Esercitazione: Creare un modulo di protezione hardware di pagamento

Il modulo di protezione hardware di pagamento di Azure è un servizio "BareMetal" fornito tramite moduli di protezione hardware di pagamento Thales payShield 10K (HSM) per fornire operazioni di chiave crittografica per transazioni di pagamento critiche in tempo reale nel cloud di Azure. Il modulo di protezione hardware di pagamento di Azure è progettato specificamente per aiutare un provider di servizi e un singolo istituto finanziario ad accelerare la strategia di trasformazione digitale del sistema di pagamento e adottare il cloud pubblico. Per altre informazioni, vedere Modulo di protezione hardware di pagamento di Azure: Panoramica.

Questa esercitazione descrive come creare un modulo di protezione hardware di pagamento di Azure con l'host e la porta di gestione nella stessa rete virtuale. È invece possibile:

• Creare un modulo di protezione hardware di pagamento con l'host e la porta di gestione nella stessa rete virtuale usando un modello di Resource Manager
• Creare un modulo di protezione hardware di pagamento con l'host e la porta di gestione in reti virtuali diverse usando l'interfaccia della riga di comando di Azure o PowerShell
• Creare un modulo di protezione hardware di pagamento con l'host e la porta di gestione in reti virtuali diverse usando un modello di Resource Manager
• Creare una risorsa HSM con host e porta di gestione con indirizzi IP in reti virtuali diverse usando il modello di Resource Manager

Nota

Se si vuole riutilizzare una rete virtuale esistente, verificare di aver soddisfatto tutti i prerequisiti e quindi leggere Come riutilizzare una rete virtuale esistente.

Prerequisiti

Importante

Il modulo di protezione hardware di pagamento di Azure è un servizio specializzato. Per qualificarsi per l'onboarding e l'uso del modulo di protezione hardware di pagamento di Azure, i clienti devono avere un Account Manager Microsoft assegnato e avere un Cloud Service Architect (CSA).

Per richiedere informazioni sul servizio, avviare il processo di qualificazione e preparare i prerequisiti prima dell'onboarding, chiedere al responsabile dell'account Microsoft e al csa di inviare una richiesta tramite posta elettronica.

Interfaccia della riga di comando di Azure

• È necessario registrare i provider di risorse "Microsoft.HardwareSecurityModules" e "Microsoft.Network", nonché le funzionalità del modulo di protezione hardware di pagamento di Azure. Per eseguire questa operazione, vedere Registrare il provider di risorse del modulo di protezione hardware di Pagamento di Azure e le funzionalità del provider di risorse.

  Avviso

  È necessario applicare il flag di funzionalità "FastPathEnabled" a ogni ID sottoscrizione e aggiungere il tag "fastpathenabled" a ogni rete virtuale. Per altre informazioni, vedere Fastpathenabled.

  Per verificare rapidamente se i provider di risorse e le funzionalità sono già registrati, usare il comando az provider show dell'interfaccia della riga di comando di Azure. L'output di questo comando è più leggibile quando viene visualizzato in formato tabella.

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  È possibile continuare con questa guida introduttiva se tutti e quattro questi comandi restituiscono "Registered".

• È necessario disporre di una sottoscrizione di Azure. Se non si ha un account, è possibile crearne uno gratuito.

• Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido per Bash in Azure Cloud Shell.

  

• Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.

  • Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere con l'interfaccia della riga di comando di Azure.

  • Quando richiesto, installare l'estensione dell'interfaccia della riga di comando di Azure al primo uso. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.

  • Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

Azure PowerShell

• È necessario registrare i provider di risorse "Microsoft.HardwareSecurityModules" e "Microsoft.Network", nonché le funzionalità del modulo di protezione hardware di pagamento di Azure. Per eseguire questa operazione, vedere Registrare il provider di risorse del modulo di protezione hardware di Pagamento di Azure e le funzionalità del provider di risorse.

  Avviso

  È necessario applicare il flag di funzionalità "FastPathEnabled" a ogni ID sottoscrizione e aggiungere il tag "fastpathenabled" a ogni rete virtuale. Per altre informazioni, vedere Fastpathenabled.

  Per verificare rapidamente se i provider di risorse e le funzionalità sono già registrati, usare il cmdlet Get-AzProviderFeature di Azure PowerShell:

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

È possibile continuare con questa guida introduttiva se "RegistrationState" di entrambi i comandi restituisce "Registered".

• È necessario disporre di una sottoscrizione di Azure. Se non si ha un account, è possibile crearne uno gratuito.

* Se si sceglie di usare Azure PowerShell in locale: * Installare la versione più recente del modulo Az PowerShell. * Connessione all'account Azure usando il cmdlet Connessione-AzAccount. * Se si sceglie di usare Azure Cloud Shell: * Per altre informazioni, vedere Panoramica di Azure Cloud Shell .

• È necessario installare il modulo PowerShell Az.DedicatedHsm:

  Install-Module -Name Az.DedicatedHsm
  

Creare un gruppo di risorse

Interfaccia della riga di comando di Azure

Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. Usare il comando az group create per creare un gruppo di risorse denominato myResourceGroup nella località eastus .

az group create --name "myResourceGroup" --location "EastUS"

Azure PowerShell

Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. Usare il cmdlet New-AzResourceGroup di Azure PowerShell per creare un gruppo di risorse denominato myResourceGroup nella posizione eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Creare una rete virtuale e una subnet

Interfaccia della riga di comando di Azure

Prima di creare un modulo di protezione hardware di pagamento, è necessario creare una rete virtuale e una subnet. A tale scopo, usare il comando az network vnet create dell'interfaccia della riga di comando di Azure:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Successivamente, usare il comando az network vnet subnet update dell'interfaccia della riga di comando di Azure per aggiornare la subnet e assegnargli una delega di "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Per verificare che la rete virtuale e la subnet siano state create correttamente, usare il comando az network vnet subnet show dell'interfaccia della riga di comando di Azure:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Prendere nota dell'ID della subnet, perché è necessario per il passaggio successivo. L'ID della subnet termina con il nome della subnet:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Azure PowerShell

Prima di creare un modulo di protezione hardware di pagamento, è necessario creare una rete virtuale e una subnet.

Prima di tutto, impostare alcune variabili da usare nelle operazioni successive:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Usare il cmdlet New-AzDelegation di Azure PowerShell per creare una delega del servizio da aggiungere alla subnet e salvare l'output nella $myDelegation variabile :

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Usare il cmdlet New-AzVirtualNetworkSubnetConfig di Azure PowerShell per creare una configurazione della subnet di rete virtuale e salvare l'output nella $myPHSMSubnet variabile:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Nota

Il cmdlet New-AzVirtualNetworkSubnetConfig genererà un avviso, che è possibile ignorare in modo sicuro.

Per creare un'Rete virtuale di Azure, usare il cmdlet New-AzVirtualNetwork di Azure PowerShell:

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Per verificare che la rete virtuale sia stata creata correttamente, usare il cmdlet Get-AzVirtualNetwork di Azure PowerShell:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Prendere nota dell'ID della subnet, usato nel passaggio successivo. L'ID della subnet termina con il nome della subnet:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Creare un modulo di protezione hardware di pagamento

Importante

Se si creano due moduli di protezione hardware di pagamento nella stessa area, è necessario allocare uno a "stamp1" e l'altro a "stamp2". Per altre informazioni, vedere Scenari di distribuzione: distribuzione a disponibilità elevata.

Creare con host dinamici

Interfaccia della riga di comando di Azure

Per creare un modulo di protezione hardware di pagamento con host dinamici, usare il comando az dedicated-hsm create . L'esempio seguente crea un modulo di protezione hardware di pagamento denominato myPaymentHSM nell'area eastus , myResourceGroup nel gruppo di risorse e nella sottoscrizione, nella rete virtuale e nella subnet specificate:

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60" 

Per visualizzare le interfacce di rete appena create, usare il comando az network nic list , specificando il gruppo di risorse:

az network nic list -g myResourceGroup -o table

Nell'output sono elencati host 1 e host 2, oltre a un'interfaccia di gestione:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Per visualizzare le interfacce di rete appena create, usare il comando az network nic show , specificando il gruppo di risorse e il nome dell'interfaccia di rete:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

L'output contiene questa riga:

  "privateIPAllocationMethod": "Dynamic",

Azure PowerShell

Per creare un modulo di protezione hardware di pagamento con host dinamici, usare il cmdlet New-AzDedicatedHsm e l'ID della rete virtuale del passaggio precedente:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

L'output della creazione del modulo di protezione hardware di pagamento è simile al seguente:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Per visualizzare le interfacce di rete appena create, usare il cmdlet Get-AzNetworkInterface , specificando il gruppo di risorse:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

Nell'output, l'host 1 e l'host 2 sono elencati, nonché l'interfaccia di gestione:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Nella portale di Azure il metodo di allocazione IP privato è "Dinamico":

Creare con host statici

Interfaccia della riga di comando di Azure

Per creare un modulo di protezione hardware di pagamento con host statici, usare il comando az dedicated-hsm create . L'esempio seguente crea un modulo di protezione hardware di pagamento denominato myPaymentHSM nell'area eastus , myResourceGroup nel gruppo di risorse e nella sottoscrizione, nella rete virtuale e nella subnet specificate:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Se si vuole specificare anche un indirizzo IP statico per l'host di gestione, è possibile aggiungere:

  --mgmt-network-interfaces private-ip-address="10.0.0.7" \
  --mgmt-network-subnet="<subnet-id>"

Per visualizzare le interfacce di rete appena create, usare il comando az network nic list , specificando il gruppo di risorse:

az network nic list -g myResourceGroup -o table

Nell'output, l'host 1 e l'host 2 sono elencati, nonché l'interfaccia di gestione:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Per visualizzare le proprietà di un'interfaccia di rete, usare il comando az network nic show , specificando il gruppo di risorse e il nome dell'interfaccia di rete:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

L'output contiene questa riga:

  "privateIPAllocationMethod": "Static",

Azure PowerShell

Per creare un modulo di protezione hardware di pagamento con host statici, usare il cmdlet New-AzDedicatedHsm e l'ID rete virtuale del passaggio precedente:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'})

Se si vuole specificare anche un indirizzo IP statico per l'host di gestione, è possibile aggiungere:

-ManagementNetworkInterface @{PrivateIPAddress = '10.0.07'} -ManagementSubnetId "<subnetId>"

L'output della creazione del modulo di protezione hardware di pagamento è simile al seguente:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Per visualizzare le interfacce di rete appena create, usare il cmdlet Get-AzNetworkInterface , specificando il gruppo di risorse:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

Nell'output, l'host 1 e l'host 2 sono elencati, nonché l'interfaccia di gestione:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Il portale di Azure mostra il "metodo di allocazione IP privato" come "Dinamico":

Passaggi successivi

Passare all'articolo successivo per informazioni su come visualizzare il modulo di protezione hardware di pagamento.

Visualizzare i moduli di protezione hardware di pagamento

Informazioni aggiuntive:

• Leggere una panoramica del modulo di protezione hardware di pagamento
• Informazioni su come iniziare a usare il modulo di protezione hardware di pagamento di Azure
• Vedere alcuni scenari di distribuzione comuni
• Informazioni su Certificazione e conformità
• Leggere le domande frequenti