共用方式為

Azure 付款 HSM 流量檢查

  • 發行項

Azure 付款硬體安全性模組 (付款 HSM 或 PHSM) 是「裸機服務」,可為 Azure 雲端的即時和重大付款交易提供密碼編譯金鑰作業。 如需詳細資訊,請參閱什麼是 Azure 付款 HSM?

部署付款 HSM 時,其隨附主機網路介面和管理網路介面。 有數個部署案例:

  1. 相同 VNet 中的主機和管理連接埠
  2. 不同 VNet 中的主機和管理連接埠
  3. 不同 VNet 中具有 IP 位址的主機和管理連接埠

在上述所有案例中,付款 HSM 是委派子網路中的 VNet 插入服務:hsmSubnetmanagementHsmSubnet 必須委派給 Microsoft.HardwareSecurityModules/dedicatedHSMs 服務。

重要

FastPathEnabled 功能必須在需要存取付款 HSM 的所有訂用帳戶上註冊和核准。 您也必須在裝載付款 HSM 委派子網路的 VNet 上,以及在需要連線到付款 HSM 裝置的每個對等互連 VNet 上,啟用 fastpathenabled 標籤。

若要讓 fastpathenabled VNet 標籤有效,必須在部署 VNet 的訂用帳戶上啟用 FastPathEnabled 功能。 必須完成這兩個步驟,才能讓資源連線到付款 HSM 裝置。 如需詳細資訊,請參閱 FastPathEnabled

PHSM 與 vWAN 拓撲或跨區域 VNet 對等互連不相容,如支援的拓撲中所述。 付款 HSM 隨附這些子網路的一些原則限制目前不支援網路安全性群組 (NSG) 和使用者定義路由 (UDR)

可以繞過目前的 UDR 限制,並檢查目的地為付款 HSM 的流量。 本文提供兩種方式:使用來源網路位址轉譯 (SNAT) 的防火牆和使用反向 Proxy 的防火牆。

具有來源網路位址轉譯 (SNAT) 的防火牆

此設計受到專用 HSM 方案架構的啟發。

防火牆會先 SNAT 用戶端 IP 位址,然後再將流量轉送到 PHSM NIC,保證傳回流量會自動導向回防火牆。 此設計可使用 Azure 防火牆或第三方 FW NVA。

使用 SNAT 的防火牆結構圖表

需要路由表:

  • 內部部署至 PHSM:包含付款 HSM VNet 範圍的 UDR 並指向中央中樞防火牆的路由表,會套用至 GatewaySubnet。
  • 輪輻 VNet 至 PHSM:包含指向中央中樞防火牆之一般預設路由的路由表,會套用至輪輻 VNet 子網路。

結果:

  • 在 PHSM 子網路上不支援的 UDR 是由在用戶端 IP 上執行 SNAT 的防火牆尋址:將流量轉送至 PHSM 時,傳回流量會自動導向回防火牆。
  • 無法在 PHSM 子網路上使用 NSG 強制執行的篩選規則,可在防火牆上設定。
  • 對 PHSM 環境的輪輻流量和內部部署流量都會受到保護。

具有反向 Proxy 的防火牆

在網路安全性小組尚未核准的防火牆上執行 SNAT 時,此設計是一個很好的選項,要求針對通過防火牆的流量讓來源和目的地 IP 保持不變。

此結構會使用反向 Proxy,直接部署在 PHSM VNet 的專用子網路,或對等互連 VNet 中。 並非將流量傳送至 PHSM 裝置,而是將目的地設定為反向 Proxy IP,位於沒有 PHSM 委派子網路限制的子網路中:NSG 和 UDR 皆可設定,並且與中央中樞的防火牆合併。

使用反向 Proxy 的防火牆結構圖表

此解決方案需要反向 Proxy,例如:

  • F5 (Azure Marketplace;以 VM 為基礎)
  • NGINXaaS (Azure Marketplace;PaaS 完全受控)
  • 使用 NGINX 的反向 Proxy 伺服器 (以 VM 為基礎)
  • 使用 HAProxy 的反向 Proxy 伺服器 (以 VM 為基礎)

使用 NGINX 的反向 Proxy 伺服器 (以 VM 為基礎) 組態針對 tcp 流量進行負載平衡的範例:

# Nginx.conf  
stream { 
    server { 
        listen 1500; 
        proxy_pass 10.221.8.4:1500; 
    } 

    upstream phsm { 
        server 10.221.8.5:443; 
    } 

    server { 
        listen 443; 
        proxy_pass phsm; 
        proxy_next_upstream on; 
    } 
} 

需要路由表:

  • 內部部署至 PHSM:包含付款 HSM VNet 範圍的 UDR 並指向中央中樞防火牆的路由表,會套用至 GatewaySubnet。
  • 輪輻 VNet 至 PHSM:包含指向中央中樞防火牆之一般預設路由的路由表,會套用至輪輻 VNet 子網路。

重要

必須在反向 Proxy 子網路上停用閘道路由傳播,讓 0/0 UDR 足以強制透過防火牆傳回流量。

結果:

  • PHSM 子網路上不支援的 UDR 可以在反向 Proxy 子網路上設定。
  • 用戶端 IP 的反向 Proxy SNAT:將流量轉送至 PHSM 時,傳回流量會自動導向回反向 Proxy。
  • 無法在 PHSM 子網路上使用 NSG 強制執行的篩選規則,可在防火牆和/或套用至反向 Proxy 子網路的 NSG 上設定。
  • 對 PHSM 環境的輪輻流量和內部部署流量都會受到保護。

下一步