Guida introduttiva: Effettuare il provisioning e attivare un modulo di protezione hardware gestito con l'interfaccia della riga di comando di Azure

In questa guida introduttiva si creerà e si attiverà un modulo di protezione hardware gestito di Azure Key Vault (modulo di sicurezza hardware) con l'interfaccia della riga di comando di Azure. Il modulo di protezione hardware gestito è un servizio cloud completamente gestito, a disponibilità elevata, a tenant singolo e conforme agli standard che consente di proteggere le chiavi crittografiche per le applicazioni cloud, usando moduli di protezione hardware convalidati FIPS 140-2 Livello 3 . Per altre informazioni sul modulo di protezione hardware gestito, vedere Panoramica.

Prerequisiti

Per completare i passaggi descritti in questo articolo, è necessario disporre di:

Azure Cloud Shell

Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice in questo articolo, senza dover installare alcun elemento nell'ambiente locale.

Per avviare Azure Cloud Shell:

Opzione Esempio/Collegamento
Selezionare Prova nell'angolo superiore destro di un codice o di un blocco di comandi. Selezionando Prova non viene copiato automaticamente il codice o il comando in Cloud Shell. Screenshot that shows an example of Try It for Azure Cloud Shell.
Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser. Button to launch Azure Cloud Shell.
Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure. Screenshot that shows the Cloud Shell button in the Azure portal

Per usare Azure Cloud Shell:

  1. Avviare Cloud Shell.

  2. Selezionare il pulsante Copia in un blocco di codice (o blocco di comandi) per copiare il codice o il comando.

  3. Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux oppure selezionando CMD+MAIUSC+V in macOS.

  4. Selezionare INVIO per eseguire il codice o il comando.

Accedere ad Azure

Per accedere ad Azure usando l'interfaccia della riga di comando, è possibile digitare:

az login

Creare un gruppo di risorse

Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. L'esempio seguente crea un gruppo di risorse denominato ContosoResourceGroup nella località eastus2.

az group create --name "ContosoResourceGroup" --location eastus2

Creare un modulo di protezione hardware gestito

La creazione di un modulo di protezione hardware gestito è un processo in due passaggi:

  1. Provisioning di una risorsa modulo di protezione hardware gestito.
  2. Attivare il modulo di protezione hardware gestito scaricando un artefatto denominato dominio di sicurezza.

Effettuare il provisioning di un modulo di protezione hardware gestito

Usare il comando az keyvault create per creare un modulo di protezione hardware gestito. Questo script ha tre parametri obbligatori: nome del gruppo di risorse, nome del modulo di protezione hardware e località geografica.

Per creare una risorsa modulo di protezione hardware gestito, è necessario fornire gli input seguenti:

  • Gruppo di risorse in cui verrà inserito il modulo nella sottoscrizione.
  • località di Azure.
  • Elenco di amministratori iniziali.

L'esempio seguente crea un modulo di protezione hardware denominato ContosoMHSM, nel gruppo di risorse ContosoResourceGroup, che si trova nella località Stati Uniti orientali 2 , con l'utente connesso corrente come unico amministratore, con un periodo di conservazione di 7 giorni per l'eliminazione temporanea. Il modulo di protezione hardware gestito continuerà a essere fatturato fino a quando non viene eliminato in un periodo di eliminazione temporanea. Per altre informazioni, vedere Eliminazione temporanea e eliminazione temporanea del modulo di protezione hardware gestito e altre informazioni sull'eliminazione temporanea del modulo di protezione hardware gestito.

oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "eastus2" --administrators $oid --retention-days 7

Nota

Se si usano identità gestite come amministratori iniziali del modulo di protezione hardware gestito, è necessario immettere l'OID/PrincipalID delle identità gestite dopo "--administrators" e non l'ID client.

Nota

L'esecuzione del comando di creazione può richiedere alcuni minuti. Al termine, è possibile attivare il modulo di protezione hardware.

Avviso

Le istanze del modulo di protezione hardware gestito vengono considerate sempre in uso. Se si sceglie di abilitare la protezione dall'eliminazione usando il --enable-purge-protection flag , verrà addebitato l'intero periodo di conservazione.

L'output di questo comando mostra le proprietà del modulo di protezione hardware gestito creato. Le due proprietà più importanti sono:

  • name: nell'esempio il nome è ContosoMHSM. Questo nome verrà usato per altri comandi.
  • hsmUri: nell'esempio l'URI è 'https://contosohsm.managedhsm.azure.net.' Le applicazioni che usano il modulo di protezione hardware tramite l'API REST devono usare questo URI.

L'account Azure ora è autorizzato a eseguire qualsiasi operazione su questo modulo di protezione hardware gestito. Per ora, nessun altro è autorizzato.

Attivare il modulo di protezione hardware gestito

Tutti i comandi relativi al piano dati sono disabilitati finché il modulo di protezione hardware non viene attivato. Ad esempio, non sarà possibile creare chiavi o assegnare ruoli. Solo gli amministratori designati assegnati durante il comando di creazione possono attivare il modulo di protezione hardware. Per attivare il modulo di protezione hardware, è necessario scaricare il dominio di sicurezza.

Per attivare il modulo di protezione hardware, è necessario:

  • Per fornire almeno tre coppie chiave RSA (fino a un massimo di 10)
  • Per specificare il numero minimo di chiavi necessarie per decrittografare il dominio di sicurezza (denominato quorum)

Per attivare il modulo di protezione hardware, inviare almeno tre chiavi pubbliche RSA (massimo 10) al modulo di protezione hardware. Il modulo di protezione hardware crittografa il dominio di sicurezza con queste chiavi e lo restituisce. Al termine del download del dominio di sicurezza, il modulo di protezione hardware è pronto per l'uso. Occorre anche specificare il quorum, ossia il numero minimo di chiavi private necessarie per decrittografare il dominio di sicurezza.

Nell'esempio seguente viene illustrato come usare openssl per generare tre certificati autofirmato.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Nota

Anche se il certificato è "scaduto", può comunque essere usato per ripristinare il dominio di sicurezza.

Importante

Creare e archiviare in una posizione sicura le coppie di chiavi RSA e il file del dominio di sicurezza generati in questo passaggio.

Usare il az keyvault security-domain download comando per scaricare il dominio di sicurezza e attivare il modulo di protezione hardware gestito. L'esempio seguente usa tre coppie di chiavi RSA (sono necessarie solo chiavi pubbliche per questo comando) e imposta il quorum su due.

az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json

Archiviare il file del dominio di sicurezza e le coppie di chiavi RSA in una posizione sicura. Saranno necessari per il ripristino di emergenza o per la creazione di un altro modulo di protezione hardware gestito che condivide lo stesso dominio di sicurezza in modo che i due possano condividere le chiavi.

Dopo il download del dominio di sicurezza, il modulo di protezione hardware sarà attivo e pronto per l'uso.

Pulire le risorse

Altre guide introduttive ed esercitazioni della raccolta si basano su questa. Se si prevede di usare le guide introduttive e le esercitazioni successive, è consigliabile non cancellare le risorse create.

Quando non sono più necessari, è possibile rimuovere il gruppo di risorse e tutte le risorse correlate tramite il comando az group delete. È possibile eliminare le risorse in questo modo:

az group delete --name ContosoResourceGroup

Avviso

L'eliminazione del gruppo di risorse inserisce il modulo di protezione hardware gestito in uno stato eliminato temporaneo. Il modulo di protezione hardware gestito continuerà a essere fatturato fino a quando non viene eliminato. Vedere Eliminazione temporanea e protezione dall'eliminazione dell'HSM gestito

Passaggi successivi

In questo argomento di avvio rapido è stato effettuato il provisioning di un modulo di protezione hardware gestito ed è stato attivato. Per altre informazioni sul modulo di protezione hardware gestito e su come integrarlo con le applicazioni, continuare con questi articoli.