Quickstart: Een beheerde HSM inrichten en activeren met behulp van de Azure-portal

In deze quickstart maakt en activeert u een Azure Key Vault Beheerde HSM (Hardware Security Module) met behulp van de Azure-portal. Beheerde HSM is een volledig beheerde, maximaal beschikbare cloudservice die compatibel is met één tenant, waarmee u cryptografische sleutels voor uw cloudtoepassingen kunt beveiligen met behulp van met FIPS 140-3 niveau 3 gevalideerde HSM's. Raadpleeg het overzicht voor meer informatie over beheerde HSM.

Prerequisites

Er is een Azure-abonnement vereist. Als u nog geen account hebt, maakt u een gratis account voordat u begint.

Een beheerde HSM maken

Het maken van een beheerde HSM is een proces in twee stappen:

  1. Richt een beheerde HSM-resource in.
  2. Activeer uw beheerde HSM door een artefact te downloaden dat het beveiligingsdomein wordt genoemd.

Een beheerde Hardware Security Module (HSM) configureren

  1. Meld u aan bij het Azure-portaal.

  2. Voer in de zoekbalk Beheerde HSM in en selecteer Beheerde HSM-pools uit de resultaten.

  3. Klik op Creëren.

  4. Geef op het tabblad Basisinformatie de volgende informatie op:

    • Abonnement: selecteer het abonnement dat u wilt gebruiken.

    • Resourcegroep: Selecteer Maak nieuw en voer myResourceGroup in.

    • Beheerde HSM-naam: Voer een naam in voor uw beheerde HSM.

      Important

      Elke beheerde HSM moet een unieke naam hebben.

    • Regio: Selecteer VS - oost (of uw voorkeursregio).

    • Initial administrator(s): zoek en selecteer de Microsoft Entra gebruikers of groepen die als eerste beheerders moeten worden aangewezen.

    Schermopname van het tabblad 'Basisbeginselen' van de Beheerde HSM in Azure Key Vault in de Azure-portal.

  5. Pas indien nodig de instellingen aan op de tabbladen Geavanceerd, Netwerken en Tags .

  6. Selecteer Beoordelen + creëren en selecteer daarna Creëren.

    Het duurt enkele minuten om de implementatie te voltooien. Wanneer de resource is voltooid, gaat u naar de resource om de overzichtspagina te zien.

    Schermopname van de beheerde HSM-overzichtspagina in de Azure portal.

Note

Het inrichtingsproces kan enkele minuten duren. Wanneer deze is voltooid, bent u klaar om uw HSM te activeren.

Waarschuwing

Beheerde HSM-exemplaren zijn altijd in gebruik. Als u beveiliging tegen opschonen inschakelt met behulp van de --enable-purge-protection vlag, betaalt u voor de volledige bewaarperiode.

Uw beheerde HSM activeren

Alle gegevensvlakopdrachten zijn uitgeschakeld totdat u de HSM activeert. U kunt geen sleutels maken of rollen toewijzen. Alleen de aangewezen beheerders die u tijdens de opdracht maken toewijst, kunnen de HSM activeren. Als u de HSM wilt activeren, moet u het beveiligingsdomein downloaden.

Als u uw HSM wilt activeren, hebt u het volgende nodig:

  • Minimaal drie RSA-sleutelparen (maximaal 10)
  • Het minimale aantal sleutels dat is vereist voor het ontsleutelen van het beveiligingsdomein (een quorum genoemd)

U verzendt ten minste drie (maximaal 10) openbare RSA-sleutels naar de HSM. De HSM versleutelt het beveiligingsdomein met deze sleutels en stuurt het terug. Zodra het downloaden van het beveiligingsdomein is voltooid, kunt u uw HSM gebruiken. U moet ook het quorum opgeven. Dit is het minimale aantal persoonlijke sleutels dat nodig is om het beveiligingsdomein te ontsleutelen.

In het volgende voorbeeld ziet u hoe openssl u drie zelfondertekende certificaten genereert:

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

De vervaldatum van het certificaat heeft geen invloed op bewerkingen van het beveiligingsdomein. Zelfs een verlopen certificaat kan nog steeds worden gebruikt om het beveiligingsdomein te herstellen.

Important

Deze persoonlijke RSA-sleutels vormen de basis van vertrouwen voor uw beheerde HSM. Genereer deze sleutels voor productieomgevingen door gebruik te maken van een air-gapped systeem of een on-premises HSM, en sla deze veilig op. Zie aanbevolen procedures voor beveiligingsdomeinen voor gedetailleerde richtlijnen.

  1. Navigeer in de Azure-portal naar uw beheerde HSM-resource.

  2. Selecteer in het linkermenu onder Instellingen het domein Beveiliging.

  3. Volg de portalprompts om uw openbare RSA-sleutelcertificaten (minimaal drie) te uploaden en de quorumwaarde in te stellen.

  4. Download het versleutelde beveiligingsdomeinbestand.

Important

Sla het beveiligingsdomeinbestand en de persoonlijke RSA-sleutels op een veilige, afzonderlijke locatie op. U hebt ze nodig om de beheerde HSM te herstellen in een noodherstelscenario. Verlies van het beveiligingsdomein kan leiden tot permanent verlies van toegang.

Sla het beveiligingsdomeinbestand en de RSA-sleutelparen veilig op. U hebt ze nodig voor herstel na noodgevallen of voor het maken van een andere beheerde HSM die hetzelfde beveiligingsdomein deelt, zodat de twee sleutels kunnen delen.

Nadat het beveiligingsdomein is gedownload, heeft uw HSM een actieve status en kunt u deze gebruiken.

De hulpbronnen opschonen

Wanneer u deze niet meer nodig hebt, kunt u de resourcegroep verwijderen, waardoor de beheerde HSM en alle gerelateerde resources worden verwijderd:

  1. Zoek in de Azure Portal naar Resource-groepen en selecteer deze.
  2. Selecteer de resourcegroep (bijvoorbeeld myResourceGroup).
  3. Selecteer Resourcegroep verwijderen.
  4. Voer de naam van de resourcegroep in en selecteer Verwijderen.

Waarschuwing

Door het verwijderen van de resourcegroep wordt de beheerde HSM in een tijdelijke verwijderingsstatus geplaatst. De beheerde HSM wordt nog steeds gefactureerd totdat het wordt verwijderd. Zie Voorlopige verwijdering van HSM en beveiliging tegen opschonen

Volgende stappen 

In deze quickstart hebt u een beheerde HSM ingericht en geactiveerd. Voor meer informatie over beheerde HSM en hoe u deze integreert met uw toepassingen, gaat u verder met deze artikelen.

  • Last updated on