Avvio rapido: Effettuare il provisioning di un modulo di protezione hardware gestito e attivarlo tramite l'interfaccia della riga di comando di PowerShell

  • Articolo

In questo argomento di avvio rapido si apprende come creare e attivare un modulo di protezione hardware gestito di Azure Key Vault (HSM, Hardware Security Module) con PowerShell. Il modulo di protezione hardware gestito è un servizio cloud completamente gestito, a disponibilità elevata, a tenant singolo e conforme agli standard che consente di proteggere le chiavi crittografiche per le applicazioni cloud tramite moduli di protezione hardware convalidati in base agli standard FIPS 140-2 livello 3. Per altre informazioni sul modulo di protezione hardware gestito, vedere la panoramica.

Se si sceglie di installare e usare PowerShell in locale, per questa esercitazione è necessario il modulo Azure PowerShell 1.0.0 o versione successiva. Digitare $PSVersionTable.PSVersion per trovare la versione. Se è necessario eseguire l'aggiornamento, vedere Installare e configurare Azure PowerShell. Se si esegue PowerShell in locale, è anche necessario eseguire Connect-AzAccount per creare una connessione con Azure.

Connect-AzAccount

Creare un gruppo di risorse

Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. Usare il cmdlet New-AzResourceGroup di Azure PowerShell per creare un gruppo di risorse denominato myResourceGroup nella posizione eastus2.

New-AzResourceGroup -Name "myResourceGroup" -Location "eastus2"

Ottenere l’ID entità di sicurezza

Per creare un modulo di protezione hardware gestito, è necessario l'ID entità di sicurezza Microsoft Entra. Per ottenere l'ID, usare il cmdlet Get-AzADUser di Azure PowerShell, passando l'indirizzo e-mail al parametro "UserPrincipalName":

Get-AzADUser -UserPrincipalName "<your@email.address>"

L'ID entità di sicurezza verrà restituito nel formato "xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxxx".

Creare un modulo di protezione hardware gestito

La creazione di un modulo di protezione hardware gestito è un processo in due passaggi:

  1. Provisioning di una risorsa modulo di protezione hardware gestito.
  2. Attivare il modulo di protezione hardware gestito scaricando un artefatto noto come dominio di sicurezza.

Effettuare il provisioning di un modulo di protezione hardware gestito

Usare il cmdlet New-AzKeyVaultManagedHsm di Azure PowerShell per creare un nuovo modulo di protezione hardware gestito. Sarà necessario specificare alcune informazioni:

  • Nome del modulo di protezione hardware gestito: una stringa contenente da 3 a 24 caratteri, limitati a numeri (0-9), lettere (a-z, A-Z) e trattini (-)

    Importante

    Ogni modulo di protezione hardware gestito deve avere un nome univoco. Negli esempi seguenti sostituire <your-unique-managed-hsm-name> con il nome del modulo di protezione hardware gestito.

  • Nome del gruppo di risorse: myResourceGroup.

  • Località: Stati Uniti orientali 2.

  • ID entità di sicurezza: passare l'ID entità di sicurezza Microsoft Entra ottenuto nell'ultima sezione al parametro "Administrator".

New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "eastus2" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"

Nota

L'esecuzione del comando di creazione può richiedere alcuni minuti. Al termine, è possibile attivare il modulo di protezione hardware.

L'output di questo cmdlet mostra le proprietà del modulo di protezione hardware gestito appena creato. Prendere nota delle due proprietà seguenti:

  • Nome: nome specificato per il modulo di protezione hardware gestito.
  • HsmUri: nell'esempio si tratta di https://<your-unique-managed-hsm-name>.managedhsm.azure.net/. Le applicazioni che usano l'insieme di credenziali tramite l'API REST devono usare questo URI.

A questo punto, l'account Azure è l'unico autorizzato a eseguire qualsiasi operazione su questo nuovo modulo di protezione hardware.

Attivare il modulo di protezione hardware gestito

Tutti i comandi relativi al piano dati sono disabilitati finché il modulo di protezione hardware non viene attivato. Non sarà possibile creare chiavi o assegnare ruoli. Solo gli amministratori designati assegnati durante il comando di creazione possono attivare il modulo di protezione hardware. Per attivare il modulo di protezione hardware, è necessario scaricare il dominio di sicurezza.

Per attivare il modulo di protezione hardware occorre:

  • Fornire almeno tre coppie di chiavi RSA (fino a un massimo di 10)
  • Specificare il numero minimo di chiavi necessarie per decrittografare il dominio di sicurezza (detto quorum)

Per attivare il modulo di protezione hardware, è necessario inviare almeno tre (al massimo 10) chiavi pubbliche RSA al modulo stesso. Il modulo di protezione hardware crittografa il dominio di sicurezza con queste chiavi e lo restituisce. Al termine del download del dominio di sicurezza, il modulo di protezione hardware è pronto per l'uso. Occorre anche specificare il quorum, ossia il numero minimo di chiavi private necessarie per decrittografare il dominio di sicurezza.

L'esempio seguente illustra come usare openssl (disponibile per Windows qui) per generare tre certificati autofirmati.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Importante

Creare e archiviare in una posizione sicura le coppie di chiavi RSA e il file del dominio di sicurezza generati in questo passaggio.

Usare il cmdlet Export-AzKeyVaultSecurityDomain di Azure PowerShell per scaricare il dominio di sicurezza e attivare il modulo di protezione hardware gestito. L'esempio seguente usa tre coppie di chiavi RSA (per questo comando sono necessarie solo le chiavi pubbliche) e imposta il quorum su due.

Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2

Archiviare il file del dominio di sicurezza e le coppie di chiavi RSA in una posizione sicura. Serviranno per il ripristino di emergenza o per la creazione di un altro modulo di protezione hardware gestito che condivide lo stesso dominio di sicurezza, in modo che i due moduli possano condividere le chiavi.

Dopo il download del dominio di sicurezza, il modulo di protezione hardware sarà attivo e pronto per l'uso.

Pulire le risorse

Altre guide introduttive ed esercitazioni della raccolta si basano su questa. Se si prevede di usare altre guide introduttive ed esercitazioni, è consigliabile non cancellare le risorse create.

Quando non servono più, è possibile usare il cmdlet Remove-AzResourceGroup di Azure PowerShell per rimuovere il gruppo di risorse e tutte le risorse correlate.

Remove-AzResourceGroup -Name "myResourceGroup"

Avviso

L'eliminazione del gruppo di risorse attiva lo stato di eliminazione temporanea per il modulo di protezione hardware gestito. Il modulo di protezione hardware gestito continuerà a essere fatturato fino a quando non viene rimosso definitivamente. Vedere Eliminazione temporanea e protezione dall'eliminazione dell'HSM gestito

Passaggi successivi

In questo argomento di avvio rapido è stato creato e attivato un modulo di protezione hardware gestito. Per altre informazioni sui moduli di protezione hardware gestiti e su come integrarli nelle applicazioni, continuare con questi articoli: