1: Nolkan HSM. Sumber daya Azure untuk HSM tidak dapat dihapus kecuali HSM berada dalam status "nol". Oleh karena itu, semua materi utama harus telah dihapus sebelum mencoba menghapusnya sebagai sumber daya. Cara tercepat untuk nol adalah dengan salah mendapatkan kata sandi admin HSM 3 kali (catatan: ini mengacu pada admin HSM dan bukan admin tingkat peralatan). Gunakan perintah 'hsm login' dan masukkan kata sandi yang salah tiga kali. Shell Luna memang memiliki perintah hsm -factoryreset yang mengosongkan HSM tetapi hanya dapat dijalankan melalui konsol pada port serial dan pelanggan tidak memiliki akses ke ini.
Langkah 2: Setelah HSM di-nol, Anda dapat menggunakan salah satu perintah berikut untuk memulai sumber daya Delete Dedicated HSM
Azure CLI: az dedicated-hsm delete --resource-group <RG name> –-name <HSM name>
Azure PowerShell: Remove-AzDedicatedHsm -Name <HSM name> -ResourceGroupName <RG name>
Langkah 3: Setelah Langkah 2 berhasil, Anda dapat menghapus grup sumber daya untuk menghapus sumber daya lain yang terkait dengan HSM khusus dengan menggunakan Azure CLI atau Azure PowerShell.
Azure CLI: az group delete --name <RG name>
Azure PowerShell: Remove-AzResourceGroup -Name <RG name>
Langkah berikutnya
Artikel ini telah memberikan wawasan tentang area di seluruh siklus hidup penyebaran HSM yang mungkin memiliki masalah atau memerlukan pemecahan masalah atau pertimbangan yang cermat. Semoga artikel ini membantu Anda menghindari keterlambatan dan frustrasi yang tidak perlu, dan jika Anda memiliki penambahan atau perubahan yang relevan, maka naikkan permintaan dukungan dengan Microsoft dan beri tahu kami.