Criar um HSM de Pagamento com host e porta de gerenciamento em redes virtuais diferentes usando a CLI ou o PowerShell
O HSM de Pagamento do Azure é um serviço "BareMetal" fornecido usando HSMs (módulos de segurança de hardware) de pagamento do Thales PayShield 10K para oferecer operações de chave de criptografia a transações de pagamento críticas e em tempo real na nuvem do Azure. O HSM de Pagamento do Azure foi projetado especificamente para ajudar um provedor de serviços e uma instituição financeira individual a acelerar a estratégia de transformação digital do sistema de pagamento e adotar a nuvem pública. Para saber mais, confira HSM de Pagamento do Azure: visão geral.
Este tutorial descreve como criar um HSM de pagamento com o host e a porta de gerenciamento em diferentes redes virtuais, usando a CLI do Azure ou o Azure PowerShell. Em vez disso, você pode:
- Criar um HSM de pagamento com o host e a porta de gerenciamento na mesma rede virtual usando a CLI do Azure ou o PowerShell
- Criar um HSM de pagamento com o host e a porta de gerenciamento na mesma rede virtual usando um modelo do ARM
- Criar um HSM de Pagamento com host e porta de gerenciamento em redes virtuais diferentes usando um template do ARM
- Criar um recurso HSM com host e porta de gerenciamento com endereços IP em redes virtuais diferentes usando o modelo do ARM
Um Modelo do Azure Resource Manager é um arquivo JSON (JavaScript Object Notation) que define a infraestrutura e a configuração do seu projeto. O modelo usa a sintaxe declarativa. Você descreve a implantação pretendida sem escrever a sequência de comandos de programação para criar a implantação.
Pré-requisitos
Importante
O HSM de Pagamento do Azure é um serviço especializado. Para se qualificarem para a integração e o uso do HSM de Pagamento do Azure, os clientes precisam ter um Gerente de Contas Microsoft atribuído e um CSA (Arquiteto de Serviços de Nuvem).
Para saber mais sobre o serviço, inicie o processo de qualificação, prepare os pré-requisitos antes da integração e peça ao gerente de contas da Microsoft e à CSA para enviar uma solicitação por email.
Você precisa registrar os provedores de recursos "Microsoft.HardwareSecurityModules" e "Microsoft.Network", bem como os recursos do HSM de Pagamento do Azure. As etapas para fazer isso estão em Registrar o provedor de recursos do HSM de Pagamento do Azure e as funcionalidades do provedor de recursos.
Para verificar rapidamente se os provedores de recursos e os recursos já estão registrados, use o comando az provider show da CLI do Azure. (A saída desse comando ficará mais legível ao ser exibido em formato de tabela.)
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o tableContinue com este guia de início rápido se os quatro comandos retornarem "Registrado".
Você precisa ter uma assinatura do Azure. Você pode criar uma conta gratuita se não tiver uma.
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.
Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.
Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.
Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.
Criar um grupo de recursos
Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Use o comando az group create para criar um grupo de recursos chamado myResourceGroup na localização eastus.
az group create --name "myResourceGroup" --location "EastUS"
Criar redes virtuais e sub-redes
Antes de criar um HSM de pagamento, primeiro você deve criar uma rede virtual/sub-rede para o host e uma rede virtual/sub-rede diferente para a porta de gerenciamento.
Primeiro, use o comando az network vnet create da CLI do Azure para criar a rede virtual para o host:
az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"
Posteriormente, use o comando az network vnet subnet update da CLI do Azure para atualizar a sub-rede e fornecer a ela a delegação "Microsoft.HardwareSecurityModules/dedicatedHSMs":
az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Para verificar se a VNet e a sub-rede foram criadas corretamente, use o comando az network vnet subnet show da CLI do Azure:
az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet
Anote a ID da sub-rede do host, que é usada ao criar o HSM de pagamento. A ID da sub-rede termina com o nome da sub-rede:
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",
Agora, crie outra rede virtual e uma sub-rede para a porta de gerenciamento:
az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"
Novamente, use o comando az network vnet subnet update da CLI do Azure para atualizar a sub-rede e fornecer a ela a delegação "Microsoft.HardwareSecurityModules/dedicatedHSMs":
az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Para verificar se o gerenciamento da VNet e a sub-rede foram criados corretamente, use o comando az network vnet subnet show da CLI do Azure:
az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"
Você também precisa da ID de sub-rede do gerenciamento ao criar o HSM de pagamento.
Criar um HSM de pagamento
Criar com hosts dinâmicos
Para criar um HSM de pagamento com hosts dinâmicos, use o comando az dedicated-hsm create. O seguinte exemplo provisiona um HSM de pagamento chamado myPaymentHSM na região eastus, no grupo de recursos myResourceGroup e na assinatura, na rede virtual e na sub-rede especificadas:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<host-subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--mgmt-network-subnet id="<management-subnet-id>"
Para ver os adaptadores de rede recém-criados, use o comando az network nic list, fornecendo o grupo de recursos:
az network nic list -g myResourceGroup -o table
Na saída, o host 1 e o host 2 são listados, bem como uma interface de gerenciamento:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Para ver os adaptadores de rede recém-criados, use o comando az network nic show, fornecendo o grupo de recursos e o nome do adaptador de rede:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
A saída contém esta linha:
"privateIPAllocationMethod": "Dynamic",
Criar com hosts estáticos
Para criar um HSM de pagamento com hosts estáticos, use o comando az dedicated-hsm create. O seguinte exemplo provisiona um HSM de pagamento chamado myPaymentHSM na região eastus, no grupo de recursos myResourceGroup e na assinatura, na rede virtual e na sub-rede especificadas:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--mgmt-network-subnet id="<management-subnet-id>"
--network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")
Se você também quiser especificar um IP estático para o host de gerenciamento, poderá adicionar:
--mgmt-network-interfaces private-ip-address="10.0.0.7"
Para ver os adaptadores de rede recém-criados, use o comando az network nic list, fornecendo o grupo de recursos:
az network nic list -g myResourceGroup -o table
Na saída, o host 1 e o host 2 são listados, bem como a interface de gerenciamento:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Para exibir as propriedades de um adaptador de rede, use o comando az network nic show, fornecendo o grupo de recursos e o nome do adaptador de rede:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
A saída contém esta linha:
"privateIPAllocationMethod": "Static",
Próximas etapas
Vá para o próximo artigo para saber como visualizar seu HSM de pagamento.
Informações adicionais:
- Leia uma Visão geral do HSM de Pagamento
- Saiba como começar a usar o HSM de Pagamento do Azure
- Veja alguns cenários comuns de implantação
- Saiba mais sobre Certificação e conformidade
- Leia as perguntas frequentes