Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questa guida rapida, crei e attivi un Azure Key Vault Managed HSM (Modulo di Sicurezza Hardware) con l'interfaccia della riga di comando di Azure. Il modulo di protezione hardware gestito è un servizio cloud completamente gestito, a disponibilità elevata, a tenant singolo e conforme agli standard che consente di proteggere le chiavi crittografiche per le applicazioni cloud, usando moduli di protezione hardware convalidati FIPS 140-3 di livello 3 . Per altre informazioni sul modulo di protezione hardware gestito, vedere la panoramica.
Prerequisiti
Per seguire la procedura descritta in questo articolo, sono necessari:
- Un abbonamento a Microsoft Azure. Se non è disponibile, è possibile registrarsi per accedere a una versione di valutazione gratuita.
- Interfaccia della riga di comando di Azure versione 2.25.0 o successiva. Eseguire
az --versionper trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure.
Azure Cloud Shell
Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice contenuto in questo articolo senza dover installare strumenti nell'ambiente locale.
Per avviare Azure Cloud Shell:
| Opzione | Esempio/Collegamento |
|---|---|
| Selezionare Prova nell'angolo superiore destro di un blocco di codice o di comando. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell. |
|
| Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser. |
|
| Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure. |
|
Per usare Azure Cloud Shell:
Avviare Cloud Shell.
Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.
Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux o selezionando CMD+MAIUSC+V in macOS.
Premere Invio per eseguire il codice o il comando.
Accedere ad Azure
Per accedere ad Azure usando l'interfaccia della riga di comando è possibile digitare:
az login
Creare un gruppo di risorse
Un gruppo di risorse è un contenitore logico in cui le risorse di Azure vengono distribuite e gestite. L'esempio seguente crea un gruppo di risorse denominato ContosoResourceGroup nella località norwayeast.
az group create --name "ContosoResourceGroup" --location norwayeast
Creare un modulo di protezione hardware gestito
La creazione di un modulo di protezione hardware gestito è un processo in due passaggi:
- Provisioning di una risorsa modulo di protezione hardware gestito.
- Attivare il modulo di protezione hardware gestito scaricando un artefatto noto come dominio di sicurezza.
Effettuare il provisioning di un modulo di protezione hardware gestito
Usare il comando az keyvault create per creare un modulo di protezione hardware gestito. Questo script ha tre parametri obbligatori: nome del gruppo di risorse, nome del modulo di protezione hardware e località geografica.
Per creare una risorsa modulo di protezione hardware gestito, è necessario fornire gli input seguenti:
- Gruppo di risorse in cui verrà inserito nella sottoscrizione.
- località di Azure.
- Elenco di amministratori iniziali.
L'esempio seguente crea un HSM denominato ContosoMHSM, nel gruppo di risorse ContosoResourceGroup, che risiede nella località Norvegia orientale, con l'utente attualmente corrente come unico amministrato, con un periodo di conservazione di 7 giorni per l'eliminazione temporanea. L'HSM gestito continua a essere fatturato finché non viene eliminato in un periodo di eliminazione temporanea. Per altre informazioni, vedere Eliminazione temporanea e protezione dall'eliminazione dell'HSM gestito ed Eliminazione temporanea dell'HSM gestito.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "norwayeast" --administrators $oid --retention-days 7
Note
Se si usano identità gestite come amministratori iniziali dell'HSM gestito, è necessario immettere OID/PrincipalID delle identità gestite dopo '--administrators' e non l'ID client.
Note
L'esecuzione del comando di creazione può richiedere alcuni minuti. Al termine, è possibile attivare il modulo di protezione hardware.
Avviso
Le istanze dell'HSM gestito vengono considerate sempre in uso. Se si sceglie di abilitare la protezione dall'eliminazione con il flag --enable-purge-protection, si paga per l'intero periodo di conservazione.
L'output di questo comando mostra le proprietà dell'HSM gestito che hai creato. Le due proprietà più importanti sono:
- name: nell'esempio, il nome è ContosoMHSM. Questo nome viene usato per altri comandi.
- hsmUri: nell'esempio l'URI è 'https://contosohsm.managedhsm.azure.net.' Le applicazioni che usano il modulo di protezione hardware tramite l'API REST devono usare questo URI.
L'account Azure ora è autorizzato a eseguire qualsiasi operazione su questo modulo di protezione hardware gestito. Per ora, nessun altro è autorizzato.
Attivare il modulo di protezione hardware gestito
Tutti i comandi relativi al piano dati sono disabilitati finché il modulo di protezione hardware non viene attivato. Ad esempio, non è possibile creare chiavi o assegnare ruoli. Solo gli amministratori designati assegnati durante il comando di creazione possono attivare il modulo di protezione hardware. Per attivare il modulo di protezione hardware, è necessario scaricare il dominio di sicurezza.
Per attivare il tuo HSM, è necessario:
- Fornire almeno tre coppie di chiavi RSA (fino a un massimo di 10)
- Specificare il numero minimo di chiavi necessarie per decrittografare il dominio di sicurezza (detto quorum)
Per attivare il modulo di protezione hardware, è necessario inviare almeno tre (al massimo 10) chiavi pubbliche RSA al modulo stesso. Il modulo di protezione hardware crittografa il dominio di sicurezza con queste chiavi e lo restituisce. Al termine del download del dominio di sicurezza, il modulo di protezione hardware è pronto per l'uso. Occorre anche specificare il quorum, ossia il numero minimo di chiavi private necessarie per decrittografare il dominio di sicurezza.
L'esempio seguente illustra come usare openssl per generare tre certificati autofirmati.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Note
Anche se il certificato è "scaduto", può comunque essere usato per ripristinare il dominio di sicurezza.
Importante
Creare e archiviare in una posizione sicura le coppie di chiavi RSA e il file del dominio di sicurezza generati in questo passaggio.
Usare il comando az keyvault security-domain download per scaricare il dominio di sicurezza e attivare l'HSM gestito. L'esempio seguente usa tre coppie di chiavi RSA (per questo comando sono necessarie solo le chiavi pubbliche) e imposta il quorum su due.
az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json
Archiviare in modo sicuro il file di dominio di sicurezza e le coppie di chiavi RSA. Sono necessari per il ripristino di emergenza o per la creazione di un altro modulo di protezione hardware gestito che condivide lo stesso dominio di sicurezza in modo che i due possano condividere le chiavi.
Dopo il download del dominio di sicurezza, il modulo di protezione hardware sarà attivo e pronto per l'uso.
Pulire le risorse
Altre guide introduttive ed esercitazioni della raccolta si basano su questa. Se si prevede di usare le guide introduttive e le esercitazioni successive, è consigliabile non cancellare le risorse create.
Quando non sono più necessari, è possibile rimuovere il gruppo di risorse e tutte le risorse correlate tramite il comando az group delete. È possibile eliminare le risorse in questo modo:
az group delete --name ContosoResourceGroup
Avviso
L'eliminazione del gruppo di risorse attiva lo stato di eliminazione temporanea per il modulo di protezione hardware gestito. L'HSM gestito continua a essere fatturato finché non viene rimosso definitivamente. Vedere Eliminazione temporanea e protezione dall'eliminazione dell'HSM gestito
Passaggi successivi
In questa guida introduttiva è stato effettuato il provisioning di un HSM gestito, dopodiché è stato attivato. Per altre informazioni sull'HSM gestito e su come integrarlo nelle applicazioni, continuare con questi articoli.
- Leggere una panoramica del modulo di protezione hardware gestito
- Informazioni sulla gestione delle chiavi in un HSM gestito
- Vedere Gestione dei ruoli di per un HSM gestito
- Rivedere Proteggere la distribuzione dell'HSM gestito di Azure