Compartilhar via

Início Rápido: Implantar o HSM da Nuvem do Azure usando o portal do Azure

O Azure Cloud HSM é um serviço de locatário único validado fips 140-3 nível 3 altamente disponível que permite implantar HSMs (módulos de segurança de hardware) usando vários métodos. Esses métodos incluem a CLI do Azure, o Azure PowerShell, os modelos do ARM (modelos do Azure Resource Manager), o Terraform ou o portal do Azure. Este guia de início rápido orienta você pelo processo de implantação no portal do Azure.

Pré-requisitos

  • Uma conta do Azure com uma assinatura ativa. Se você não tiver uma, crie uma conta gratuita antes de começar.
  • Permissões apropriadas para criar recursos em sua assinatura, incluindo a capacidade de criar recursos HSM e identidades gerenciadas.
  • Para ambientes de produção, uma rede virtual e uma sub-rede existentes para configurar pontos de extremidade privados.

Observação

Se você não tiver uma rede virtual e uma sub-rede pronta, ainda poderá criar o HSM primeiro e adicionar conectividade de rede mais tarde. É altamente recomendável que você use pontos de extremidade privados para ambientes de produção, conforme descrito em Segurança de rede para o Azure Cloud HSM.

Criar um recurso de HSM na Nuvem do Azure

Para criar um recurso de HSM na Nuvem do Azure por meio do portal do Azure:

  1. Entre no portal do Azure.

  2. Pesquise e selecione HSMs da Nuvem Azure.

  3. Selecione Criar.

Captura de tela do portal do Azure que mostra as seleções para criar um recurso de HSM na nuvem.

Definir as configurações básicas

Na guia Noções Básicas:

  1. Selecione sua assinatura do Azure.

  2. Escolha um grupo de recursos existente ou crie um novo.

    Recomendamos que você implante seus recursos de HSM na nuvem em um grupo de recursos separado dos recursos da VM (rede virtual) do cliente relacionado. Essa separação fornece um melhor gerenciamento e isolamento de segurança.

  3. Especifique os valores do HSM Nome, Região e SKU (camada do produto).

    O nome do HSM deve ser exclusivo. Se você especificar um nome de recurso HSM que já existe na região escolhida, sua implantação falhará.

  4. Mantenha a configuração padrão de Reutilização de Nome de Domínio como Tenant Reuse. Essa configuração ajuda a impedir a aquisição de subdomínio mal-intencionado e garantir que o FQDN (nome de domínio totalmente qualificado) possa ser reutilizado somente em seu locatário.

Captura de tela das configurações básicas do HSM de nuvem para assinatura, grupo de recursos, nome, região e camada de produto.

Configurar uma identidade gerenciada (opcional)

Na guia Identidade Gerenciada , considere as seguintes opções:

  • Sem Identidade: selecione essa opção se você não planeja usar operações de backup e restauração.

    Por padrão, o HSM da Nuvem do Azure é definido como Sem Identidade porque usa principalmente a autenticação baseada em senha com o gerenciamento de usuário tratado diretamente no HSM. No entanto, para operações de backup e restauração, você precisa de uma identidade gerenciada.

    Captura de tela da guia para configuração de identidade que mostra a opção padrão No Identity selecionada para o HSM na nuvem.

  • User-Assigned Identidade: recomendamos que você selecione essa opção para BCDR (continuidade dos negócios e recuperação de desastre). Cada cluster HSM de nuvem pode ter apenas uma identidade gerenciada, mas você pode usar a mesma identidade gerenciada para vários HSMs ou atribuir diferentes.

    Captura de tela da guia para configuração de identidade que mostra a opção User-Assigned Identidade selecionada para operações de backup e restauração do HSM na nuvem.

Para obter instruções detalhadas sobre como configurar uma identidade atribuída pelo usuário para operações de backup e restauração, consulte Aplicar uma identidade gerenciada e criar uma conta de armazenamento.

Configurar a rede

Para conectividade segura, estabeleça um ponto de extremidade privado para o HSM de Nuvem do Azure. Essa tarefa requer uma rede virtual existente.

Na guia Rede:

  1. Selecione a assinatura que contém sua rede virtual.

  2. Selecione sua rede virtual e sub-rede.

  3. Defina as configurações de integração do DNS (Sistema de Nomes de Domínio) conforme necessário.

Captura de tela da guia para configuração de rede, com a seção para configurar um ponto de extremidade privado para conectividade segura com o HSM de nuvem.

Dica

Pontos de extremidade privados são cruciais para a segurança. Eles habilitam conexões seguras para o HSM de Nuvem do Azure por meio de um link privado. Essas conexões garantem que o tráfego entre sua rede virtual e o serviço percorra a rede de backbone da Microsoft. Essa configuração elimina a exposição à Internet pública, conforme descrito na segurança de rede do Azure Cloud HSM.

Adicionar etiquetas (opcional)

As tags são pares de nome/valor que ajudam você a organizar e categorizar recursos para gerenciamento e elaboração de relatórios. Na guia Marcas , você pode inserir detalhes para criar marcas. Essa etapa é opcional, mas recomendada para a organização de recursos, especialmente em ambientes empresariais.

Captura de tela da guia para criar tags e organizar recursos de HSM em nuvem com pares nome/valor.

Implantar seu recurso de HSM na nuvem

Na guia Revisão + Envio :

  1. Examine todos os detalhes do HSM, incluindo identidade gerenciada e configurações de rede.

  2. Selecione Criar para começar a provisionar o recurso HSM do Azure Cloud.

Captura de tela do portal do Azure que mostra a guia para examinar os detalhes do recurso, juntamente com o botão Criar.

O portal exibe que a Implantação está em andamento enquanto cria o recurso. Quando a implantação for concluída, o portal exibirá sua implantação concluída.

Captura de tela do painel do portal do Azure que mostra a implantação concluída com êxito de um recurso de HSM na nuvem.

Inicializar e configurar seu HSM

Você não pode ativar ou configurar o HSM de Nuvem do Azure por meio do portal. Você deve usar o SDK do HSM do Azure Cloud e as ferramentas de cliente.

Depois de implantar o recurso do HSM na Nuvem, siga estas etapas:

  1. Baixe e instale o SDK do HSM do Azure Cloud do GitHub em uma VM que tenha conectividade de rede com seu HSM.

  2. Inicialize e configure seu HSM seguindo as etapas detalhadas no guia de integração do Azure Cloud HSM.

  3. Estabeleça o gerenciamento de usuários com os oficiais e usuários de criptografia apropriados, conforme descrito no gerenciamento de usuários no Azure Cloud HSM.

  4. Implemente as práticas de gerenciamento de chaves adequadas para ajudar a garantir a segurança e o desempenho ideais, conforme descrito no gerenciamento de chaves no HSM de Nuvem do Azure.

Limpar os recursos

Se você criou um grupo de recursos exclusivamente para este início rápido e não precisa manter esses recursos, poderá excluir todo o grupo de recursos:

  1. No portal do Azure, vá para o grupo de recursos que contém seus recursos de HSM na nuvem.

  2. Selecione Excluir grupo de recursos.

  3. Insira o nome do grupo de recursos para confirmar a exclusão e selecione Excluir.

Solucionar problemas comuns de implantação

Se você encontrar problemas durante a implantação:

  • Conflitos de nome de recurso: verifique se o nome do HSM é exclusivo na região. Se a implantação falhar com um conflito de nomenclatura, tente um nome diferente.
  • Problemas de conectividade de rede: verifique se sua VM tem acesso de rede adequado ao HSM. Para melhores práticas, examine a segurança de rede para o HSM de Nuvem do Azure.
  • Falhas de autenticação: verifique se você está usando o formato correto para credenciais, conforme detalhado na Autenticação no Azure Cloud HSM.
  • Erros de conexão do cliente: verifique se o cliente HSM do Azure Cloud está em execução e configurado corretamente. Para problemas comuns de conexão de cliente, consulte Solucionar problemas de HSM na Nuvem do Azure.

Conteúdo relacionado

  • Last updated on