Bagikan melalui

Tutorial: Menyebarkan HSM ke jaringan virtual yang ada menggunakan PowerShell

  • Artikel

Layanan Azure Dedicated HSM menyediakan perangkat fisik untuk penggunaan pribadi pelanggan, dengan kontrol administratif lengkap dan tanggung jawab manajemen penuh. Karena menyediakan perangkat keras fisik, Microsoft harus mengontrol bagaimana perangkat tersebut dialokasikan untuk memastikan kapasitas dikelola secara efektif. Akibatnya, dalam langganan Azure, layanan Dedicated HSM biasanya tidak terlihat untuk provisi sumber daya. Setiap pelanggan Azure yang memerlukan akses ke layanan Dedicated HSM harus terlebih dahulu menghubungi eksekutif akun Microsoft mereka untuk meminta pendaftaran untuk layanan Dedicated HSM. Hanya setelah proses ini berhasil diselesaikan adalah provisi yang mungkin.

Tutorial ini menunjukkan proses provisi yang khas di mana:

  • Pelanggan sudah memiliki jaringan virtual
  • Pelanggan memiliki komputer virtual
  • Pelanggan perlu menambahkan sumber daya HSM ke lingkungan yang sudah ada.

Arsitektur penyebaran multi-wilayah yang khas dan ketersediaan tinggi adalah sebagai berikut:

Diagram yang mengilustrasikan penyebaran multi-wilayah.

Tutorial ini berfokus pada sepasang HSM dan gateway ExpressRoute yang diperlukan (lihat Subnet 1 di atas) yang diintegrasikan ke dalam jaringan virtual yang ada (lihat VNET 1 di atas). Semua sumber daya lainnya adalah sumber daya Azure standar. Proses integrasi yang sama dapat digunakan untuk HSM di subnet 4 pada VNET 3 di atas.

Catatan

Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Prasyarat

Azure Dedicated HSM saat ini tidak tersedia di portal Azure, oleh karena itu semua interaksi dengan layanan melalui baris perintah atau menggunakan PowerShell. Tutorial ini menggunakan PowerShell di Azure Cloud Shell. Jika Anda baru menggunakan PowerShell, ikuti instruksi memulai di sini: Memulai Azure PowerShell.

Asumsi:

  • Anda memiliki Manajer Akun Microsoft yang ditetapkan dan memenuhi persyaratan moneter lima juta ($ 5 juta) USD atau lebih besar dalam keseluruhan pendapatan Azure yang berkomitmen setiap tahun untuk memenuhi syarat untuk onboarding dan penggunaan Azure Dedicated HSM.
  • Anda melalui proses pendaftaran Azure Dedicated HSM dan telah disetujui untuk penggunaan layanan. Jika tidak, hubungi perwakilan akun Microsoft Anda untuk penjelasan detailnya.
  • Anda membuat Grup Sumber Daya untuk sumber daya ini dan untuk sumber daya baru yang disebarkan dalam tutorial ini.
  • Anda sudah membuat jaringan virtual, subnet, dan komputer virtual yang diperlukan dan sekarang ingin mengintegrasikan 2 HSM ke dalam penyebaran tersebut.

Instruksi berikut mengasumsikan bahwa Anda telah menavigasi ke portal Azure dan Anda telah membuka Cloud Shell (pilih ">_" di kanan atas portal).

Memprovisikan Dedicated HSM

Menyediakan HSM dan mengintegrasikan ke dalam jaringan virtual yang ada melalui gateway ExpressRoute divalidasi menggunakan alat baris perintah ssh untuk memastikan keterjangkauan dan ketersediaan dasar perangkat HSM untuk aktivitas konfigurasi lebih lanjut. Perintah berikut akan menggunakan templat Azure Resource Manager untuk membuat sumber daya HSM dan sumber daya jaringan terkait.

Memvalidasi Pendaftaran Fitur

Seperti disebutkan, aktivitas provisi apa pun mengharuskan layanan Dedicated HSM terdaftar untuk langganan Anda. Untuk memvalidasinya, jalankan perintah PowerShell berikut ini di portal Azure Cloud Shell.

Get-AzProviderFeature -ProviderNamespace Microsoft.HardwareSecurityModules -FeatureName AzureDedicatedHsm

Perintah harus mengembalikan status "Terdaftar" sebelum Anda melanjutkan lebih lanjut. Jika Anda tidak terdaftar untuk layanan ini, hubungi perwakilan akun Microsoft Anda.

Status langganan.

Membuat sumber daya HSM

Perangkat HSM disediakan ke dalam jaringan virtual pelanggan, yang memerlukan subnet. Ketergantungan bagi HSM untuk memungkinkan komunikasi antara jaringan virtual dan perangkat fisik adalah gateway ExpressRoute, dan akhirnya komputer virtual diperlukan untuk mengakses perangkat HSM menggunakan perangkat lunak klien Thales.

Anda dapat membuat sumber daya Dedicated HSM menggunakan templat ARM berdasarkan contoh berikut. Anda harus memperbarui parameter dengan mengganti baris yang berisi "value":"" dengan nama sumber daya pilihan Anda.

  • namingInfix Awalan untuk nama sumber daya HSM
  • ExistingVirtualNetworkName Nama jaringan virtual yang digunakan untuk HSM
  • DedicatedHsmResourceName1 Nama sumber daya HSM dalam cap pusat data 1
  • DedicatedHsmResourceName2 Nama sumber daya HSM dalam cap pusat data 2
  • hsmSubnetRange Rentang Alamat IP Subnet untuk HSM
  • ERSubnetRange Rentang Alamat IP Subnet untuk gateway VNET

Contoh perubahan ini adalah sebagai berikut:

{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "namingInfix": {
      "value": "MyHSM"
    },
    "ExistingVirtualNetworkName": {
      "value": "MyHSM-vnet"
    },
    "DedicatedHsmResourceName1": {
      "value": "HSM1"
    },
    "DedicatedHsmResourceName2": {
      "value": "HSM2"
    },
    "hsmSubnetRange": {
      "value": "10.0.2.0/24"
    },
    "ERSubnetRange": {
      "value": "10.0.255.0/26"
    },
  }
}

File templat Resource Manager terkait membuat enam sumber daya dengan informasi ini:

  • Subnet untuk HSM di VNET yang ditentukan
  • Subnet untuk gateway jaringan virtual
  • Gateway jaringan virtual yang menyambungkan VNET ke perangkat HSM
  • Alamat IP publik gateway untuk gateway
  • HSM di cap 1
  • HSM di cap 2

Setelah nilai parameter diatur, file perlu diunggah ke berbagi file portal Azure Cloud Shell untuk digunakan. Di portal Azure, pilih simbol Cloud Shell ">_" kanan atas, yang menjadikan bagian bawah layar sebagai lingkungan perintah. Opsinya adalah BASH dan PowerShell dan Anda harus memilih BASH jika belum diatur.

Pilih opsi unggah/unduh pada toolbar untuk mengunggah file templat dan parameter ke berbagi file Anda:

Berbagi file.

Setelah file diunggah, Anda siap untuk membuat sumber daya.

Ada beberapa sumber daya prasyarat yang diperlukan sebelum membuat sumber daya HSM baru. Anda harus memiliki jaringan virtual dengan rentang subnet untuk komputasi, HSM, dan gateway. Perintah berikut berfungsi sebagai contoh pembuatan jaringan virtual serupa.

$compute = New-AzVirtualNetworkSubnetConfig `
  -Name compute `
  -AddressPrefix 10.2.0.0/24

$delegation = New-AzDelegation `
  -Name "myDelegation" `
  -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"


$hsmsubnet = New-AzVirtualNetworkSubnetConfig ` 
  -Name hsmsubnet ` 
  -AddressPrefix 10.2.1.0/24 ` 
  -Delegation $delegation 



$gwsubnet= New-AzVirtualNetworkSubnetConfig `
  -Name GatewaySubnet `
  -AddressPrefix 10.2.255.0/26



New-AzVirtualNetwork `
  -Name myHSM-vnet `
  -ResourceGroupName myRG `
  -Location westus `
  -AddressPrefix 10.2.0.0/16 `
  -Subnet $compute, $hsmsubnet, $gwsubnet

Catatan

Konfigurasi yang terpenting untuk dicatat untuk jaringan virtual, adalah bahwa subnet untuk perangkat HSM harus memiliki delegasi yang diatur ke "Microsoft.HardwareSecurityModules/dedicatedHSMs". Provisi HSM tidak akan berfungsi tanpa penetapan opsi ini.

Setelah semua prasyarat diterapkan, dan perbarui templat Resource Manager dengan nama unik Anda (setidaknya nama grup sumber daya), jalankan perintah berikut:


New-AzResourceGroupDeployment -ResourceGroupName myRG `
     -TemplateFile .\Deploy-2HSM-toVNET-Template.json `
     -TemplateParameterFile .\Deploy-2HSM-toVNET-Params.json `
     -Name HSMdeploy -Verbose

Perintah ini seharusnya memakan waktu sekitar 20 menit untuk menyelesaikannya. Opsi "-verbose" yang digunakan akan memastikan status terus ditampilkan.

Menyebarkan Decicated HSM.

Setelah berhasil diselesaikan, ditunjukkan oleh "provisioningState": "Berhasil", Anda dapat masuk ke komputer virtual yang ada dan menggunakan SSH untuk memastikan ketersediaan perangkat HSM.

Memverifikasi Penyebaran

Untuk memverifikasi bahwa perangkat telah diprovisikan dan untuk melihat atribut perangkat, jalankan set perintah berikut. Pastikan grup sumber daya diatur dengan tepat dan nama sumber daya persis seperti yang Anda miliki dalam file parameter.


$subid = (Get-AzContext).Subscription.Id
$resourceGroupName = "myRG"
$resourceName = "HSM1"  
Get-AzResource -Resourceid /subscriptions/$subId/resourceGroups/$resourceGroupName/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/$resourceName

Status provisi.

Anda juga sekarang dapat melihat sumber daya menggunakan penjelajah sumber daya Azure. Setelah membuka penelusur, buka menu "langganan" di sebelah kiri, buka menu langganan spesifik Anda untuk Dedicated HSM, buka menu "grup sumber daya", buka menu grup sumber daya yang Anda gunakan, dan terakhir, pilih item "sumber daya".

Menguji Penyebaran

Menguji penyebaran adalah kasus menyambungkan ke komputer virtual yang dapat mengakses HSM dan kemudian terhubung langsung ke perangkat HSM. Tindakan ini akan mengonfirmasi bahwa HSM dapat dijangkau. Alat ssh digunakan untuk terhubung ke komputer virtual. Perintah yang digunakan akan terkesan mirip dengan perintah berikut, tetapi dengan nama administrator dan nama dns yang Anda tentukan pada parameter.

ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com

Kata sandi yang digunakan adalah kata sandi dari file parameter. Setelah masuk ke VM Linux, Anda dapat masuk ke HSM menggunakan alamat IP privat yang ditemukan di portal untuk awalan>sumber daya <hsm_vnic.


(Get-AzResource -ResourceGroupName myRG -Name HSMdeploy -ExpandProperties).Properties.networkProfile.networkInterfaces.privateIpAddress

Saat Anda memiliki alamat IP, jalankan perintah berikut:

ssh tenantadmin@<ip address of HSM>

Jika berhasil, Anda akan dimintai kata sandi. Kata sandi default adalah PASSWORD. HSM akan meminta Anda untuk mengubah kata sandi Anda sehingga mengatur kata sandi yang kuat dan menggunakan mekanisme apa pun yang disukai organisasi Anda untuk menyimpan kata sandi dan mencegah kehilangan.

Penting

jika Anda kehilangan kata sandi ini, HSM harus diatur ulang, yang artinya kunci Anda hilang.

Saat Anda terhubung ke perangkat HSM menggunakan ssh, jalankan perintah berikut untuk memastikan HSM beroperasi.

hsm show

Output harus seperti gambar yang ditunjukkan di bawah ini:

Cuplikan layar yang memperlihatkan output dari perintah peragaan HSM.

Pada titik ini, Anda telah mengalokasikan semua sumber daya untuk penyebaran HSM dengan ketersediaan tinggi dan akses tervalidasi serta status operasional. Konfigurasi atau pengujian lebih lanjut melibatkan lebih banyak penggunaan perangkat HSM itu sendiri. Untuk melakukannya, Anda harus mengikuti instruksi dalam Panduan Administrasi HSM Thales Luna 7 bab 7 untuk menginisialisasi HSM dan membuat partisi. Semua dokumentasi dan perangkat lunak tersedia langsung dari Thales untuk diunduh setelah Anda terdaftar di portal dukungan pelanggan Thales dan memiliki ID Pelanggan. Unduh Perangkat Lunak Klien versi 7.2 untuk mendapatkan semua komponen yang diperlukan.

Menghapus atau membersihkan sumber daya

Jika Anda telah selesai hanya dengan perangkat HSM, perangkat tersebut dapat dihapus sebagai sumber daya dan dikembalikan ke kumpulan gratis. Masalah terbesar ketika melakukan ini adalah data pelanggan sensitif yang ada di perangkat tersebut. Cara terbaik untuk "men-zeroize" perangkat adalah dengan salah mendapatkan kata sandi admin HSM tiga kali (catatan: ini bukan admin appliance, ini adalah admin HSM yang sebenarnya). Sebagai langkah keamanan untuk melindungi materi kunci, perangkat tidak dapat dihapus sebagai sumber daya Azure sampai dalam status nol.

Catatan

jika Anda memiliki masalah dengan konfigurasi perangkat Thales, sebaiknya hubungi dukungan pelanggan Thales.

Jika Anda ingin menghapus sumber daya HSM di Azure, Anda dapat menggunakan perintah berikut mengganti variabel "$" dengan parameter unik Anda:


$subid = (Get-AzContext).Subscription.Id
$resourceGroupName = "myRG" 
$resourceName = "HSMdeploy"  
Remove-AzResource -Resourceid /subscriptions/$subId/resourceGroups/$resourceGroupName/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/$resourceName

Langkah berikutnya

Setelah menyelesaikan langkah-langkah dalam tutorial, sumber daya Azure Dedicated HSM disediakan dan tersedia di jaringan virtual Anda. Anda sekarang berada dalam posisi untuk melengkapi penyebaran ini dengan lebih banyak sumber daya seperti yang diperlukan oleh arsitektur penyebaran pilihan Anda. Untuk informasi lebih lanjut mengenai bantuan dalam merencanakan penyebaran Anda, lihat dokumen Konsep. Disarankan untuk membuat desain dengan dua HSM di wilayah utama untuk menangani ketersediaan pada tingkat rak, dan dua HSM di wilayah sekunder untuk menangani ketersediaan regional. File templat yang digunakan dalam tutorial ini dapat dengan mudah digunakan sebagai dasar untuk dua penyebaran HSM tetapi perlu dimodifikasi parameternya untuk memenuhi kebutuhan Anda.