Esercitazione: Creare un modulo di protezione hardware di pagamento
Il modulo di protezione hardware di pagamento di Azure è un servizio "BareMetal" fornito tramite moduli di protezione hardware di pagamento Thales payShield 10K (HSM) per fornire operazioni di chiave crittografica per transazioni di pagamento critiche in tempo reale nel cloud di Azure. Il modulo di protezione hardware di pagamento di Azure è progettato specificamente per aiutare un provider di servizi e un singolo istituto finanziario ad accelerare la strategia di trasformazione digitale del sistema di pagamento e adottare il cloud pubblico. Per altre informazioni, vedere Modulo di protezione hardware di pagamento di Azure: Panoramica.
Questa esercitazione descrive come creare un modulo di protezione hardware di pagamento di Azure con l'host e la porta di gestione nella stessa rete virtuale. È invece possibile:
- Creare un modulo di protezione hardware di pagamento con l'host e la porta di gestione nella stessa rete virtuale usando un modello di Resource Manager
- Creare un modulo di protezione hardware di pagamento con l'host e la porta di gestione in reti virtuali diverse usando l'interfaccia della riga di comando di Azure o PowerShell
- Creare un modulo di protezione hardware di pagamento con l'host e la porta di gestione in reti virtuali diverse usando un modello di Resource Manager
- Creare una risorsa HSM con host e porta di gestione con indirizzi IP in reti virtuali diverse usando il modello di Resource Manager
Nota
Se si vuole riutilizzare una rete virtuale esistente, verificare di aver soddisfatto tutti i prerequisiti e quindi leggere Come riutilizzare una rete virtuale esistente.
Prerequisiti
Importante
Il modulo di protezione hardware di pagamento di Azure è un servizio specializzato. Per qualificarsi per l'onboarding e l'uso del modulo di protezione hardware di pagamento di Azure, i clienti devono avere un Account Manager Microsoft assegnato e avere un Cloud Service Architect (CSA).
Per richiedere informazioni sul servizio, avviare il processo di qualificazione e preparare i prerequisiti prima dell'onboarding, chiedere al responsabile dell'account Microsoft e al csa di inviare una richiesta tramite posta elettronica.
È necessario registrare i provider di risorse "Microsoft.HardwareSecurityModules" e "Microsoft.Network", nonché le funzionalità del modulo di protezione hardware di pagamento di Azure. Per eseguire questa operazione, vedere Registrare il provider di risorse del modulo di protezione hardware di Pagamento di Azure e le funzionalità del provider di risorse.
Avviso
È necessario applicare il flag di funzionalità "FastPathEnabled" a ogni ID sottoscrizione e aggiungere il tag "fastpathenabled" a ogni rete virtuale. Per altre informazioni, vedere Fastpathenabled.
Per verificare rapidamente se i provider di risorse e le funzionalità sono già registrati, usare il comando az provider show dell'interfaccia della riga di comando di Azure. L'output di questo comando è più leggibile quando viene visualizzato in formato tabella.
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o table
È possibile continuare con questa guida introduttiva se tutti e quattro questi comandi restituiscono "Registered".
È necessario disporre di una sottoscrizione di Azure. Se non si ha un account, è possibile crearne uno gratuito.
Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido per Bash in Azure Cloud Shell.
Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.
Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere con l'interfaccia della riga di comando di Azure.
Quando richiesto, installare l'estensione dell'interfaccia della riga di comando di Azure al primo uso. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.
Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.
Creare un gruppo di risorse
Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. Usare il comando az group create per creare un gruppo di risorse denominato myResourceGroup nella località eastus .
az group create --name "myResourceGroup" --location "EastUS"
Creare una rete virtuale e una subnet
Prima di creare un modulo di protezione hardware di pagamento, è necessario creare una rete virtuale e una subnet. A tale scopo, usare il comando az network vnet create dell'interfaccia della riga di comando di Azure:
az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"
Successivamente, usare il comando az network vnet subnet update dell'interfaccia della riga di comando di Azure per aggiornare la subnet e assegnargli una delega di "Microsoft.HardwareSecurityModules/dedicatedHSMs":
az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Per verificare che la rete virtuale e la subnet siano state create correttamente, usare il comando az network vnet subnet show dell'interfaccia della riga di comando di Azure:
az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet
Prendere nota dell'ID della subnet, perché è necessario per il passaggio successivo. L'ID della subnet termina con il nome della subnet:
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",
Creare un modulo di protezione hardware di pagamento
Importante
Se si creano due moduli di protezione hardware di pagamento nella stessa area, è necessario allocare uno a "stamp1" e l'altro a "stamp2". Per altre informazioni, vedere Scenari di distribuzione: distribuzione a disponibilità elevata.
Creare con host dinamici
Per creare un modulo di protezione hardware di pagamento con host dinamici, usare il comando az dedicated-hsm create . L'esempio seguente crea un modulo di protezione hardware di pagamento denominato myPaymentHSM
nell'area eastus
, myResourceGroup
nel gruppo di risorse e nella sottoscrizione, nella rete virtuale e nella subnet specificate:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60"
Per visualizzare le interfacce di rete appena create, usare il comando az network nic list , specificando il gruppo di risorse:
az network nic list -g myResourceGroup -o table
Nell'output sono elencati host 1 e host 2, oltre a un'interfaccia di gestione:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Per visualizzare le interfacce di rete appena create, usare il comando az network nic show , specificando il gruppo di risorse e il nome dell'interfaccia di rete:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
L'output contiene questa riga:
"privateIPAllocationMethod": "Dynamic",
Creare con host statici
Per creare un modulo di protezione hardware di pagamento con host statici, usare il comando az dedicated-hsm create . L'esempio seguente crea un modulo di protezione hardware di pagamento denominato myPaymentHSM
nell'area eastus
, myResourceGroup
nel gruppo di risorse e nella sottoscrizione, nella rete virtuale e nella subnet specificate:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")
Se si vuole specificare anche un indirizzo IP statico per l'host di gestione, è possibile aggiungere:
--mgmt-network-interfaces private-ip-address="10.0.0.7" \
--mgmt-network-subnet="<subnet-id>"
Per visualizzare le interfacce di rete appena create, usare il comando az network nic list , specificando il gruppo di risorse:
az network nic list -g myResourceGroup -o table
Nell'output, l'host 1 e l'host 2 sono elencati, nonché l'interfaccia di gestione:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Per visualizzare le proprietà di un'interfaccia di rete, usare il comando az network nic show , specificando il gruppo di risorse e il nome dell'interfaccia di rete:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
L'output contiene questa riga:
"privateIPAllocationMethod": "Static",
Passaggi successivi
Passare all'articolo successivo per informazioni su come visualizzare il modulo di protezione hardware di pagamento.
Informazioni aggiuntive:
- Leggere una panoramica del modulo di protezione hardware di pagamento
- Informazioni su come iniziare a usare il modulo di protezione hardware di pagamento di Azure
- Vedere alcuni scenari di distribuzione comuni
- Informazioni su Certificazione e conformità
- Leggere le domande frequenti