Beheerde HSM integreren met Azure Private Link

Met de Azure Private Link-service hebt u toegang tot Azure-services (bijvoorbeeld beheerde HSM, Azure Storage en Azure Cosmos DB, enzovoort) en door Azure gehoste klant-/partnerservices via een privé-eindpunt in uw virtuele netwerk.

Een privé-eindpunt in Azure is een netwerkinterface waarmee u privé en veilig verbinding maakt met een service die door Azure Private Link mogelijk wordt gemaakt. Het privé-eindpunt maakt gebruik van een privé-IP-adres van uw VNet, waardoor de service feitelijk in uw VNet wordt geplaatst. Al het verkeer naar de service kan worden gerouteerd via het privé-eindpunt, zodat er geen gateways, NAT-apparaten, ExpressRoute of VPN-verbindingen of openbare IP-adressen nodig zijn. Verkeer tussen uw virtuele netwerk en de services wordt via het backbonenetwerk van Microsoft geleid, waarmee de risico's van het openbare internet worden vermeden. U kunt verbinding maken met een exemplaar van een Azure-resource, zodat u het hoogste granulariteit krijgt in toegangsbeheer.

Zie Wat is een Azure Private Link? voor meer informatie.

Notitie

Beheerde HSM biedt momenteel geen ondersteuning voor IP-regels of service-eindpunten voor virtuele netwerken

Vereisten

Als u een beheerde HSM wilt integreren met Azure Private Link, hebt u het volgende nodig:

• Een beheerde HSM. Zie Een beheerde HSM inrichten en activeren met behulp van Azure CLI voor meer informatie.
• Een Azure Virtual Network.
• Een subnet binnen het virtueel netwerk.
• Eigenaars- of inzendermachtigingen voor zowel de beheerde HSM als het virtuele netwerk.
• De Azure CLI versie 2.25.0 of hoger. Voer az --version uit om de versie te bekijken. Als u uw CLI wilt installeren of upgraden, raadpleegt u De Azure CLI installeren.

Uw privé-eindpunt en het virtueel netwerk moeten zich in dezelfde regio bevinden. Wanneer u een regio voor het privé-eindpunt selecteert met behulp van de portal, worden er automatisch alleen virtuele netwerken gefilterd die zich in die regio bevinden. Uw HSM kan zich in een andere regio bevinden.

Uw privé-eindpunt maakt gebruik van een privé IP-adres in uw virtueel netwerk.

Een private link-verbinding tot stand brengen met beheerde HSM met behulp van CLI (eerste installatie)

az login                                                                   # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                            # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                            # Create a new Resource Group
az provider register -n Microsoft.KeyVault                                 # Register KeyVault as a provider
az keyvault update-hsm --hsm-name {HSM NAME} -g {RG} --default-action deny # Turn on firewall

az network vnet create -g {RG} -n {vNet NAME} --location {REGION}           # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.managedhsm.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.managedhsm.azure.net --name {dnsZoneLinkName} --registration-enabled true

Vertrouwde services toegang geven tot beheerde HSM

Wanneer de firewall is ingeschakeld, wordt alle toegang tot de HSM vanaf elke locatie die geen privé-eindpuntverbinding gebruikt, geweigerd, inclusief openbare internet- en Azure-services. Gebruik --bypass AzureServices de optie als u Microsoft-services toegang wilt geven tot uw sleutels in uw beheerde HSM. De afzonderlijke entiteiten (zoals een Azure Storage-account of een Azure SQL Server) moeten nog steeds specifieke roltoewijzingen hebben om toegang te krijgen tot een sleutel.

Notitie

Alleen specifieke gebruiksscenario's voor vertrouwde services worden ondersteund. Raadpleeg de lijst met gebruiksscenario's voor vertrouwde services voor meer informatie.

az keyvault update-hsm --hsm-name {HSM NAME} -g {RG} --default-action deny --bypass AzureServices

Een privé-eindpunt maken (automatisch goedkeuren)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/managedHSMs/{HSM NAME}" --group-id managedhsm --connection-name {Private Link Connection Name} --location {AZURE REGION}

Notitie

Als u deze HSM verwijdert, werkt het privé-eindpunt niet meer. Als u deze HSM later herstelt (ongedaan maakt), moet u een nieuw privé-eindpunt maken.

Een privé-eindpunt maken (handmatig goedkeuring aanvragen)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/managedHSMs/{HSM NAME}" --group-id managedhsm --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Private Link-verbindingen beheren

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --hsm-name {HSM NAME} –-name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --hsm-name {HSM NAME} –-name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --hsm-name {HSM NAME} --name {PRIVATE LINK CONNECTION NAME}

Privé-DNS-records toevoegen

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.managedhsm.azure.net" -n {HSM NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.managedhsm.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {HSM NAME}.managedhsm.azure.net
nslookup {HSM NAME}.privatelink.managedhsm.azure.net

---

Controleren of de verbinding van de Private Link werkt

Controleer of de resources in hetzelfde subnet van de privé-eindpuntresource verbinding maken met uw HSM via een privé-IP-adres en dat ze de juiste privé-DNS-zoneintegratie hebben.

Maak eerst een nieuwe virtuele machine door de instructies te volgen in Een virtuele Windows-machine in de Azure Portal maken

In het tabblad “Netwerken”:

1. Specificeer Virtueel netwerk en Subnet. U kunt een nieuw virtueel netwerk maken of een bestaand gebruiken. Als u een bestaand selecteert, moet u ervoor zorgen dat de regio overeenkomt.
2. Specificeer een openbare IP-resource.
3. Selecteer “Geen” in de “NIC-netwerkbeveiligingsgroep”.
4. Selecteer “Nee” in de “Taakverdeling”.

Voer de volgende opdracht uit via de opdrachtregel:

nslookup <your-HSM-name>.managedhsm.azure.net

Als u de opdracht ns lookup uitvoert om het IP-adres van een beheerde HSM via een openbaar eindpunt op te lossen, ziet u een resultaat dat er als volgt uitziet:

c:\ >nslookup <your-hsm-name>.managedhsm.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-hsm-name>.managedhsm.azure.net

Als u de opdracht ns lookup uitvoert om het IP-adres van een beheerde HSM via een privé-eindpunt op te lossen, ziet u een resultaat dat er als volgt uitziet:

c:\ >nslookup your_hsm_name.managedhsm.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-hsm-name>.managed.azure.net
          <your-hsm-name>.privatelink.managedhsm.azure.net

Handleiding voor het oplossen van problemen

• Controleer of het privé-eindpunt is goedgekeurd.

  1. Gebruik az keyvault private-endpoint-connections show de subopdracht om de status van een privé-eindpuntverbinding te bekijken.
  2. Controleer of de verbindingsstatus Goedgekeurd is, en de inrichtingsstatus Geslaagd.
  3. Zorg ervoor dat het virtuele netwerk overeenkomt met het netwerk dat u gebruikt.

• Controleer of u een privé-DNS-zoneresource hebt.

  1. U moet een Privé-DNS Zone-resource hebben met de exacte naam: privatelink.managedhsm.azure.net.
  2. Zie de volgende koppeling voor meer informatie over het instellen hiervan. Privé-DNS-zones

• Controleer of de Privé-DNS-zone is gekoppeld aan het virtuele netwerk. Dit kan het probleem zijn als het openbare IP-adres nog steeds wordt geretourneerd.

  1. Als de PRIVÉzone-DNS niet is gekoppeld aan het virtuele netwerk, retourneert de DNS-query die afkomstig is van het virtuele netwerk het openbare IP-adres van de HSM.
  2. Navigeer naar de privé-DNS-zoneresource in de Azure-portal en klik op de optie Virtuele netwerkkoppelingen.
  3. Het virtuele netwerk dat aanroepen naar de HSM uitvoert, moet worden vermeld.
  4. Als dit niet het geval is, voegt u het netwerk toe.
  5. Zie het volgende document voor gedetailleerde stappen: Het virtuele netwerk koppelen aan de privé-DNS-zone

• Controleer of de Privé-DNS Zone geen A-record voor de HSM mist.

  1. Navigeer naar de pagina Privé-DNS-zone.
  2. Klik op Overzicht en controleer of er een A-record is met de eenvoudige naam van uw HSM. Geef geen achtervoegsel op.
  3. Controleer de spelling en maak of corrigeer de A-record. U kunt een TTL van 3600 (1 uur) gebruiken.
  4. Zorg ervoor dat u het juiste privé-IP-adres opgeeft.

• Controleer of de A-record het juiste IP-adres heeft.

  1. U kunt het IP-adres controleren door de resource van het privé-eindpunt te openen in de Azure-portal.
  2. Navigeer naar de resource Microsoft.Network/privateEndpoints in Azure Portal
  3. Zoek op de overzichtspagina naar Netwerkinterface en klik op die koppeling.
  4. De koppeling toont het overzicht van de NIC-resource, met de eigenschap Privé-IP-adres.
  5. Controleer of dit het juiste IP-adres is dat is opgegeven in de A-record.

Beperkingen en overwegingen bij het ontwerp

Notitie

Het aantal beheerde HSM's waarvoor privé-eindpunten per abonnement zijn ingeschakeld, is een aanpasbare limiet. De limiet die hieronder wordt weergegeven, is de standaardlimiet. Als u een limietverhoging voor uw abonnement wilt aanvragen, maakt u een ondersteuning voor Azure ticket. We zullen deze aanvragen per geval goedkeuren.

Prijzen: Zie prijzen voor Azure Private Link voor meer informatie over prijzen.

Maximum aantal privé-eindpunten per beheerde HSM: 64.

Standaardaantal beheerde HSM's met privé-eindpunten per abonnement: 400.

Zie de Azure Private Link-service voor meer informatie: Beperkingen

Volgende stappen

• Meer informatie over Azure Private Link
• Meer informatie over beheerde HSM