Integrasikan HSM Terkelola dengan Azure Private Link

Layanan Azure Private Link memungkinkan Anda mengakses Layanan Azure (misalnya, Managed HSM, Azure Storage, dan Azure Cosmos DB, dll.) dan layanan pelanggan/mitra yang dihosting Azure melalui Titik Akhir Privat di jaringan virtual Anda.

Titik Akhir Privat Azure adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat menggunakan alamat IP privat dari VNet Anda, membawa layanan ke VNet Anda secara efektif. Semua lalu lintas ke layanan dapat dialihkan melalui titik akhir privat, sehingga tidak ada gateway, perangkat NAT, koneksi ExpressRoute atau VPN, atau alamat IP publik yang diperlukan. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda dapat menyambungkan ke instans sumber daya Azure, memberi Anda tingkat granularitas tertinggi dalam kontrol akses.

Untuk informasi selengkapnya, lihat Apa itu Azure Private Link?

Catatan

HSM terkelola saat ini tidak mendukung aturan IP atau Titik Akhir Layanan Jaringan Virtual

Prasyarat

Untuk mengintegrasikan HSM terkelola dengan Azure Private Link, Anda memerlukan hal berikut:

• HSM terkelola. Lihat Menyediakan dan mengaktifkan HSM terkelola menggunakan Azure CLI untuk detail selengkapnya.
• Jaringan virtual Azure.
• Subnet di jaringan virtual.
• Izin pemilik atau kontributor untuk HSM terkelola dan jaringan virtual.
• Azure CLI versi 2.25.0 atau yang lebih baru. Jalankan az --version untuk menemukan versinya. Jika Anda perlu memasang atau meningkatkan, Pasang Azure CLI.

Titik akhir privat dan jaringan virtual Anda harus berada di wilayah yang sama. Saat Anda memilih wilayah untuk titik akhir privat menggunakan portal, wilayah tersebut akan secara otomatis hanya memfilter jaringan virtual yang ada di wilayah tersebut. HSM Anda dapat berada di wilayah yang berbeda.

Titik akhir privat Anda menggunakan alamat IP privat di jaringan virtual Anda.

Buat koneksi tautan privat ke Managed HSM menggunakan CLI (Pengaturan Awal)

az login                                                                   # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                            # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                            # Create a new Resource Group
az provider register -n Microsoft.KeyVault                                 # Register KeyVault as a provider
az keyvault update-hsm --hsm-name {HSM NAME} -g {RG} --default-action deny # Turn on firewall

az network vnet create -g {RG} -n {vNet NAME} --location {REGION}           # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.managedhsm.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.managedhsm.azure.net --name {dnsZoneLinkName} --registration-enabled true

Mengizinkan layanan tepercaya untuk mengakses HSM Terkelola

Ketika firewall diaktifkan, semua akses ke HSM dari lokasi mana pun yang tidak menggunakan koneksi titik akhir privat akan ditolak, termasuk layanan Internet dan Azure publik. Gunakan opsi --bypass AzureServices jika Anda ingin mengizinkan layanan Microsoft mengakses kunci Anda di HSM Terkelola. Entitas individu (seperti akun Azure Storage atau SQL Server Azure) masih perlu memiliki tugas peran tertentu untuk dapat mengakses kunci.

Catatan

Hanya skenario penggunaan layanan tepercaya tertentu yang didukung. Lihat daftar skenario penggunaan layanan tepercaya untuk detail selengkapnya.

az keyvault update-hsm --hsm-name {HSM NAME} -g {RG} --default-action deny --bypass AzureServices

Buat Titik Akhir Pribadi (Menyetujui Secara Otomatis)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/managedHSMs/{HSM NAME}" --group-id managedhsm --connection-name {Private Link Connection Name} --location {AZURE REGION}

Catatan

Jika Anda menghapus HSM ini, titik akhir privat akan berhenti berfungsi. Jika pemulihan Anda (batal hapus) HSM ini nanti, Anda harus membuat kembali titik akhir privat baru.

Buat Titik Akhir Privat (Persetujuan Permintaan Secara Manual)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/managedHSMs/{HSM NAME}" --group-id managedhsm --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Kelola Koneksi Private Link

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --hsm-name {HSM NAME} –-name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --hsm-name {HSM NAME} –-name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --hsm-name {HSM NAME} --name {PRIVATE LINK CONNECTION NAME}

Tambahkan Catatan DNS Privat

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.managedhsm.azure.net" -n {HSM NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.managedhsm.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {HSM NAME}.managedhsm.azure.net
nslookup {HSM NAME}.privatelink.managedhsm.azure.net

---

Validasi bahwa koneksi tautan privat berfungsi

Anda harus memvalidasi bahwa sumber daya dalam subnet yang sama dari sumber daya titik akhir privat terhubung ke HSM Anda melalui alamat IP privat, dan bahwa mereka memiliki integrasi zona DNS privat yang benar.

Pertama, buat komputer virtual dengan mengikuti langkah-langkah dalam Buat komputer virtual Windows di portal Microsoft Azure

Pada tab “Jaringan”:

1. Tentukan Jaringan virtual dan Subnet. Anda bisa membuat jaringan virtual baru atau memilih jaringan yang sudah ada. Jika memilih yang sudah ada, pastikan wilayah tersebut cocok.
2. Tentukan Sumber daya IP publik.
3. Di "Grup keamanan jaringan NIC", pilih "Tidak Ada".
4. Di "Menyeimbangkan muatan", pilih "Tidak".

Buka baris perintah dan jalankan perintah berikut ini:

nslookup <your-HSM-name>.managedhsm.azure.net

Jika Anda menjalankan perintah ns lookup untuk menyelesaikan alamat IP dari HSM terkelola melalui titik akhir publik, Anda akan melihat hasil yang terlihat seperti ini:

c:\ >nslookup <your-hsm-name>.managedhsm.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-hsm-name>.managedhsm.azure.net

Jika Anda menjalankan perintah ns lookup untuk menyelesaikan alamat IP dari HSM terkelola melalui titik akhir privat, Anda akan melihat hasil yang terlihat seperti ini:

c:\ >nslookup your_hsm_name.managedhsm.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-hsm-name>.managed.azure.net
          <your-hsm-name>.privatelink.managedhsm.azure.net

Panduan Pemecahan Masalah

• Periksa untuk memastikan titik akhir privat dalam status disetujui.

  1. Gunakan subperintah az keyvault private-endpoint-connections show untuk melihat status koneksi titik akhir privat.
  2. Pastikan status koneksi Disetujui dan status penyediaan Berhasil.
  3. Pastikan jaringan virtual cocok dengan yang Anda gunakan.

• Periksa untuk memastikan bahwa Anda memiliki sumber daya Zona DNS Privat.

  1. Anda harus memiliki sumber daya Zona DNS Privat dengan nama persis: privatelink.managedhsm.azure.net.
  2. Untuk mempelajari cara menetapkan ini, silakan lihat tautan berikut. Zona DNS Privat

• Periksa untuk memastikan bahwa Zona DNS Privat ditautkan ke Virtual Network. Mungkin ini adalah masalahnya jika Anda masih melihat alamat IP publik.

  1. Jika DNS Zona Privat tidak ditautkan ke jaringan virtual, kueri DNS yang berasal dari jaringan virtual akan mengembalikan alamat IP publik HSM.
  2. Arahkan ke sumber daya Zona DNS Privat di portal Microsoft Azure dan klik opsi tautan jaringan virtual.
  3. Jaringan virtual yang akan melakukan panggilan ke HSM harus terdaftar.
  4. Jika tidak ada, tambahkan jaringan virtual.
  5. Untuk langkah-langkah mendetail, lihat dokumen berikut Ini Tautkan Virtual Network ke Zona DNS Privat

• Periksa untuk memastikan Zona DNS Privat tidak melewatkan rekaman A untuk HSM.

  1. Arahkan ke halaman Zona DNS Privat.
  2. Klik Ikhtisar dan periksa apakah ada rekaman A dengan nama sederhana HSM Anda. Jangan tentukan akhiran apa pun.
  3. Pastikan Anda memeriksa ejaan, dan membuat atau memperbaiki catatan A. Anda dapat menggunakan TTL 3600 (1 jam).
  4. Pastikan Anda menentukan alamat IP privat yang benar.

• Periksa untuk memastikan bahwa rekaman A memiliki Alamat IP yang benar.

  1. Anda dapat mengonfirmasi alamat IP dengan membuka sumber daya Titik Akhir Privat di portal Microsoft Azure.
  2. Navigasikan ke sumber daya Microsoft.Network/privateEndpoints, di portal Azure
  3. Di halaman gambaran umum, cari antarmuka Jaringan dan klik tautan tersebut.
  4. Tautan akan menampilkan Gambaran umum tentang sumber daya NIC, yang berisi alamat IP Privat properti.
  5. Verifikasi bahwa ini adalah alamat IP yang benar yang ditentukan dalam rekaman A.

Batasan dan Pertimbangan Desain

Catatan

Jumlah HSM terkelola dengan titik akhir privat yang diaktifkan per langganan adalah batas yang dapat disesuaikan. Batas yang diperlihatkan di bawah ini adalah batas default. Jika Anda ingin meminta kenaikan batas untuk langganan Anda, silakan buat tiket dukungan Azure. Kami akan menyetujui permintaan ini berdasarkan kasus per kasus.

Harga: Untuk informasi harga, lihat Harga Azure Private Link.

Jumlah Maksimum Titik Akhir Privat per HSM Terkelola: 64.

Jumlah Default HSM Terkelola dengan Titik Akhir Privat per Langganan: 400.

Untuk info selengkapnya, lihat Layanan Azure Private Link: Batasan

Langkah berikutnya

• Pelajari selengkapnya tentang Azure Private Link
• Pelajari selengkapnya tentang HSM Terkelola