Udostępnij przez

Szybki start: wdrażanie modułu HSM w chmurze platformy Azure przy użyciu witryny Azure Portal

Moduł HSM w chmurze platformy Azure to wysoce dostępna usługa FIPS 140-3 poziom 3, która umożliwia wdrażanie sprzętowych modułów zabezpieczeń (HSM) przy użyciu różnych metod. Te metody obejmują interfejs wiersza polecenia platformy Azure, program Azure PowerShell, szablony usługi Azure Resource Manager (szablony usługi ARM), program Terraform lub witrynę Azure Portal. Ten przewodnik szybkiego startu przeprowadzi Cię przez proces wdrażania na platformie Azure Portal.

Wymagania wstępne

  • Konto Azure z aktywną subskrypcją. Jeśli go nie masz, przed rozpoczęciem utwórz bezpłatne konto .
  • Odpowiednie uprawnienia do tworzenia zasobów w ramach subskrypcji, w tym możliwość tworzenia zasobów modułu HSM i tożsamości zarządzanych.
  • W przypadku środowisk produkcyjnych istniejąca sieć wirtualna i podsieć do konfigurowania prywatnych punktów końcowych.

Uwaga / Notatka

Jeśli nie masz gotowej sieci wirtualnej i podsieci, nadal możesz utworzyć moduł HSM jako pierwszy i dodać łączność sieciową później. Zdecydowanie zalecamy używanie prywatnych punktów końcowych w środowiskach produkcyjnych zgodnie z opisem w temacie Zabezpieczenia sieci dla modułu HSM w chmurze platformy Azure.

Tworzenie zasobu modułu HSM w chmurze platformy Azure

Aby utworzyć zasób modułu HSM w chmurze platformy Azure za pośrednictwem witryny Azure Portal:

  1. Zaloguj się do witryny Azure Portal.

  2. Wyszukaj i wybierz Azure Cloud HSM.

  3. Wybierz Utwórz.

Zrzut ekranu witryny Azure Portal przedstawiający opcje tworzenia zasobu modułu HSM w chmurze.

Konfigurowanie ustawień podstawowych

Na karcie Ustawienia podstawowe:

  1. Wybierz subskrypcję platformy Azure.

  2. Wybierz istniejącą grupę zasobów lub utwórz nową.

    Zalecamy wdrożenie zasobów modułu HSM w chmurze w oddzielnej grupie zasobów od powiązanych zasobów sieci wirtualnej klienta i zasobów maszyny wirtualnej. Ta separacja zapewnia lepsze zarządzanie i izolację zabezpieczeń.

  3. Określ wartości Nazwa HSM, Region i SKU (warstwa produktu).

    Nazwa modułu HSM musi być unikatowa. Jeśli określisz nazwę zasobu HSM, która już istnieje w wybranym regionie, wdrożenie zakończy się niepowodzeniem.

  4. Zachowaj domyślne ustawienie Ponowne używanie nazwy domeny jako Ponowne użycie dzierżawcy. To ustawienie pomaga zapobiec przejęciu złośliwej poddomeny i upewnić się, że w pełni kwalifikowana nazwa domeny (FQDN) może być ponownie używana tylko w ramach dzierżawy.

Zrzut ekranu przedstawiający podstawowe ustawienia konfiguracji modułu HSM w chmurze dla subskrypcji, grupy zasobów, nazwy, regionu i warstwy produktu.

Konfigurowanie tożsamości zarządzanej (opcjonalnie)

Na karcie Tożsamość zarządzana rozważ następujące opcje:

  • Brak tożsamości: wybierz tę opcję, jeśli nie planujesz używania operacji tworzenia kopii zapasowych i przywracania.

    Domyślnie Azure Cloud HSM jest ustawiony na Brak tożsamości, ponieważ głównie używa uwierzytelniania hasłowego z zarządzaniem użytkownikami realizowanym bezpośrednio w module HSM. Jednak w przypadku operacji tworzenia kopii zapasowych i przywracania potrzebna jest tożsamość zarządzana.

    Zrzut ekranu przedstawiający kartę konfiguracji tożsamości, która pokazuje domyślną opcję Brak tożsamości wybranej dla modułu HSM w chmurze.

  • User-Assigned Identity: zalecamy wybranie tej opcji w celu zapewnienia ciągłości działania i odzyskiwania po awarii (BCDR). Każdy klaster HSM w chmurze może mieć tylko jedną tożsamość zarządzaną, ale można użyć tej samej tożsamości zarządzanej dla wielu modułów HSM lub przypisać różne.

    Zrzut ekranu przedstawiający kartę konfiguracji tożsamości, która pokazuje opcję User-Assigned Tożsamość wybraną dla operacji tworzenia i przywracania kopii zapasowych modułu HSM w chmurze.

Aby uzyskać szczegółowe instrukcje dotyczące konfigurowania tożsamości przypisanej przez użytkownika na potrzeby operacji tworzenia kopii zapasowych i przywracania, zobacz Stosowanie tożsamości zarządzanej i tworzenie konta magazynu.

Skonfiguruj sieć

Aby zapewnić bezpieczną łączność, ustanów prywatny punkt końcowy dla modułu HSM w chmurze platformy Azure. To zadanie wymaga istniejącej sieci wirtualnej.

Na karcie Sieć:

  1. Wybierz subskrypcję zawierającą sieć wirtualną.

  2. Wybierz sieć wirtualną i podsieć.

  3. Skonfiguruj ustawienia integracji systemu nazw domen (DNS) zgodnie z potrzebami.

Zrzut ekranu przedstawiający kartę konfiguracji sieci z sekcją dotyczącą konfigurowania prywatnego punktu końcowego na potrzeby bezpiecznej łączności z modułem HSM w chmurze.

Wskazówka

Prywatne punkty końcowe mają kluczowe znaczenie dla bezpieczeństwa. Umożliwiają one bezpieczne połączenia z modułem HSM w chmurze platformy Azure za pośrednictwem łącza prywatnego. Te połączenia zapewniają, że ruch między siecią wirtualną a usługą przechodzi przez sieć szkieletową firmy Microsoft. Ta konfiguracja eliminuje narażenie na publiczny Internet zgodnie z opisem w temacie Zabezpieczenia sieci dla modułu HSM w chmurze platformy Azure.

Dodawaj tagi (opcjonalne)

Tagi to pary nazw/wartości, które ułatwiają organizowanie i kategoryzowanie zasobów na potrzeby zarządzania i raportowania. Na karcie Tagi możesz wprowadzić szczegóły, aby utworzyć tagi. Ten krok jest opcjonalny, ale zalecany w przypadku organizacji zasobów, szczególnie w środowiskach przedsiębiorstwa.

Zrzut ekranu przedstawiający kartę tworzenia tagów w celu organizowania zasobów modułu HSM w chmurze z parami nazw/wartości.

Wdrażanie zasobu modułu HSM w chmurze

Na karcie Przeglądanie i przesyłanie :

  1. Przejrzyj wszystkie szczegóły modułu HSM, w tym tożsamość zarządzaną i ustawienia sieci.

  2. Wybierz pozycję Utwórz , aby rozpocząć aprowizowanie zasobu modułu HSM w chmurze platformy Azure.

Zrzut ekranu witryny Azure Portal przedstawiający kartę przeglądania szczegółów zasobu wraz z przyciskiem Utwórz.

Portal wyświetla wdrożenie jest w trakcie podczas tworzenia zasobu. Po zakończeniu wdrażania w portalu zostanie wyświetlone komunikat Wdrożenie zostało ukończone.

Zrzut ekranu przedstawiający okienko witryny Azure Portal z pomyślnie ukończonym wdrożeniem zasobu modułu HSM w chmurze.

Inicjowanie i konfigurowanie modułu HSM

Nie można aktywować ani skonfigurować modułu HSM w chmurze platformy Azure za pośrednictwem portalu. Należy użyć zestawu SDK modułu HSM w chmurze platformy Azure i narzędzi klienckich.

Po wdrożeniu zasobu modułu HSM w chmurze wykonaj następujące kroki:

  1. Pobierz i zainstaluj zestaw SDK modułu HSM w chmurze platformy Azure z usługi GitHub na maszynie wirtualnej, która ma łączność sieciową z modułem HSM.

  2. Zainicjuj i skonfiguruj moduł HSM, wykonując szczegółowe kroki opisane w przewodniku dołączania modułu HSM w chmurze platformy Azure.

  3. Ustanów zarządzanie użytkownikami z odpowiednimi oficerami kryptografii i użytkownikami, zgodnie z opisem w Zarządzanie użytkownikami w module HSM w chmurze Azure.

  4. Zaimplementuj odpowiednie rozwiązania w zakresie zarządzania kluczami, aby zapewnić optymalne zabezpieczenia i wydajność zgodnie z opisem w temacie Zarządzanie kluczami w module HSM w chmurze platformy Azure.

Uprzątnij zasoby

Jeśli utworzono grupę zasobów wyłącznie na potrzeby tego przewodnika Szybki start i nie musisz przechowywać tych zasobów, możesz usunąć całą grupę zasobów:

  1. W witrynie Azure Portal przejdź do grupy zasobów zawierającej zasoby modułu HSM w chmurze.

  2. Wybierz pozycję Usuń grupę zasobów.

  3. Wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie, a następnie wybierz pozycję Usuń.

Rozwiązywanie typowych problemów z wdrażaniem

Jeśli podczas wdrażania wystąpią problemy:

Treści powiązane

  • Last updated on