Aracılığıyla paylaş

Öğretici: Azure CLI kullanarak HSM'leri mevcut bir sanal ağa dağıtma

  • Makale

Azure Ayrılmış HSM, tam yönetim denetimi ve tam yönetim sorumluluğu ile tek müşteri kullanımı için fiziksel bir cihaz sağlar. Fiziksel cihazların kullanılması, kapasitenin etkili bir şekilde yönetildiğinden emin olmak için Microsoft'un cihaz ayırmayı denetleme gereksinimini oluşturur. Sonuç olarak, Azure aboneliğinde Ayrılmış HSM hizmeti normalde kaynak sağlama için görünür olmaz. Ayrılmış HSM hizmetine erişim gerektiren tüm Azure müşterileri, Ayrılmış HSM hizmetine kayıt isteğinde bulunmak için önce Microsoft hesabı yöneticisine başvurmalıdır. Yalnızca bu işlem başarıyla tamamlandıktan sonra sağlama mümkün olacaktır.

Bu öğreticide aşağıdaki durumlarda tipik bir sağlama işlemi gösterilir:

  • Müşterinin zaten bir sanal ağı var
  • Sanal makineleri var
  • Mevcut ortama HSM kaynakları eklemeleri gerekir.

Tipik, yüksek kullanılabilirlik, çok bölgeli dağıtım mimarisi aşağıdaki gibi görünebilir:

çok bölgeli dağıtım

Bu öğreticide, bir çift HSM ve gerekli ExpressRoute ağ geçidinin (yukarıdaki alt ağa bakın) mevcut bir sanal ağ ile tümleştirilmesine (yukarıdaki VNET 1'e bakın) odaklanılır. Diğer tüm kaynaklar standart Azure kaynaklarıdır. Aynı tümleştirme işlemi, yukarıdaki VNET 3'teki alt ağ 4'teki HSM'ler için de kullanılabilir.

Önkoşullar

Azure Ayrılmış HSM şu anda Azure portalında kullanılamıyor. Hizmetle tüm etkileşimler komut satırı aracılığıyla veya PowerShell kullanılarak gerçekleştirilir. Bu öğreticide Azure Cloud Shell'de komut satırı (CLI) arabirimi kullanılır. Azure CLI'yı kullanmaya yeni başladıysanız buradaki başlangıç yönergelerini izleyin: Azure CLI 2.0 Kullanmaya Başlama.

Varsayımlar:

  • Microsoft Hesap Yöneticisi'ni atadıktan sonra Azure Ayrılmış HSM'yi ekleme ve kullanma için yıllık olarak taahhüt edilen toplam Azure gelirinde beş milyon ABD doları (5 MILYON ABD doları) veya daha büyük parasal gereksinimi karşıladiniz.
  • Azure Ayrılmış HSM kayıt işleminin üzerinden geçtiniz ve hizmetin kullanımı için onay aldınız. Aksi takdirde, ayrıntılar için Microsoft hesabı temsilcinize başvurun.
  • Bu kaynaklar için bir Kaynak Grubu oluşturdunuz ve bu öğreticide dağıtılan yeniler bu gruba katılır.
  • Yukarıdaki diyagrama göre gerekli sanal ağı, alt ağı ve sanal makineleri zaten oluşturdunuz ve şimdi 2 HSM'yi bu dağıtımla tümleştirmek istiyorsunuz.

Aşağıdaki tüm yönergelerde Azure portalına zaten gidip Cloud Shell'i açtığınız varsayılır (portalın sağ üst kısmındaki ">_" öğesini seçin).

Ayrılmış HSM sağlama

HSM'lerin sağlanması ve ExpressRoute ağ geçidi aracılığıyla mevcut bir sanal ağ ile tümleştirilmesi ssh kullanılarak doğrulanır. Bu doğrulama, diğer yapılandırma etkinlikleri için HSM cihazının erişilebilirliğini ve temel kullanılabilirliğini sağlamaya yardımcı olur.

Özellik Kaydını Doğrulama

Yukarıda belirtildiği gibi, herhangi bir sağlama etkinliği, Ayrılmış HSM hizmetinin aboneliğiniz için kaydedilmesini gerektirir. Bunu doğrulamak için Azure portalı Cloud Shell'de aşağıdaki komutları çalıştırın.

az feature show \
   --namespace Microsoft.HardwareSecurityModules \
   --name AzureDedicatedHSM

Komutlar "Kayıtlı" durumunu döndürmelidir (aşağıda gösterildiği gibi). Komutlar "Kayıtlı" değerini döndürmezse Microsoft hesabı temsilcinizle iletişime geçerek bu hizmete kaydolmanız gerekir.

abonelik durumu

HSM kaynakları oluşturma

HSM kaynaklarını oluşturmadan önce ihtiyacınız olan bazı önkoşul kaynakları vardır. İşlem, HSM'ler ve ağ geçidi için alt ağ aralıklarına sahip bir sanal ağınız olmalıdır. Aşağıdaki komutlar, böyle bir sanal ağı neyin oluşturacağını gösteren bir örnek olarak görev yapar.

az network vnet create \
  --name myHSM-vnet \
  --resource-group myRG \
  --address-prefix 10.2.0.0/16 \
  --subnet-name compute \
  --subnet-prefix 10.2.0.0/24

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name hsmsubnet \
  --address-prefixes 10.2.1.0/24 \
  --delegations Microsoft.HardwareSecurityModules/dedicatedHSMs

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name GatewaySubnet \
  --address-prefixes 10.2.255.0/26

Not

Sanal ağ için dikkat edilmesi gereken en önemli yapılandırma, HSM cihazının alt ağının "Microsoft.HardwareSecurityModules/dedicatedHSMs" olarak ayarlanmış temsilcilere sahip olması gerektiğidir. HSM sağlama, bu seçenek ayarlanmadan çalışmaz.

Ağınızı yapılandırdıktan sonra, HSM'lerinizi sağlamak için bu Azure CLI komutlarını kullanın.

  1. İlk HSM'yi sağlamak için az dedicated-hsm create komutunu kullanın. HSM, hsm1 olarak adlandırılır. Aboneliğinizi değiştirme:

    az dedicated-hsm create --location westus --name hsm1 --resource-group myRG --network-profile-network-interfaces \
     /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet

    Bu dağıtımın tamamlanması yaklaşık 25 ila 30 dakika sürer ve bu sürenin büyük bir kısmı HSM cihazlarıdır.

  2. Geçerli bir HSM'yi görmek için az dedicated-hsm show komutunu çalıştırın:

    az dedicated-hsm show --resource group myRG --name hsm1

  3. Şu komutu kullanarak ikinci HSM'yi sağlayın:

    az dedicated-hsm create --location westus --name hsm2 --resource-group myRG --network-profile-network-interfaces \
     /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet

  4. Geçerli HSM'lerinizle ilgili ayrıntıları görüntülemek için az dedicated-hsm list komutunu çalıştırın:

    az dedicated-hsm list --resource-group myRG

Yararlı olabilecek başka komutlar da vardır. HSM'yi güncelleştirmek için az dedicated-hsm update komutunu kullanın:

az dedicated-hsm update --resource-group myRG –-name hsm1

HSM'yi silmek için az dedicated-hsm delete komutunu kullanın:

az dedicated-hsm delete --resource-group myRG –-name hsm1

Dağıtımı Doğrulama

Cihazların sağlandığını doğrulamak ve cihaz özniteliklerini görmek için aşağıdaki komut kümesini çalıştırın. Kaynak grubunun uygun şekilde ayarlandığından ve kaynak adının parametre dosyasındaki gibi olduğundan emin olun.

subid=$(az account show --query id --output tsv)
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM1
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM2

Çıkış aşağıdaki çıkışa benzer:

{
    "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSMl",
    "identity": null,
    "kind": null,
    "location": "westus",
    "managedBy": null,
    "name": "HSM1",
    "plan": null,
    "properties": {
        "networkProfile": {
            "networkInterfaces": [
            {
            "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/networkInterfaces/HSMl_HSMnic", "privatelpAddress": "10.0.2.5",
            "resourceGroup": "HSM-RG"
            }
            L
            "subnet": {
                "id": n/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/HSM-RG/providers/Microsoft.Network/virtualNetworks/demo-vnet/subnets/hsmsubnet", "resourceGroup": "HSM-RG"
            }
        },
        "provisioningState": "Succeeded",
        "stampld": "stampl",
        "statusMessage": "The Dedicated HSM device is provisioned successfully and ready to use."
    },
    "resourceGroup": "HSM-RG",
    "sku": {
        "capacity": null,
        "family": null,
        "model": null,
        "name": "SafeNet Luna Network HSM A790",
        "size": null,
        "tier": null
    },
    "tags": {
        "Environment": "prod",
        "resourceType": "Hsm"
    },
    "type": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}

Artık Azure kaynak gezginini kullanarak kaynakları da görebilirsiniz. Gezgine girdikten sonra, sol taraftaki "abonelikler"i genişletin, Ayrılmış HSM için özel aboneliğinizi genişletin, "kaynak grupları"nı genişletin, kullandığınız kaynak grubunu genişletin ve son olarak "kaynaklar" öğesini seçin.

Dağıtımı Test Etme

Dağıtımı test etmek, HSM'lere erişebilen bir sanal makineye bağlanma ve ardından doğrudan HSM cihazına bağlanma durumudur. Bu eylemler HSM'nin erişilebilir olduğunu doğrular. Ssh aracı, sanal makineye bağlanmak için kullanılır. Komut aşağıdakine benzer, ancak parametresinde belirttiğiniz yönetici adı ve dns adıyla birlikte.

ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com

Yukarıdaki komutta DNS adı yerine VM'nin IP Adresi de kullanılabilir. Komut başarılı olursa bir parola ister ve bunu girmeniz gerekir. Sanal makinede oturum açtıktan sonra, HSM ile ilişkilendirilmiş ağ arabirimi kaynağı için portalda bulunan özel IP adresini kullanarak HSM'de oturum açabilirsiniz.

bileşen listesi

Not

Seçildiğinde HSM kaynaklarının görüntüleneceği "Gizli türleri göster" onay kutusuna dikkat edin.

Yukarıdaki ekran görüntüsünde , "HSM1_HSMnic" veya "HSM2_HSMnic" seçeneğine tıklanması uygun Özel IP Adresini gösterir. Aksi takdirde, az resource show yukarıda kullanılan komut doğru IP Adresini tanımlamanın bir yoludur.

Doğru IP adresine sahip olduğunuzda, bu adresin yerine aşağıdaki komutu çalıştırın:

ssh tenantadmin@10.0.2.4

Başarılı olursa bir parola girmeniz istenir. Varsayılan parola PASSWORD'dır ve HSM önce parolanızı değiştirmenizi ister, bu nedenle güçlü bir parola ayarlayın ve kuruluşunuzun parolayı depolamak ve kaybı önlemek için tercih edeceği mekanizmayı kullanın.

Önemli

Bu parolayı kaybederseniz HSM'nin sıfırlanması gerekir ve bu da anahtarlarınızı kaybetmeniz anlamına gelir.

Ssh kullanarak HSM'ye bağlandığınızda, HSM'nin çalışır durumda olduğundan emin olmak için aşağıdaki komutu çalıştırın.

hsm show

Çıktı aşağıdaki görüntüde gösterildiği gibi görünmelidir:

PowerShell penceresindeki çıkışı gösteren ekran görüntüsü.

Bu noktada tüm kaynakları yüksek oranda kullanılabilir, iki HSM dağıtımı ve doğrulanmış erişim ve işletim durumu için ayırmış olursunuz. Daha fazla yapılandırma veya test, HSM cihazının kendisiyle daha fazla çalışma gerektirir. Bunun için HSM'yi başlatmak ve bölümler oluşturmak için Thales Luna 7 HSM Yönetim Kılavuzu 7. bölümdeki yönergeleri izlemeniz gerekir. Thales müşteri destek portalına kaydolup Müşteri Kimliğine sahip olduğunuzda tüm belgeler ve yazılımlar doğrudan Thales'ten indirilebilir. Tüm gerekli bileşenleri almak için İstemci Yazılımı sürüm 7.2'yi indirin.

Kaynakları silme veya temizleme

Yalnızca HSM cihazını tamamladıysanız, kaynak olarak silinebilir ve ücretsiz havuza döndürülebilir. Bunu yaparken en belirgin endişe, cihazdaki hassas müşteri verileridir. Bir cihazı "sıfırlamanın" en iyi yolu, HSM yönetici parolasını üç kez yanlış almaktır (not: Bu alet yöneticisi değildir, gerçek HSM yöneticisidir). Önemli malzemeleri korumaya yönelik bir güvenlik önlemi olarak cihaz sıfırlanmış duruma gelene kadar Azure kaynağı olarak silinemez.

Not

Thales cihaz yapılandırmasıyla ilgili bir sorununuz varsa Thales müşteri desteğine başvurmanız gerekir.

Bu kaynak grubundaki tüm kaynakları tamamladıysanız, aşağıdaki komutla tümünü kaldırabilirsiniz:

az group delete \
   --resource-group myRG \
   --name HSMdeploy \
   --verbose

Sonraki adımlar

Öğreticideki adımları tamamladıktan sonra Ayrılmış HSM kaynakları sağlanır ve HSM ile iletişimi etkinleştirmek için gerekli HSM'lere ve diğer ağ bileşenlerine sahip bir sanal ağınız vardır. Artık bu dağıtımı tercih ettiğiniz dağıtım mimarisinin gerektirdiği şekilde daha fazla kaynakla tamamlayacak bir konumdasınız. Dağıtımınızı planlamaya yardımcı olma hakkında daha fazla bilgi için Bkz. Kavramlar belgeleri. Birincil bölgede raf düzeyinde kullanılabilirliği ele alan iki HSM ve bölgesel kullanılabilirliği ele alan ikincil bölgede iki HSM içeren bir tasarım önerilir.