Zelfstudie: HSM's implementeren in een bestaand virtueel netwerk met behulp van Azure CLI

Azure Toegewezen HSM biedt een fysiek apparaat voor gebruik door één klant, met volledige beheer en verantwoordelijkheid voor volledig beheer. Door het gebruik van fysieke apparaten moet de apparaattoewijzing worden beheerd in Microsoft om ervoor te zorgen dat de capaciteit effectief wordt beheerd. Als gevolg hiervan is de toegewezen HSM-service binnen een Azure-abonnement normaal gesproken niet zichtbaar voor het inrichten van resources. Elke Azure-klant die toegang nodig heeft tot de Toegewezen HSM-service, moet eerst contact opnemen met de beheerder van zijn Microsoft-account om registratie aan te vragen voor de Toegewezen HSM-service. Pas wanneer dit proces is voltooid, is inrichting mogelijk.

In deze zelfstudie wordt een typisch inrichtingsproces getoond, waarin:

• Een klant al een virtueel netwerk heeft
• De klant een virtuele machine heeft
• De klant HSM-resources moet toevoegen aan de bestaande omgeving.

Een typische implementatiearchitectuur met hoge beschikbaarheid in meerdere regio's kan er als volgt uitzien:

Deze zelfstudie is gericht op een paar HSM's en de vereiste ExpressRoute-gateway (zie Subnet 1 hierboven) die worden geïntegreerd in een bestaand virtueel netwerk (zie VNET 1 hierboven). Alle andere resources zijn standaard Azure-resources. Hetzelfde integratieproces kan worden gebruikt voor HSM's in subnet 4 op VNET 3 hierboven.

Vereisten

Azure Toegewezen HSM is momenteel niet beschikbaar in de Azure-portal. Alle interactie met de service verloopt via de opdrachtregel of met behulp van PowerShell. In deze zelfstudie wordt gebruikgemaakt van de CLI (opdrachtregelinterface) in Azure Cloud Shell. Als u de Azure CLI nog niet hebt gebruikt, volgt u hier de instructies om aan de slag te gaan: Aan de slag met Azure CLI 2.0.

Veronderstellingen:

• U hebt een toegewezen Microsoft Account Manager en voldoet aan de financiële vereiste van vijf miljoen ($ 5 miljoen) USD of meer aan totale vastgelegde Azure-omzet per jaar om in aanmerking te komen voor onboarding en gebruik van Azure Dedicated HSM.
• U hebt het registratieproces voor Azure Toegewezen HSM uitgevoerd en u mag de service gebruiken. Als dat niet het geval is, neemt u contact op met de vertegenwoordiger van uw Microsoft-account voor meer informatie.
• U hebt een resourcegroep voor deze resources gemaakt en de nieuwe recources die u in deze zelfstudie hebt geïmplementeerd, gaan deel uitmaken van die groep.
• U hebt het benodigde virtuele netwerk, het subnet en de virtuele machines al gemaakt aan de hand van het diagram hierboven en nu wilt u 2 HSM's integreren in deze implementatie.

In alle onderstaande instructies wordt ervan uitgegaan dat u al naar de Azure Portal bent genavigeerd en dat u de Cloud Shell hebt geopend (selecteer '>_' in de rechterbovenhoek van de portal).

Een toegewezen HSM inrichten

Het inrichten van HSM's en het integreren ervan in een bestaand virtueel netwerk via de ExpressRoute-gateway wordt gevalideerd met behulp van SSH. Deze validatie zorgt voor bereikbaarheid en basisbeschikbaarheid van het HSM-apparaat bij verdere configuratieactiviteiten.

Functieregistratie valideren

Zoals hierboven is uitgelegd, vereist elke inrichtingsactiviteit dat de Toegewezen HSM-service voor uw abonnement wordt geregistreerd. Om deze te valideren, voert u de volgende opdracht uit in de Cloud Shell van Azure Portal.

az feature show \
   --namespace Microsoft.HardwareSecurityModules \
   --name AzureDedicatedHSM

De opdrachten moeten de status 'Geregistreerd' retourneren (zoals hieronder wordt weergegeven). Als de opdrachten de status 'Geregistreerd' niet retourneren, moet u zich registreren voor deze service. Neem hiervoor contact op met de vertegenwoordiger van het Microsoft-account.

HSM-resources maken

Voordat u HSM-resources gaat maken, hebt u enkele vereiste resources nodig. U moet een virtueel netwerk hebben met subnetbereiken voor compute, HSM's en gateway. De volgende opdrachten zijn een voorbeeld van hoe een dergelijk virtueel netwerk wordt gemaakt.

az network vnet create \
  --name myHSM-vnet \
  --resource-group myRG \
  --address-prefix 10.2.0.0/16 \
  --subnet-name compute \
  --subnet-prefix 10.2.0.0/24

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name hsmsubnet \
  --address-prefixes 10.2.1.0/24 \
  --delegations Microsoft.HardwareSecurityModules/dedicatedHSMs

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name GatewaySubnet \
  --address-prefixes 10.2.255.0/26

Notitie

De belangrijkste configuratie die u voor het virtuele netwerk moet onthouden, is dat het subnet voor het HSM-apparaat delegaties moet hebben die zijn ingesteld op 'Microsoft.HardwareSecurityModules/dedicatedHSMs'. De HSM-inrichting werkt alleen als deze optie is ingesteld.

Nadat u uw netwerk hebt geconfigureerd, gebruikt u deze Azure CLI-opdrachten om uw HSM's in te richten.

1. Gebruik de opdracht az dedicated-hsm create om de eerste HSM in te richten. De HSM heet hsm1. Vervang uw abonnement:

   az dedicated-hsm create --location westus --name hsm1 --resource-group myRG --network-profile-network-interfaces \
        /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet
   

   Het duurt gewoonlijk maximaal 25 tot 30 minuten totdat deze implementatie is voltooid, waarvan het grootste gedeelte wordt gebruikt voor de HSM-apparaten.

2. Als u een huidige HSM wilt bekijken, voert u de opdracht az dedicated-hsm show uit:

   az dedicated-hsm show --resource group myRG --name hsm1
   

3. Richt de tweede HSM in met behulp van deze opdracht:

   az dedicated-hsm create --location westus --name hsm2 --resource-group myRG --network-profile-network-interfaces \
        /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet
   

4. Voer de opdracht az dedicated-hsm list uit om gegevens van uw huidige HSM's weer te geven:

   az dedicated-hsm list --resource-group myRG
   

Er zijn een aantal andere opdrachten die nuttig kunnen zijn. U kunt de opdracht az dedicated-hsm update gebruiken om een HSM bij te werken:

az dedicated-hsm update --resource-group myRG –-name hsm1

Als u een HSM wilt verwijderen, gebruikt u de opdracht az dedicated-hsm delete:

az dedicated-hsm delete --resource-group myRG –-name hsm1

De implementatie controleren

Voer de volgende opdrachtenset uit om te controleren of de apparaten zijn ingericht en de apparaatkenmerken weer te geven. Controleer of de resourcegroep op de juiste wijze is ingesteld en de resourcenaam overeenkomt met die in het parameterbestand.

subid=$(az account show --query id --output tsv)
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM1
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM2

De uitvoer ziet er ongeveer als volgt uit:

{
    "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSMl",
    "identity": null,
    "kind": null,
    "location": "westus",
    "managedBy": null,
    "name": "HSM1",
    "plan": null,
    "properties": {
        "networkProfile": {
            "networkInterfaces": [
            {
            "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/networkInterfaces/HSMl_HSMnic", "privatelpAddress": "10.0.2.5",
            "resourceGroup": "HSM-RG"
            }
            L
            "subnet": {
                "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/virtualNetworks/demo-vnet/subnets/hsmsubnet", "resourceGroup": "HSM-RG"
            }
        },
        "provisioningState": "Succeeded",
        "stampld": "stampl",
        "statusMessage": "The Dedicated HSM device is provisioned successfully and ready to use."
    },
    "resourceGroup": "HSM-RG",
    "sku": {
        "capacity": null,
        "family": null,
        "model": null,
        "name": "SafeNet Luna Network HSM A790",
        "size": null,
        "tier": null
    },
    "tags": {
        "Environment": "prod",
        "resourceType": "Hsm"
    },
    "type": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}

U kunt nu ook de resources zien met behulp van de Azure-resourceverkenner. In de Explorer vouwt u aan de linkerkant 'Abonnementen' uit. Vouw achtereenvolgens uw specifieke abonnement voor Toegewezen HSM, 'Resourcegroepen' en de gebruikte resourcegroep uit. Selecteer tot slot het item 'Resources'.

De implementatie testen

Om de implementatie te testen, maakt u verbinding met een virtuele machine die toegang heeft tot de HSM('s) en maakt u vervolgens rechtstreeks verbinding met het HSM-apparaat. Deze acties bevestigen dat de HSM bereikbaar is. Het SSH-hulpprogramma wordt gebruikt om verbinding te maken met de virtuele machine. De opdracht is vergelijkbaar met de volgende, maar met de beheerdersnaam en DNS-naam die u hebt opgegeven in de parameter.

ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com

Het IP-adres van de VM kan ook worden gebruikt in plaats van de DNS-naam in de bovenstaande opdracht. Als de opdracht is geslaagd, wordt om een wachtwoord gevraagd en moet u dat invoeren. Zodra u bent aangemeld bij de virtuele machine, kunt u zich aanmelden bij de HSM met behulp van het privé IP-adres dat u kunt vinden in de portal voor de netwerkinterface die is gekoppeld aan de HSM.

Notitie

U ziet nu het selectievakje Verborgen items weergeven. Als dit is ingeschakeld worden HSM-resources weergegeven.

Als u in de bovenstaande schermafbeelding op HSM1_HSMnic of HSM2_HSMnic klikt, wordt het juiste privé IP-adres weergegeven. Anders wordt de opdracht az resource show hierboven gebruikt als een manier om het juiste IP-adres te identificeren.

Als u het juiste IP-adres hebt, voert u de volgende opdracht uit, waarbij u dit adres vervangt:

ssh tenantadmin@10.0.2.4

Als dit lukt, wordt u gevraagd om een wachtwoord. Het standaardwachtwoord is PASSWORD en de HSM vraagt u om het wachtwoord te wijzigen. Stel een sterk wachtwoord in en gebruik het mechanisme waaraan uw organisatie de voorkeur geeft om het wachtwoord op te slaan en verlies te voorkomen.

Belangrijk

Als u dit wachtwoord kwijtraakt, moet de HSM opnieuw worden ingesteld, wat verlies van uw codes betekent.

Wanneer u bent verbonden met de HSM met behulp van ssh, voert u de volgende opdracht uit om ervoor te zorgen dat de HSM operationeel is.

hsm show

De uitvoer ziet eruit zoals weergegeven in de onderstaande afbeelding:

Op dit moment hebt u alle resources toegewezen voor een maximaal beschikbare, twee HSM-implementaties en gevalideerde toegang en operationele status. Voor verdere configuratie of tests is meer werk met het HSM-apparaat zelf vereist. Hiervoor moet u de instructies in de Thales Luna 7 HSM-beheerhandleiding hoofdstuk 7 volgen om de HSM te initialiseren en partities te maken. Alle documentatie en software zijn rechtstreeks beschikbaar bij Thales om te downloaden zodra u bent geregistreerd in de Thales-klantondersteuningsportal en een klant-id hebt. Download versie 7.2 van de clientsoftware om alle vereiste onderdelen op te halen.

Resources verwijderen of opschonen

Als u klaar bent met alleen het HSM-apparaat, kan het worden verwijderd als een resource en worden teruggestuurd naar de gratis pool. Uiteraard moet u zorg dragen voor eventuele vertrouwelijke gegevens van klanten die zich op het apparaat bevinden. De beste manier om een apparaat 'nul te maken' is door het HSM-beheerderswachtwoord drie keer verkeerd te krijgen (opmerking: dit is geen apparaatbeheerder, het is de werkelijke HSM-beheerder). Als veiligheidsmaatregel voor het beveiligen van sleutelmateriaal kan het apparaat niet worden verwijderd als een Azure-resource totdat het de status nul heeft.

Notitie

Als u problemen hebt met de configuratie van een Thales-apparaat, neemt u contact op met Thales-klantondersteuning.

Als u klaar bent met alle resources in deze resourcegroep, kunt u ze allemaal verwijderen met de volgende opdracht:

az group delete \
   --resource-group myRG \
   --name HSMdeploy \
   --verbose

Volgende stappen

Nadat u de stappen in de zelfstudie hebt voltooid, worden Toegewezen HSM-resources ingericht en beschikt u over een virtueel netwerk met de benodigde HSM's en andere netwerkonderdelen om communicatie met de HSM mogelijk te maken. U kunt deze implementatie nu aanvullen met meer resources, zoals vereist door de implementatiearchitectuur van uw voorkeur. Zie de Concepts-documenten voor meer informatie over het plannen van een implementatie. Een ontwerp met twee HSM's in een primaire regio voor beschikbaarheid op rekniveau, en twee HSM's in een secundaire regio voor regionale beschikbaarheid wordt aanbevolen.

• Hoge beschikbaarheid
• Fysieke beveiliging
• Netwerken
• Ondersteuning
• Controle