Condividi tramite


Avvio rapido: Effettuare il provisioning di un modulo di protezione hardware gestito e attivarlo tramite l'interfaccia della riga di comando di Azure

In questo argomento di avvio rapido si apprende come creare e attivare un modulo di protezione hardware gestito di Azure Key Vault (HSM, Hardware Security Module) con l'interfaccia della riga di comando di Azure. Il modulo di protezione hardware gestito è un servizio cloud completamente gestito, a disponibilità elevata, a tenant singolo e conforme agli standard che consente di proteggere le chiavi crittografiche per le applicazioni cloud tramite moduli di protezione hardware convalidati in base agli standard FIPS 140-2 livello 3. Per altre informazioni sul modulo di protezione hardware gestito, vedere la panoramica.

Prerequisiti

Per seguire la procedura descritta in questo articolo, è necessario avere:

Azure Cloud Shell

Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice contenuto in questo articolo senza dover installare strumenti nell'ambiente locale.

Per avviare Azure Cloud Shell:

Opzione Esempio/Collegamento
Selezionare Prova nell'angolo superiore destro di un blocco di codice o di comando. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell. Screenshot che mostra un esempio di Prova per Azure Cloud Shell.
Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser. Pulsante per avviare Azure Cloud Shell.
Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure. Screenshot che mostra il pulsante Cloud Shell nel portale di Azure

Per usare Azure Cloud Shell:

  1. Avviare Cloud Shell.

  2. Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.

  3. Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux o selezionando CMD+MAIUSC+V in macOS.

  4. Premere Invio per eseguire il codice o il comando.

Accedere ad Azure

Per accedere ad Azure usando l'interfaccia della riga di comando è possibile digitare:

az login

Creare un gruppo di risorse

Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. L'esempio seguente crea un gruppo di risorse denominato ContosoResourceGroup nella località eastus2.

az group create --name "ContosoResourceGroup" --location eastus2

Creare un modulo di protezione hardware gestito

La creazione di un modulo di protezione hardware gestito è un processo in due passaggi:

  1. Provisioning di una risorsa modulo di protezione hardware gestito.
  2. Attivare il modulo di protezione hardware gestito scaricando un artefatto noto come dominio di sicurezza.

Effettuare il provisioning di un modulo di protezione hardware gestito

Usare il comando az keyvault create per creare un modulo di protezione hardware gestito. Questo script ha tre parametri obbligatori: nome del gruppo di risorse, nome del modulo di protezione hardware e località geografica.

Per creare una risorsa modulo di protezione hardware gestito, è necessario fornire gli input seguenti:

  • Gruppo di risorse in cui verrà inserito il modulo nella sottoscrizione.
  • località di Azure.
  • Elenco di amministratori iniziali.

L'esempio seguente crea un modulo di protezione hardware denominato ContosoMHSM nel gruppo di risorse ContosoResourceGroup nella posizione Stati Uniti orientali 2 e con l'utente connesso corrente come unico amministratore, con un periodo di conservazione di 7 giorni per l'eliminazione temporanea. Il modulo di protezione hardware gestito continuerà a essere fatturato fino a quando non viene eliminato in un periodo di eliminazione temporanea. Per altre informazioni, vedere Eliminazione temporanea e protezione dall'eliminazione del modulo di protezione hardware gestito con l'interfaccia della riga di comando ed Eliminazione temporanea del modulo di protezione hardware gestito.

oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "eastus2" --administrators $oid --retention-days 7

Nota

Se si usano identità gestite come amministratori iniziali del modulo di protezione hardware gestito, è necessario immettere OID/PrincipalID delle identità gestite dopo '--administrators' e non l'ID client.

Nota

L'esecuzione del comando di creazione può richiedere alcuni minuti. Al termine, è possibile attivare il modulo di protezione hardware.

Avviso

Le istanze del modulo di protezione hardware gestito vengono considerate sempre in uso. Se si sceglie di abilitare la protezione dall'eliminazione usando il flag --enable-purge-protection, il modulo verrà addebitato per l'intero periodo di conservazione.

L'output di questo comando mostra le proprietà del modulo di protezione hardware gestito creato. Le due proprietà più importanti sono:

  • name: nell'esempio il nome è ContosoMHSM. Questo nome verrà usato per altri comandi.
  • hsmUri: nell'esempio l'URI è 'https://contosohsm.managedhsm.azure.net.' Le applicazioni che usano il modulo di protezione hardware tramite l'API REST devono usare questo URI.

L'account Azure ora è autorizzato a eseguire qualsiasi operazione su questo modulo di protezione hardware gestito. Per ora, nessun altro è autorizzato.

Attivare il modulo di protezione hardware gestito

Tutti i comandi relativi al piano dati sono disabilitati finché il modulo di protezione hardware non viene attivato. Ad esempio, non sarà possibile creare chiavi o assegnare ruoli. Solo gli amministratori designati assegnati durante il comando di creazione possono attivare il modulo di protezione hardware. Per attivare il modulo di protezione hardware, è necessario scaricare il dominio di sicurezza.

Per attivare il modulo di protezione hardware occorre:

  • Fornire almeno tre coppie di chiavi RSA (fino a un massimo di 10)
  • Specificare il numero minimo di chiavi necessarie per decrittografare il dominio di sicurezza (detto quorum)

Per attivare il modulo di protezione hardware, è necessario inviare almeno tre (al massimo 10) chiavi pubbliche RSA al modulo stesso. Il modulo di protezione hardware crittografa il dominio di sicurezza con queste chiavi e lo restituisce. Al termine del download del dominio di sicurezza, il modulo di protezione hardware è pronto per l'uso. Occorre anche specificare il quorum, ossia il numero minimo di chiavi private necessarie per decrittografare il dominio di sicurezza.

L'esempio seguente illustra come usare openssl per generare tre certificati autofirmati.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Nota

Anche se il certificato è "scaduto", può comunque essere usato per ripristinare il dominio di sicurezza.

Importante

Creare e archiviare in una posizione sicura le coppie di chiavi RSA e il file del dominio di sicurezza generati in questo passaggio.

Usare il comando az keyvault security-domain download per scaricare il dominio di sicurezza e attivare il modulo di protezione hardware gestito. L'esempio seguente usa tre coppie di chiavi RSA (per questo comando sono necessarie solo le chiavi pubbliche) e imposta il quorum su due.

az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json

Archiviare il file del dominio di sicurezza e le coppie di chiavi RSA in una posizione sicura. Serviranno per il ripristino di emergenza o per la creazione di un altro modulo di protezione hardware gestito che condivide lo stesso dominio di sicurezza, in modo che i due moduli possano condividere le chiavi.

Dopo il download del dominio di sicurezza, il modulo di protezione hardware sarà attivo e pronto per l'uso.

Pulire le risorse

Altre guide introduttive ed esercitazioni della raccolta si basano su questa. Se si prevede di usare le guide introduttive e le esercitazioni successive, è consigliabile non cancellare le risorse create.

Quando non sono più necessari, è possibile rimuovere il gruppo di risorse e tutte le risorse correlate tramite il comando az group delete. È possibile eliminare le risorse in questo modo:

az group delete --name ContosoResourceGroup

Avviso

L'eliminazione del gruppo di risorse attiva lo stato di eliminazione temporanea per il modulo di protezione hardware gestito. Il modulo di protezione hardware gestito continuerà a essere fatturato fino a quando non viene rimosso definitivamente. Vedere Eliminazione temporanea e protezione dall'eliminazione dell'HSM gestito

Passaggi successivi

In questo argomento di avvio rapido è stato effettuato il provisioning di un modulo di protezione hardware gestito e il modulo è poi stato attivato. Per altre informazioni sui moduli di protezione hardware gestiti e su come integrarli nelle applicazioni, continuare con questi articoli.