Rozwiązywanie problemów z dedykowaną usługą HSM platformy Azure
Usługa Dedykowanego modułu HSM platformy Azure ma dwa odrębne aspekty. Po pierwsze rejestracja i wdrożenie na platformie Azure urządzeń HSM z ich podstawowymi składnikami sieciowymi. Po drugie, konfiguracja urządzeń HSM w ramach przygotowania do użycia/integracji z danym obciążeniem lub aplikacją. Chociaż urządzenia HSM firmy Thales Luna 7 są takie same na platformie Azure, jak kupowane bezpośrednio od firmy Thales, fakt, że są one zasobem na platformie Azure, tworzy kilka unikatowych zagadnień. Te zagadnienia i wszelkie wynikające z tego szczegółowe informacje dotyczące rozwiązywania problemów lub najlepsze rozwiązania zostały udokumentowane tutaj, aby zapewnić wysoką widoczność i dostęp do kluczowych informacji. Gdy usługa jest używana, ostateczne informacje są dostępne bezpośrednio za pośrednictwem żądań pomocy technicznej do firmy Microsoft lub firmy Thales.
Uwaga
Należy zauważyć, że przed wykonaniem dowolnej konfiguracji na nowo wdrożonym urządzeniu HSM należy zaktualizować je przy użyciu odpowiednich poprawek. Konkretna wymagana poprawka jest KB0019789 w portalu pomocy technicznej firmy Thales, który rozwiązuje problem polegający na tym, że system przestaje odpowiadać podczas ponownego uruchamiania.
Rejestracja modułu HSM
Dedykowany moduł HSM nie jest bezpłatnie dostępny do użycia, ponieważ dostarcza zasoby sprzętowe w chmurze i dlatego jest cennym zasobem, który wymaga ochrony. W związku z tym używamy procesu z listą dozwolonych za pośrednictwem poczty e-mail przy użyciu polecenia HSMrequest@microsoft.com.
Uzyskiwanie dostępu do dedykowanego modułu HSM
Najpierw zadaj sobie pytanie, jakich przypadków użycia nie można rozwiązać za pomocą usługi Azure Key Vault ani zarządzanego modułu HSM platformy Azure. Jeśli uważasz, że tylko dedykowany moduł HSM będzie pasował do wymagań magazynu kluczy, wyślij wiadomość e-mail na adres e-mail HSMrequest@microsoft.com , aby poprosić o dostęp. Przedstawienie aplikacji i przypadków użycia, regionów, w których chcesz używać modułów HSM i ilości modułów HSM, których szukasz. Jeśli pracujesz z przedstawicielem firmy Microsoft, takim jak dyrektor ds. kont lub architekt rozwiązań w chmurze, dołącz je do dowolnego żądania.
Aprowizowanie modułu HSM
Aprowizowanie urządzenia HSM na platformie Azure można wykonać za pomocą interfejsu wiersza polecenia lub programu PowerShell. Podczas rejestrowania się w usłudze zostanie udostępniony przykładowy szablon usługi ARM, a pomoc zostanie udzielona na potrzeby dostosowywania początkowego.
Informacje o niepowodzeniu wdrażania modułu HSM
Dedykowany moduł HSM obsługuje interfejs wiersza polecenia i program PowerShell na potrzeby wdrażania, więc informacje o błędach oparte na portalu są ograniczone i nie są pełne. Lepsze informacje można znaleźć za pomocą Eksploratora zasobów. Strona główna portalu ma ikonę tej i bardziej szczegółowe informacje o błędzie są dostępne. Te informacje są bardzo pomocne w przypadku wklejeń podczas tworzenia wniosku o pomoc techniczną związanego z problemami z wdrożeniem.
Delegowanie podsieci modułu HSM
Jedną z przyczyn niepowodzeń wdrażania jest zapominanie o ustawieniu odpowiedniego delegowania dla podsieci zdefiniowanej przez klienta, w której zostaną aprowidowane moduły HSM. Ustawienie, że delegowanie jest częścią wymagań wstępnych sieci wirtualnej i podsieci dla wdrożenia, a więcej szczegółów można znaleźć w samouczkach.
Warunek wyścigu wdrożenia modułu HSM
Standardowy szablon usługi ARM przeznaczony do wdrożenia zawiera zasoby związane z modułem HSM i bramą usługi ExpressRoute . Zasoby sieciowe są zależnością pomyślnego wdrożenia modułu HSM, a czas może być kluczowy. Czasami wystąpiły błędy wdrażania związane z problemami z zależnościami i ponowne uruchamianie wdrożenia często rozwiązuje ten problem. Jeśli nie, usuwanie zasobów, a następnie ponowne wdrażanie jest często pomyślne. Po podjęciu tej próby i znalezieniu problemu zgłoś wniosek o pomoc techniczną w Azure Portal wybierając typ problemu "Problemy z konfigurowaniem konfiguracji platformy Azure".
Wdrażanie modułu HSM przy użyciu programu Terraform
Kilku klientów używa programu Terraform jako środowiska automatyzacji zamiast szablonów usługi ARM, jak podano podczas rejestrowania się w tej usłudze. Nie można wdrożyć modułów HSM w ten sposób, ale zależne zasoby sieciowe mogą. Narzędzie Terraform ma moduł do wywołania minimalnego szablonu usługi ARM, który ma tylko wdrożenie modułu HSM. W takiej sytuacji należy zadbać o to, aby zasoby sieciowe, takie jak wymagana brama usługi ExpressRoute , zostały w pełni wdrożone przed wdrożeniem modułów HSM. Następujące polecenie interfejsu wiersza polecenia może służyć do testowania ukończonego wdrożenia i zintegrowanego zgodnie z potrzebami. Zastąp uchwyty zastępcze nawiasów kątowych dla określonego nazewnictwa. Należy wyszukać wynik "provisioningState is Succeeded" (Stan aprowizacji to Powodzenie)
az resource show --ids /subscriptions/<subid>/resourceGroups/<myresourcegroup>/providers/Microsoft.Network/virtualNetworkGateways/<myergateway>
Niepowodzenie wdrażania na podstawie limitu przydziału
Wdrożenia mogą zakończyć się niepowodzeniem, jeśli przekroczono 2 moduły HSM na sygnaturę i 4 moduły HSM na region. Aby uniknąć tej sytuacji, przed ponownym wdrożeniem upewnij się, że usunięto zasoby z wdrożeń, które wcześniej zakończyły się niepowodzeniem. Zapoznaj się z poniższym elementem "Jak mogę zobacz moduły HSM", aby sprawdzić zasoby. Jeśli uważasz, że musisz przekroczyć ten limit przydziału, co jest stosowane głównie jako zabezpieczenie, wyślij wiadomość e-mail ze szczegółowymi HSMrequest@microsoft.com informacjami.
Niepowodzenie wdrażania na podstawie pojemności
Gdy określoną sygnaturę lub region staje się pełny, oznacza to, że prawie wszystkie bezpłatne moduły HSM są aprowidowane, może to prowadzić do niepowodzeń wdrażania. Każda sygnatura ma 12 modułów HSM dostępnych dla klientów, co oznacza 24 na region. W każdej sygnaturze znajduje się również 2 dyski zapasowe i 1 urządzenie testowe. Jeśli uważasz, że możesz osiągnąć limit, wyślij wiadomość e-mail HSMrequest@microsoft.com , aby uzyskać informacje na temat poziomu wypełnienia określonych sygnatur.
Jak mogę zobaczyć moduły HSM po aprowizacji?
Ze względu na to, że dedykowany moduł HSM jest usługą na liście dozwolonych, jest uważany za "Typ ukryty" w Azure Portal. Aby wyświetlić zasoby modułu HSM, należy zaznaczyć pole wyboru "Pokaż ukryte typy", jak pokazano poniżej. Zasób karty sieciowej zawsze jest zgodny z modułem HSM i jest dobrym miejscem do znalezienia adresu IP modułu HSM przed użyciem protokołu SSH do nawiązania połączenia.
Zasoby sieciowe
Wdrożenie dedykowanego modułu HSM ma zależność od zasobów sieciowych i pewne ograniczenia, o których należy pamiętać.
Aprowizowanie usługi ExpressRoute
Dedykowany moduł HSM używa bramy usługi ExpressRoute jako "tunelu" do komunikacji między prywatną przestrzenią adresów IP klienta a fizycznym modułem HSM w centrum danych platformy Azure. Biorąc pod uwagę ograniczenie jednej bramy na sieć wirtualną, klienci wymagający połączenia z zasobami lokalnymi za pośrednictwem usługi ExpressRoute będą musieli użyć innej sieci wirtualnej dla tego połączenia.
Prywatny adres IP modułu HSM
Przykładowe szablony udostępnione dla dedykowanego modułu HSM zakładają, że adres IP modułu HSM zostanie automatycznie pobrany z danego zakresu podsieci. Jawny adres IP modułu HSM można określić za pomocą atrybutu "NetworkInterfaces" w szablonie usługi ARM.
Inicjalizacja urządzenia HSM
Inicjowanie przygotowuje nowy moduł HSM do użycia lub istniejący moduł HSM do ponownego użycia. Inicjowanie modułu HSM musi zostać ukończone przed wygenerowaniem lub zapisaniem obiektów, zezwoleniem klientom na nawiązywanie połączenia lub wykonywanie operacji kryptograficznych.
Utracone poświadczenia
Utrata hasła administratora powłoki spowoduje utratę materiału klucza modułu HSM. Należy wysłać wniosek o pomoc techniczną w celu zresetowania modułu HSM. Podczas inicjowania modułu HSM bezpiecznie przechowuj poświadczenia. Poświadczenia powłoki i modułu HSM powinny być przechowywane zgodnie z zasadami firmy.
Nieudane logowania
Podanie nieprawidłowych poświadczeń do modułów HSM może mieć destrukcyjne konsekwencje. Poniżej przedstawiono domyślne zachowania ról modułu HSM.
| Rola | Próg (liczba prób) | Wynik zbyt wielu nieudanych prób logowania | Odzyskiwania |
|---|---|---|---|
| HSM SO | 3 | Moduł HSM jest zerowany (wszystkie tożsamości obiektów HSM i wszystkie partycje zniknęły) | Moduł HSM musi zostać ponownie zainicjowany. Zawartość można przywrócić z kopii zapasowych. |
| Partycjonowanie SO | 10 | Partycja jest zerowana. | Partycja musi zostać ponownie zainicjowana. Zawartość można przywrócić z kopii zapasowej. |
| Inspekcja | 10 | Blokady | Odblokowywane automatycznie po 10 minutach. |
| Crypto Officer | 10 (można zmniejszyć) | Jeśli zasady HSM 15: Włącz resetowanie numeru PIN partycji jest ustawione na 1 (włączone), role CO i CU są zablokowane. Jeśli zasady HSM 15: Włącz resetowanie numeru PIN partycji jest ustawione na 0 (wyłączone), role CO i CU są trwale zablokowane, a zawartość partycji nie jest już dostępna. Jest to ustawienie domyślne. |
Rola WSPÓŁ musi zostać odblokowana i zresetować poświadczenia przez partycję SO przy użyciu polecenia role resetpw -name co.Partycja musi zostać ponownie zainicjowana i materiał klucza przywrócony z urządzenia kopii zapasowej. |
Konfiguracja modułu HSM
Poniżej przedstawiono sytuacje, w których błędy konfiguracji są typowe lub mają wpływ, który warto wywoływał:
Dokumentacja i oprogramowanie modułu HSM
Oprogramowanie i dokumentacja urządzeń HSM Firmy Thales Luna 7 nie są dostępne od firmy Microsoft i muszą zostać pobrane bezpośrednio z firmy Thales. Rejestracja jest wymagana przy użyciu identyfikatora klienta firmy Thales otrzymanego podczas procesu rejestracji. Urządzenia udostępniane przez firmę Microsoft mają oprogramowanie w wersji 7.2 i oprogramowanie układowe w wersji 7.0.3. Na początku 2020 r. firma Thales upubliczniła dokumentację i można ją znaleźć tutaj.
Konfiguracja sieci modułu HSM
Podczas konfigurowania sieci w ramach modułu HSM należy zachować ostrożność. Moduł HSM ma połączenie za pośrednictwem bramy usługi ExpressRoute z prywatnej przestrzeni adresów IP klienta bezpośrednio do modułu HSM. Ten kanał komunikacyjny jest przeznaczony tylko do komunikacji z klientami, a firma Microsoft nie ma dostępu. Jeśli moduł HSM jest skonfigurowany w taki sposób, że ma to wpływ na tę ścieżkę sieciową, oznacza to, że cała komunikacja z modułem HSM zostanie usunięta. W takiej sytuacji jedyną opcją jest zgłoszenie wniosku o pomoc techniczną firmy Microsoft za pośrednictwem Azure Portal zresetowania urządzenia. Ta procedura resetowania ustawia moduł HSM z powrotem do stanu początkowego, a cała konfiguracja i materiał klucza zostaną utracone. Konfiguracja musi zostać utworzona ponownie, a gdy urządzenie dołączy do grupy wysokiej dostępności, otrzyma zreplikowany materiał klucza.
Ponowne uruchamianie urządzenia HSM
Niektóre zmiany konfiguracji wymagają cyklu zasilania lub ponownego uruchomienia modułu HSM. Testowanie modułu HSM na platformie Azure przez firmę Microsoft ustaliło, że w niektórych przypadkach ponowne uruchomienie może przestać odpowiadać. Implikacja polega na tym, że żądanie pomocy technicznej musi zostać utworzone w Azure Portal żądania twardego ponownego rozruchu i ukończenie tego procesu może potrwać do 48 godzin, biorąc pod uwagę, że jest to proces ręczny w centrum danych platformy Azure. Aby uniknąć tej sytuacji, upewnij się, że zainstalowano poprawkę ponownego uruchamiania dostępną bezpośrednio od firmy Thales. Aby pobrać zalecaną poprawkę, zapoznaj się z KB0019789 w witrynie Thales Luna 7 HSM 7.2 w celu uzyskania zalecanej poprawki w przypadku problemu, w którym system przestaje odpowiadać podczas ponownego uruchamiania (Uwaga: należy zarejestrować się w portalu pomocy technicznej klienta firmy Thales , aby pobrać).
Certyfikaty NTLS nie są zsynchronizowane
Klient może utracić łączność z modułem HSM po wygaśnięciu lub zastąpieniu certyfikatu za pośrednictwem aktualizacji konfiguracji. Konfigurację klienta wymiany certyfikatów należy ponownie zastosować przy użyciu każdego modułu HSM. Przykład rejestrowania NTLS z nieprawidłowym certyfikatem:
NTLS[8508]: informacje: 0: Przychodzące żądanie połączenia... : 192.168.50.2/59415 NTLS[8508]: Komunikat o błędzie z protokołu SSLAccept: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert nieznany ca NTLS[18508]: Błąd podczas akceptowania protokołu SSL (RC_SSL_ERROR ) NTLS[8508]: informacje: 0xc0000711 : Nie można ustanowić bezpiecznego kanału z klientem : 192.168.50.2/59415: RC_SSL_FAILED_HANDSHAKE NTLS[8508]: info: 0 : Wystąpienie połączenia klienta NTLS "Nieznana nazwa hosta" zostało usunięte: 192.168.50.2/59415
Komunikacja TCP nie powiodła się
Komunikacja z instalacji klienta Luna do modułu HSM wymaga co najmniej portu TCP 1792. Należy to wziąć pod uwagę, ponieważ wszystkie konfiguracje sieci są zmieniane w środowisku.
Nie można odzyskać elementu członkowskiego grupy wysokiej dostępności
Jeśli nie można odzyskać elementu członkowskiego grupy wysokiej dostępności, należy go ręcznie odzyskać od klienta Luna przy użyciu polecenia hagroup odzyskać. Aby włączyć automatyczne odzyskiwanie, należy skonfigurować liczbę ponownych prób dla grupy wysokiej dostępności. Domyślnie grupa wysokiej dostępności nie podejmie próby odzyskania członka wysokiej dostępności do grupy po jej odzyskaniu.
Grupa wysokiej dostępności nie synchronizuje
W przypadku, gdy partycje członkowskie nie mają tej samej domeny klonowania, polecenie synchronizacji ha wyświetli następujące polecenie: Ostrzeżenie: Synchronizacja może zakończyć się niepowodzeniem. Elementy członkowskie w miejscu 0 i 1 mają ustawienia powodujące konflikt klonowania kluczy prywatnych. Do grupy wysokiej dostępności należy dodać nową partycję z poprawną domeną klonowania, a następnie usunąć niepoprawnie skonfigurowaną partycję.
Anulowanie aprowizacji modułu HSM
Dopiero po zakończeniu pracy z modułem HSM można anulować aprowizowanie, a następnie firma Microsoft zresetuje ją i zwróci ją do bezpłatnej puli.
Jak usunąć zasób modułu HSM
NIE USUWAJ bezpośrednio grupy zasobów dedykowanego modułu HSM. Nie spowoduje to usunięcia zasobu modułu HSM. Opłaty będą nadal naliczane, ponieważ umieszcza ono moduł HSM w stanie oddzielonym. Jeśli nie wykonano poprawnych procedur i w końcu w tej sytuacji, skontaktuj się z pomoc techniczna firmy Microsoft.
Krok 1: Zeruj moduł HSM. Nie można usunąć zasobu platformy Azure dla modułu HSM, chyba że moduł HSM jest w stanie "zeroized". W związku z tym wszystkie materiały klucza muszą zostać usunięte przed próbą usunięcia go jako zasobu. Najszybszym sposobem zerowania jest nieprawidłowe hasło administratora modułu HSM 3 razy (uwaga: dotyczy to administratora modułu HSM, a nie administratora na poziomie urządzenia). Użyj polecenia "hsm login" i wprowadź nieprawidłowe hasło trzy razy. Powłoka Luna ma polecenie hsm -factoryreset, które zeroizuje moduł HSM, ale można go wykonać tylko za pośrednictwem konsoli na porcie szeregowym, a klienci nie mają do tego dostępu.
Krok 2. Gdy moduł HSM zostanie zerowany, możesz użyć jednego z następujących poleceń, aby zainicjować zasób Delete Dedicated HSM (Usuwanie dedykowanego modułu HSM)
Interfejs wiersza polecenia platformy Azure: az dedicated-hsm delete --resource-group <RG name> –-name <nazwa modułu HSM>
Azure PowerShell: Remove-AzDedicatedHsm -Name <Nazwa> modułu HSM — nazwa grupy zasobów <RG>
Krok 3. Po pomyślnym wykonaniu kroku 2 możesz usunąć grupę zasobów, aby usunąć inne zasoby skojarzone z dedykowanym modułem HSM przy użyciu interfejsu wiersza polecenia platformy Azure lub Azure PowerShell.
Interfejs wiersza polecenia platformy Azure: az group delete --name RG name <>
Azure PowerShell: Remove-AzResourceGroup -Name <Nazwa grupy zasobów>
Następne kroki
Ten artykuł zawiera szczegółowe informacje na temat obszarów w całym cyklu życia wdrażania modułu HSM, które mogą mieć problemy lub wymagają rozwiązywania problemów lub starannego rozważenia. Mam nadzieję, że ten artykuł pomaga uniknąć niepotrzebnych opóźnień i frustracji, a jeśli masz odpowiednie dodatki lub zmiany, zgłoś wniosek o pomoc techniczną z firmą Microsoft i daj nam znać.