Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O serviço HSM Dedicado do Azure tem duas facetas distintas. Em primeiro lugar, o registro e a implantação no Azure dos dispositivos HSM com seus componentes de rede subjacentes. Em segundo lugar, a configuração dos dispositivos HSM em preparação para o uso/integração com uma determinada carga de trabalho ou aplicativo. Embora os dispositivos HSM 7 da Thales Luna sejam os mesmos no Azure, como você compraria diretamente da Thales, o fato de que eles são um recurso no Azure cria algumas considerações exclusivas. Essas considerações e informações de solução de problemas resultantes ou melhores práticas são documentadas aqui para garantir alta visibilidade e acesso a informações críticas. Depois que o serviço estiver em uso, as informações definitivas estarão disponíveis por meio de solicitações de suporte à Microsoft ou diretamente à Thales.
Observação
Deve-se observar que, antes de executar qualquer configuração em um dispositivo HSM implantado recentemente, ele deve ser atualizado com todos os patches relevantes. Um patch necessário específico é KB0019789 no portal de suporte da Thales, que trata de um problema em que o sistema deixa de responder durante a reinicialização.
Registro do HSM
O HSM dedicado é um recurso valioso que fornece recursos de HSM baremetal no Azure e não está disponível livremente para uso. Para garantir a utilização adequada, empregamos um processo de lista de permissões para aprovar assinaturas do Azure para integração e implantação. Caso queira continuar com a integração ao HSM dedicado, entre em contato com o Gerenciador de Contas da Microsoft para obter mais diretrizes.
Como obter acesso ao HSM dedicado
Primeiro, verifique se os casos de uso não podem ser resolvidos pelo Azure Key Vault ou pelo HSM gerenciado do Azure. Caso acredite que apenas o HSM dedicado atende aos seus principais requisitos de armazenamento, entre em contato com o Gerente de Conta Microsoft ou o Suporte ao Cliente da Microsoft para obter mais diretrizes para solicitar acesso. Descreva seu aplicativo e os casos de uso, as regiões em que você gostaria de ter os HSMs e o volume de HSMs desejado.
Provisionamento de HSM
O provisionamento de um dispositivo HSM no Azure pode ser feito por meio da CLI ou do PowerShell. Ao se registra para o serviço, um modelo do ARM de exemplo é fornecido e a assistência é fornecida para personalização inicial.
Informações de falha de implantação do HSM
O HSM dedicado é compatível com a CLI e o PowerShell para implantação, de modo que as informações de erro baseadas no portal são limitadas e não detalhadas. Informações melhores podem ser encontradas usando o Gerenciador de Recursos. A página inicial do portal tem um ícone para isso e informações de erro mais detalhadas estão disponíveis. Essas informações ajudam muito quando são coladas ao criar uma solicitação de suporte relacionada a problemas de implantação.
Delegação de sub-rede do HSM
O principal motivo para falhas de implantação é esquecer de configurar a delegação apropriada para a sub-rede definida pelo cliente na qual os HSMs são provisionados. Definir essa delegação faz parte dos pré-requisitos da rede virtual e da sub-rede para implantação. Mais detalhes podem ser encontrados nos tutoriais.
Condição de corrida de implantação do HSM
O modelo do ARM padrão fornecido para implantação tem recursos relacionados ao gateway do ExpressRoute e o HSM. Os recursos de rede são uma dependência para a implantação bem-sucedida do HSM, e o momento certo pode ser crucial. Ocasionalmente, vimos falhas de implantação relacionadas a problemas de dependência e executar novamente a implantação costuma resolver o problema. Caso contrário, a exclusão de recursos e a reimplantação geralmente são bem-sucedidas. Depois de tentar fazer isso e ainda encontrar o problema, gere uma solicitação de suporte no portal do Azure selecionando o tipo de problema "Problemas ao configurar a instalação do Azure".
Implantação do HSM usando o Terraform
Alguns clientes usaram Terraform como um ambiente de automação, em vez do modelos do ARM, fornecido ao registrarem-se para esse serviço. Os HSMs não podem ser implantados dessa maneira, mas os recursos de rede dependentes podem. O Terraform tem um módulo para chamar um modelo do ARM mínimo que tem a implantação do HSM. Nessa situação, é preciso cuidado para garantir que os recursos de rede, como o gateway do ExpressRoute necessário, sejam totalmente implantados antes da implantação de HSMs. O comando da CLI a seguir pode ser usado para testar a implantação concluída e ser integrado conforme necessário. Substitua os espaços reservados em colchetes angulares pela sua nomenclatura específica. Você deve procurar um resultado "provisioningState is Succeeded"
az resource show --ids /subscriptions/<subid>/resourceGroups/<myresourcegroup>/providers/Microsoft.Network/virtualNetworkGateways/<myergateway>
Falha na implantação com base na cota
O HSM dedicado tem um limite de cota inicial de 2 HSMs por selo e 4 HSMs por região. Como as implantações podem falhar se esses limites forem excedidos, exclua recursos de implantações com falha anteriores antes de tentar novos. Verifique os recursos existentes referindo-se aos Como visualizo HSMs quando provisionados. Caso precise de mais de 4 HSMs em uma única região, envie um tíquete de suporte ao cliente para solicitar um aumento no limite de cota.
Falha na implantação com base na capacidade
Quando um carimbo ou região está se aproximando da capacidade, com a maioria dos HSMs disponíveis provisionados, podem ocorrer falhas de implantação. Cada carimbo fornece 12 HSMs para uso do cliente, totalizando 24 por região, com duas sobressalentes e um dispositivo de teste por carimbo. Caso suspeite que atingiu esse limite, envie um tíquete de suporte ao cliente para perguntar sobre a capacidade disponível na região ou o nível de preenchimento de selos específicos.
Como faço para ver HSMs quando provisionados?
Uma vez que o HSM dedicado é um serviço de inclusão na lista de permitidos, ele é considerado um "Tipo Oculto" no portal do Azure. Para ver os recursos do HSM, marque a caixa de seleção "Mostrar tipos ocultos". O recurso NIC sempre segue o HSM e é um bom local para descobrir o endereço IP do HSM antes de usar o SSH para se conectar.
Recursos de rede
A implantação do HSM Dedicado tem uma dependência dos recursos de rede e algumas limitações decorrentes a serem consideradas.
Como provisionar o ExpressRoute
O HSM dedicado usa o gateway do ExpressRoute como um "túnel" para comunicação entre o espaço de endereços IP privado do cliente e o HSM físico em um datacenter do Azure. Considerando que há uma restrição de um gateway por rede virtual, os clientes que precisam de conexão com seus recursos locais por meio do ExpressRoute devem usar outra rede virtual para essa conexão.
Endereço IP privado do HSM
Os modelos de exemplo fornecidos para o HSM Dedicado pressupõem que o IP do HSM é automaticamente extraído de um determinado intervalo de sub-rede. Você pode especificar um endereço IP explícito para o HSM por meio de um atributo "NetworkInterfaces" no modelo do ARM.
Inicialização do HSM
A inicialização prepara um novo HSM para uso ou um HSM existente para reutilização. A inicialização do HSM deve ser concluída antes que você possa gerar ou armazenar objetos, permitir que os clientes se conectem ou executem operações criptográficas.
Credenciais perdidas
A perda da senha do administrador do Shell resultará na perda do material da chave HSM. Uma solicitação de suporte deve ser feita para redefinir o HSM. Ao inicializar o HSM, armazene as credenciais com segurança. As credenciais de shell e HSM devem ser mantidas de acordo com as políticas da empresa.
Logons com falha
Fornecer credenciais incorretas para HSMs pode ter consequências destrutivas. A seguir estão os comportamentos padrão para Funções do HSM.
| Função | Limite (nº de tentativas) | Resultado de muitas tentativas de entrada incorretas | Recuperação |
|---|---|---|---|
| SO do HSM | 3 | O HSM está zerando (todas as identidades de objetos HSM e todas as partições foram removidas) | O HSM deve ser reinicializado. Os conteúdos podem ser restaurado do backup. |
| SO da partição | 10 | A partição está zerando. | A partição deve ser reinicializada. O conteúdo pode ser restaurado do backup. |
| Audit | 10 | Bloquear | Desbloqueado automaticamente após 10 minutos. |
| Crypto Officer | 10 (pode ser reduzido) | Se a política 15 do HSM: habilitar redefinição de SO do PIN da partição está definido como 1 (habilitado), as funções CO e CU estão bloqueadas. Se a política 15 do HSM: habilitar a redefinição de SO do PIN da partição está definido como 0 (desabilitado), as funções CO e CU estão bloqueadas permanentemente e o conteúdo da partição não está mais acessível. Configuração padrão. |
A função CO deve ser desbloqueada e a credencial deve ser redefinida pelo SO da Partição usando role resetpw -name co.A partição deve ser reinicializada e o material de chave deve ser restaurado de um dispositivo de backup. |
Configuração do HSM
Os seguintes itens são uma situação em que os erros de configuração são comuns ou têm um impacto que vale a pena destacar:
Software e documentação do HSM
O software e a documentação dos dispositivos HSM 7 da Thales Luna não estão disponíveis na Microsoft e precisam ser baixados diretamente da Thales. O registro é necessário usando a ID do Cliente da Thales recebida durante o processo de registro. Os dispositivos, conforme fornecidos pela Microsoft, têm a versão de software 7.2 e a versão de firmware 7.0.3. No início de 2020, a Thales tornou a documentação pública e ela pode ser encontrada aqui.
Configuração de rede do HSM
Tenha cuidado ao configurar a rede no HSM. O HSM tem uma conexão por meio do gateway do ExpressRoute de um espaço de endereço IP privado do cliente diretamente para o HSM. Esse canal de comunicação destina-se somente à comunicação do cliente e a Microsoft não tem acesso. Se o HSM estiver configurado de maneira que esse caminho de rede seja afetado, isso significará que toda a comunicação com o HSM será removida. Nessa situação, a única opção é gerar uma solicitação de suporte da Microsoft por meio do portal do Azure para que o dispositivo seja redefinido. Esse procedimento de redefinição define o HSM de volta para o estado inicial e toda a configuração e o material da chave são perdidos. A configuração deve ser recriada e, quando o dispositivo ingressar no grupo de HA, o material da chave é replicado.
Reinicialização de dispositivo do HSM
Algumas alterações de configuração exigem que o HSM seja desligado ou reinicializado. Os testes da Microsoft do HSM no Azure determinaram que, em algumas ocasiões, a reinicialização poderia parar de responder. A implicação é que uma solicitação de suporte deve ser criada no portal do Azure solicitando a reinicialização física e que pode levar até 48 horas para ser concluída, considerando que se trata de um processo manual em um datacenter do Azure. Para evitar essa situação, verifique se você implantou o patch de reinicialização disponível diretamente da Thales. Confira KB0019789 nos Downloads do HSM 7 da Thales Luna 7.2 para obter um patch recomendado para um problema em que o sistema deixa de responder durante a reinicialização (observação: você deve se registrar no portal de suporte ao cliente da Thales para download).
Certificados NTLS fora de sincronia
Um cliente pode perder a conectividade com um HSM quando um certificado expira ou for substituído por meio de atualizações de configuração. A configuração do cliente de troca de certificado deve ser reaplicada a cada HSM. Exemplo de NTLS registrando em log com um certificado inválido:
NTLS[8508]: informações: 0 : solicitação de conexão de entrada... : 192.168.50.2/59415 NTLS[8508]: A mensagem de erro do SSLAccept é: error:14094418:Rotinas de SSL:ssl3_read_bytes:tlsv1 alerta desconhecido ca NTL [8508]: Erro durante a aceitação de SSL ( RC_SSL_ERROR ) NTLS[8508]: informações: 0xc0000711: Falha ao estabelecer um canal seguro com o cliente: 192.168.50.2/59415 : RC_SSL_FAILED_HANDSHAKE NTLS[8508]: informações: 0: Instância de conexão "Nome do host desconhecido" do cliente NTLS removida: 192.168.50.2/59415
Falha na comunicação TCP
A comunicação da instalação do Cliente Luna com o HSM requer pelo menos a porta TCP 1792. Considere isso, uma vez que todas as configurações de rede são alteradas no ambiente.
O membro do grupo de HA com falha não se recupera
Se um membro do grupo de HA com falha não se recuperar, ele deverá ser recuperado manualmente do cliente Luna usando o comando hagroup recover. É necessário configurar uma contagem de repetição para que um grupo de HA habilite a recuperação automática. Por padrão, um grupo de HA não tentará recuperar um membro de HA no grupo quando ele for recuperado.
O grupo de HA não está sincronizado
No caso em que as partições de membro não têm o mesmo domínio de clonagem, o comando de sincronização de HA exibirá o seguinte: Aviso: a sincronização pode falhar. Os membros no slot 0 e no slot 1 têm configurações conflitantes para a clonagem da chave privada. Uma nova partição com o domínio de clonagem correto deve ser adicionada ao grupo de HA, seguida da remoção da partição configurada incorretamente.
Desprovisionamento do HSM
Apenas quando totalmente concluído com um HSM ele poderá ser desprovisionado, então a Microsoft o redefinirá e o retornará para um pool gratuito.
Como excluir um recurso do HSM
NÃO EXCLUA o Grupo de Recursos do seu HSM Dedicado diretamente. Ele não excluirá o recurso HSM e você continuará a ser cobrado, pois ele coloca o HSM em um estado órfão. Se você não seguiu os procedimentos corretos e acabou nessa situação, entre em contato com o Suporte da Microsoft.
Etapa 1: zerar o HSM. O recurso do Azure para um HSM não pode ser excluído, a menos que o HSM esteja em um estado "zerado". Portanto, todo o material da chave deve ter sido excluído antes de tentar excluí-la como um recurso. A maneira mais rápida de zerar é obter a senha de administrador do HSM incorreta três vezes (observação: isso se refere ao administrador do HSM e não ao administrador no nível do dispositivo). Use o comando 'hsm login' e insira uma senha errada três vezes. O shell Luna tem um comando -factoryreset que zera o HSM, mas ele só pode ser executado por meio do console na porta serial e os clientes não têm acesso.
Etapa 2: após zerar o HSM, use qualquer um dos comandos a seguir para iniciar o recurso Excluir HSM Dedicado
CLI do Azure: az dedicated-hsm delete --resource-group <nome do RG> –-name <nome do HSM>
Azure PowerShell: Remove-AzDedicatedHsm -Name <nome do HSM> -ResourceGroupName <nome do RG>
Etapa 3: após a Etapa 2 ser bem-sucedida, exclua o grupo de recursos a fim de remover os outros recursos associados ao HSM dedicado usando a CLI do Azure ou Azure PowerShell.
CLI do Azure: az group delete --name <nome do RG>
Azure PowerShell: Remove-AzResourceGroup -Name <nome do RG>
Próximas etapas
Este artigo forneceu informações sobre áreas no ciclo de vida de implantação do HSM que podem ter problemas ou exigir solução de problemas ou avaliação cuidadosa. Espero que este artigo ajude você a evitar atrasos e frustrações desnecessários e, se você tiver contribuições ou alterações relevantes, gere uma solicitação de suporte com a Microsoft e avise-nos.