Yönetilen HSM olağanüstü durum kurtarma

Bu nedenlerden herhangi biri nedeniyle özgün öğe kaybolursa veya kullanılamaz durumdaysa, HSM'nizin tam bir çoğaltmasını oluşturmak isteyebilirsiniz:

• Silindi ve sonra temizlendi.
• Bölgedeki yıkıcı bir hata, tüm üye bölümlerinin yok edilmesine neden oldu.

Aşağıdakilere sahipseniz HSM örneğini aynı veya farklı bir bölgede yeniden oluşturabilirsiniz:

• Kaynak HSM'nin Güvenlik Etki Alanı.
• Güvenlik etki alanını şifreleyen özel anahtarlar (en az çekirdek numarası).
• Kaynak HSM'den en son tam HSM yedeklemesi .

Olağanüstü durum kurtarma yordamının adımları şunlardır:

1. Yeni bir HSM Örneği oluşturun.
2. "Güvenlik Etki Alanı kurtarma" özelliğini etkinleştirin. Güvenlik Etki Alanı aktarımı için yeni bir RSA anahtar çifti (Güvenlik Etki Alanı Exchange Anahtarı) oluşturulur ve yanıt olarak gönderilir; bu, SecurityDomainExchangeKey (ortak anahtar) olarak indirilir.
3. "Güvenlik Etki Alanı Aktarım Dosyası"nı oluşturun ve karşıya yükleyin. Güvenlik etki alanını şifreleyen özel anahtarlara ihtiyacınız olacaktır. Özel anahtarlar yerel olarak kullanılır ve bu işlemde hiçbir yere aktarilmez.
4. Yeni HSM'nin yedeğini alın. HSM boş olsa bile herhangi bir geri yükleme işleminden önce bir yedekleme gerekir. Yedeklemeler, geri alma işleminin kolay bir şekilde yürütülmesini sağlar.
5. En son HSM yedeklemesini kaynak HSM'den geri yükleyin.

Bu adımlar, HSM'nin içeriğini başka bir bölgeye el ile çoğaltmanızı sağlar. HSM adı (ve hizmet uç noktası URI'si) farklı olacaktır, bu nedenle bu anahtarları farklı bir konumdan kullanmak için uygulama yapılandırmanızı değiştirmeniz gerekir.

Yeni yönetilen HSM oluşturma

az keyvault create Yönetilen HSM oluşturmak için komutunu kullanın. Bu betik üç zorunlu parametreye sahiptir: kaynak grubu adı, HSM adı ve coğrafi konum.

Yönetilen HSM kaynağı oluşturmak için aşağıdaki girişleri sağlamanız gerekir:

• HSM'nin adı.
• Aboneliğinize yerleştirileceği kaynak grubu.
• Azure konumu.
• İlk yöneticilerin listesi.

Aşağıdaki örnek, ContosoResourceGroup kaynak grubunda ContosoMHSM2 adlı bir HSM oluşturur ve batı ABD 3 konumunda yer alır ve geçerli kullanıcı tek yönetici olarak oturum açmış olur.

oid=$(az ad signed-in-user show --query objectId -o tsv)
az keyvault create --hsm-name "ContosoMHSM2" --resource-group "ContosoResourceGroup" --location "westus3" --administrators $oid

Not

Oluşturma komutu birkaç dakika sürebilir. Başarıyla geri döndüğünde HSM'nizi etkinleştirmeye hazır olursunuz.

Uyarı

Yönetilen HSM örnekleri her zaman kullanımda olarak kabul edilir. bayrağını kullanarak temizleme korumasını etkinleştirmeyi --enable-purge-protection seçerseniz, saklama süresinin tamamı için faturalandırılırsınız.

Bu komutun çıktısı, oluşturduğunuz Yönetilen HSM'nin özelliklerini gösterir. En önemli iki özellik şunlardır:

• name: Örnekte ad ContosoMHSM'dir. Bu adı diğer Key Vault komutları için kullanacaksınız.
• hsmUri: Örnekte URI şudur: 'https://contosomhsm2.managedhsm.azure.net.' HSM'nizi REST API aracılığıyla kullanan uygulamaların bu URI'yi kullanması gerekir.

Azure hesabınız artık bu Yönetilen HSM üzerinde tüm işlemleri gerçekleştirme yetkisine sahiptir. Henüz kimse yetkilendirilmedi.

Güvenlik Etki Alanı kurtarma modunu etkinleştirme

Normal oluşturma işleminin bu noktasında yeni HSM'nin Güvenlik Etki Alanını başlatıp indiriyoruz. Ancak, bir olağanüstü durum kurtarma yordamı yürütürken HSM'den Güvenlik Etki Alanı Kurtarma Modu'na girmesini ve bunun yerine bir Güvenlik Etki Alanı Değişim Anahtarı indirmesini istiyoruz. Güvenlik Etki Alanı Exchange Anahtarı, güvenlik etki alanını HSM'ye yüklemeden önce şifrelemek için kullanılacak bir RSA ortak anahtarıdır. Aktarım sırasında Güvenlik Etki Alanı içeriğinizi güvende tutmak için ilgili özel anahtar HSM içinde korunur.

az keyvault security-domain init-recovery --hsm-name ContosoMHSM2 --sd-exchange-key ContosoMHSM2-SDE.cer

Kaynak HSM'nin Güvenlik Etki Alanı Karşıya Yükleme blobu oluşturma

Bu adım için aşağıdakiler gerekir:

• Önceki adımda indirdiğiniz Güvenlik Etki Alanı Exchange Anahtarı.
• Kaynak HSM'nin Güvenlik Etki Alanı.
• Güvenlik etki alanını şifrelemek için kullanılan en az çekirdek sayısı.

komutu az keyvault security-domain restore-blob aşağıdaki işlemleri gerçekleştirir:

• Kaynak HSM'nin Güvenlik Etki Alanının şifresini, sağladığınız özel anahtarlarla çözebilirsiniz.
• Önceki adımda indirdiğimiz Güvenlik Etki Alanı Exchange Anahtarı ile şifrelenmiş bir Güvenlik Etki Alanı Karşıya Yükleme blobu oluşturma

Bu adım çevrimdışı gerçekleştirilebilir.

Aşağıdaki örnekte ContosoMHSM'deki Güvenlik Etki Alanı'nı, karşılık gelen özel anahtarlardan 3'ünün ve Güvenlik Etki Alanı Exchange Anahtarı'nı kullanarak Bir Güvenlik Etki Alanı almayı bekleyen ContosoMHSM2'ye yüklemek için kullanacağımız şifrelenmiş blobu oluşturup indireceğiz.

az keyvault security-domain restore-blob --sd-exchange-key ContosoMHSM2-SDE.cer --sd-file ContosoMHSM-SD.json --sd-wrapping-keys cert_0.key cert_1.key cert_2.key --sd-file-restore-blob restore_blob.json 

Güvenlik Etki Alanını Karşıya Yükleme Blobu hedef HSM'ye yükleme

Şimdi önceki adımda oluşturulan Güvenlik Etki Alanı Karşıya Yükleme blobunu kullanıyor ve güvenlik etki alanı kurtarma işlemini tamamlamak için hedef HSM'ye yüklüyoruz. Bayrağı --restore-blob , anahtarların çevrimiçi ortamda kullanıma alınmasını önlemek için kullanılır.

az keyvault security-domain upload --hsm-name ContosoMHSM2 --sd-file restore_blob.json --restore-blob

Artık hem kaynak HSM (ContosoMHSM) hem de hedef HSM (ContosoMHSM2) aynı güvenlik etki alanına sahiptir. Artık kaynak HSM'den hedef HSM'ye tam yedeklemeyi geri yükleyebiliriz.

Yedekleme ve geri yükleme

Tam bir HSM geri yüklemesini yürütmeden önce tam yedekleme almak her zaman iyi bir fikirdir; böylece geri yüklemede bir sorun olması durumunda geri yükleme noktasına sahip olursunuz. Bunu iki yöntemden birini kullanarak yapabilirsiniz: kullanıcı tarafından atanan yönetilen kimlik veya SAS belirteçleri.

Yeni HSM'nizin yedeğini (geri yükleme noktası olarak) oluşturma

HSM yedeklemesi oluşturmak için şunları yapmanız gerekir:

• Yedeklemenin depolanacağı bir depolama hesabı
• Yedekleme işleminin şifrelenmiş yedeklemeyi depolamak için yeni bir klasör oluşturacağı bu depolama hesabında bir blob depolama kapsayıcısı
• Depolama hesabında Depolama Blob Veri Katkıda Bulunanı rolüne sahip kullanıcı tarafından atanan yönetilen kimlik VEYA 'crdw' izinlerine sahip depolama kapsayıcısı SAS belirteci

Aşağıdaki örneklerde mhsmdemobackup depolama hesabında yer alan mhsmbackupcontainer depolama kapsayıcısındaki HSM yedeklemesine az keyvault backup komutunu kullanıyoruz.

Kullanıcı tarafından atanan yönetilen kimlik

Kullanıcı tarafından atanan yönetilen kimlik yöntemini kullanıyorsanız, kullanıcı tarafından atanan yönetilen kimliği parametresiyle belirtiriz ve aşağıdaki örnekte yedeklemeyi yazmadan önce bunu Yönetilen HSM ile --mi-user-assigned ilişkilendiririz.

az keyvault update-hsm --hsm-name ContosoMHSM2 --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentityname"
az keyvault backup start --use-managed-identity true --hsm-name ContosoMHSM2 --storage-account-name mhsmdemobackup --blob-container-name mhsmbackupcontainer

SAS belirteci

SAS belirteci yöntemini kullanıyorsanız, süresi 30 dakika içinde dolan bir SAS belirteci oluştururuz ve aşağıdaki örnekte yedeklemeyi yazmak için bunu Yönetilen HSM'ye sağlarız.

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup)
az storage container create --account-name  mhsmdemobackup --name mhsmbackupcontainer  --account-key $skey
sas=$(az storage container generate-sas -n mhsmbackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv)
az keyvault backup start --hsm-name ContosoMHSM2 --storage-account-name mhsmdemobackup --blob-container-name mhsmbackupcontainer --storage-container-SAS-token $sas

Kaynak HSM'den yedeklemeyi geri yükleme

Bu adım için gerekenler:

• Depolama hesabı ve kaynak HSM'nin yedeklerinin depolandığı blob kapsayıcısı.
• Yedeklemeyi geri yüklemek istediğiniz klasör adı. Normal yedeklemeler oluşturursanız, bu kapsayıcının içinde birçok klasör olacaktır.

Aşağıdaki örnekte ContosoBackup depolama hesabının mhsmdemobackupcontainer depolama kapsayıcısında bulunan mhsm-ContosoMHSM-2020083120161860 klasör adında bulunan, geri yüklemeye çalıştığımız kaynak MHSM'nin yedeğini kullanarak yeni HSM ContosoMHSM2 için az keyvault restore komutunu kullanıyoruz.

Kullanıcı tarafından atanan yönetilen kimlik

Kullanıcı tarafından atanan yönetilen kimlik yöntemini kullanıyorsanız, pramater değerini --use-managed-identity "true" olarak ayarlarız.

az keyvault restore start --hsm-name ContosoMHSM2 --storage-account-name ContosoBackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-ContosoMHSM-2020083120161860 --use-managed-identity true

SAS belirteci

SAS belirteci yöntemini kullanıyorsanız, süresi 30 dakika içinde dolan bir SAS belirteci oluştururuz ve geri yüklemeyi yazmak için bunu Yönetilen HSM'ye sağlarız.

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name ContosoBackup)
sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name ContosoBackup --permissions rl --expiry $end --account-key $skey -o tsv)
az keyvault restore start --hsm-name ContosoMHSM2 --storage-account-name ContosoBackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-ContosoMHSM-2020083120161860

Şimdi tam bir olağanüstü durum kurtarma işlemini tamamladınız. Yedekleme alındığında kaynak HSM'nin içeriği, tüm anahtarlar, sürümler, öznitelikler, etiketler ve rol atamaları dahil olmak üzere hedef HSM'ye kopyalanır.

Sonraki adımlar

• Güvenlik Etki Alanı hakkında daha fazla bilgi için bkz. Yönetilen HSM Güvenlik Etki Alanı Hakkında
• Yönetilen HSM en iyi yöntemlerini izleyin