Partilhar via

Guia de início rápido: implantar o Azure Cloud HSM usando o portal do Azure

O Azure Cloud HSM é um serviço de locatário único altamente disponível, validado pelo FIPS 140-3 Nível 3, que permite implantar módulos de segurança de hardware (HSMs) usando vários métodos. Esses métodos incluem a CLI do Azure, o Azure PowerShell, os modelos do Azure Resource Manager (modelos ARM), o Terraform ou o portal do Azure. Este guia de início rápido orienta você pelo processo de implantação no portal do Azure.

Pré-requisitos

  • Uma conta do Azure com uma assinatura ativa. Se você não tiver uma, crie uma conta gratuita antes de começar.
  • Permissões apropriadas para criar recursos em sua assinatura, incluindo a capacidade de criar recursos HSM e identidades gerenciadas.
  • Para ambientes de produção, deve existir uma rede virtual e uma sub-rede para configurar pontos de extremidade privados.

Observação

Se você não tiver uma rede virtual e uma sub-rede prontas, ainda poderá criar o HSM primeiro e adicionar conectividade de rede posteriormente. É altamente recomendável que você use pontos de extremidade privados para ambientes de produção, conforme descrito em Segurança de rede para Azure Cloud HSM.

Criar um recurso do Azure Cloud HSM

Para criar um recurso do Azure Cloud HSM através do portal do Azure:

  1. Inicie sessão no portal Azure.

  2. Procure e selecione Azure Cloud HSMs.

  3. Selecione Criar.

Captura de ecrã do portal do Azure que mostra seleções para criar um recurso Cloud HSM.

Configurar as definições básicas

Na guia Noções básicas:

  1. Selecione sua assinatura do Azure.

  2. Escolha um grupo de recursos existente ou crie um novo.

    Recomendamos que você implante seus recursos do Cloud HSM em um grupo de recursos separado dos recursos relacionados da rede virtual do cliente e da máquina virtual (VM). Esta separação proporciona uma melhor gestão e isolamento de segurança.

  3. Especifique os valores de Nome, Região e Sku (camada de produto) do HSM.

    O nome HSM deve ser exclusivo. Se você especificar um nome de recurso HSM que já existe na região escolhida, sua implantação falhará.

  4. Mantenha a configuração padrão Reutilização de Nome de Domínio como Reutilização de Locatário. Essa configuração ajuda a evitar a invasão mal-intencionada de subdomínios e garante que o FQDN (nome de domínio totalmente qualificado) possa ser reutilizado somente em seu locatário.

Captura de tela das definições de configuração básica do Cloud HSM para assinatura, grupo de recursos, nome, região e camada de produto.

Configurar uma identidade gerenciada (opcional)

Na guia Identidade Gerenciada , considere as seguintes opções:

  • Sem identidade: selecione esta opção se não planeja usar operações de backup e restauração.

    Por padrão, o Azure Cloud HSM é definido como Sem Identidade porque usa principalmente a autenticação baseada em senha com gerenciamento de usuários manipulado diretamente no HSM. No entanto, para operações de backup e restauração, você precisa de uma identidade gerenciada.

    Captura de tela da guia para configuração de identidade que mostra a opção padrão Sem identidade selecionada para o Cloud HSM.

  • User-Assigned Identidade: recomendamos que você selecione essa opção para continuidade de negócios e recuperação de desastres (BCDR). Cada cluster do Cloud HSM pode ter apenas uma identidade gerenciada, mas você pode usar a mesma identidade gerenciada para vários HSMs ou atribuir outros.

    Captura de tela da guia para configuração de identidade que mostra a opção Identidade User-Assigned selecionada para operações de backup e restauração do Cloud HSM.

Para obter instruções detalhadas sobre como configurar uma identidade atribuída pelo usuário para operações de backup e restauração, consulte Aplicar uma identidade gerenciada e criar uma conta de armazenamento.

Configurar a rede

Para uma conectividade segura, estabeleça um endpoint privado para o Azure Cloud HSM. Esta tarefa requer uma rede virtual existente.

Na guia Redes:

  1. Selecione a assinatura que contém sua rede virtual.

  2. Selecione sua rede virtual e sub-rede.

  3. Configure as configurações de integração do DNS (Sistema de Nomes de Domínio) conforme necessário.

Captura de tela da guia para configuração de rede, com a seção para configurar um ponto de extremidade privado para conectividade segura com o Cloud HSM.

Sugestão

Os terminais privados são cruciais para a segurança. Eles permitem conexões seguras com o Azure Cloud HSM por meio de um link privado. Essas conexões garantem que o tráfego entre sua rede virtual e o serviço percorra a rede de backbone da Microsoft. Essa configuração elimina a exposição à Internet pública, conforme descrito em Segurança de rede para Azure Cloud HSM.

Adicionar tags (opcional)

As tags são pares nome/valor que ajudam a organizar e categorizar recursos para gerenciamento e relatórios. No separador Etiquetas , pode introduzir detalhes para criar etiquetas. Esta etapa é opcional, mas recomendada para a organização de recursos, especialmente em ambientes corporativos.

Captura de tela da guia para criar tags para organizar recursos do Cloud HSM com pares nome/valor.

Implante seu recurso Cloud HSM

Na guia Revisão + envio :

  1. Analise todos os detalhes do HSM, incluindo identidade gerenciada e configurações de rede.

  2. Selecione Criar para começar a provisionar seu recurso do Azure Cloud HSM.

Captura de ecrã do portal do Azure que mostra o separador para rever os detalhes do recurso, juntamente com o botão Criar.

O portal exibe A implantação está em andamento enquanto cria o recurso. Quando a implantação terminar, o portal exibirá Sua implantação está concluída.

Captura de tela do painel do portal do Azure que mostra a implantação concluída com êxito de um recurso do Cloud HSM.

Inicializar e configurar o HSM

Não é possível ativar ou configurar o Azure Cloud HSM através do portal. Você deve usar o SDK do Azure Cloud HSM e as ferramentas de cliente.

Depois de implantar seu recurso Cloud HSM, siga estas etapas:

  1. Baixe e instale o SDK do Azure Cloud HSM do GitHub em uma VM que tenha conectividade de rede com seu HSM.

  2. Inicialize e configure seu HSM seguindo as etapas detalhadas no guia de integração do Azure Cloud HSM.

  3. Estabeleça o gerenciamento de usuários com oficiais de criptografia e usuários apropriados, conforme descrito em Gerenciamento de usuários no Azure Cloud HSM.

  4. Implemente práticas de gerenciamento de chaves adequadas para ajudar a garantir a segurança e o desempenho ideais, conforme descrito em Gerenciamento de chaves no Azure Cloud HSM.

Limpeza de recursos

Se você criou um grupo de recursos exclusivamente para este início rápido e não precisa manter esses recursos, pode excluir todo o grupo de recursos:

  1. No portal do Azure, vá para o grupo de recursos que contém seus recursos do Cloud HSM.

  2. Selecione Eliminar grupo de recursos.

  3. Introduza o nome do grupo de recursos para confirmar a eliminação e, em seguida, selecione Eliminar.

Solucionar problemas comuns de implantação

Se você encontrar problemas durante a implantação:

  • Conflitos de nome de recurso: assegure-se de que o nome do HSM seja exclusivo na região. Se a implantação falhar com um conflito de nomenclatura, tente um nome diferente.
  • Problemas de conectividade de rede: verifique se sua VM tem acesso de rede adequado ao HSM. Para obter as práticas recomendadas, consulte Segurança de rede para o Azure Cloud HSM.
  • Falhas de autenticação: verifique se você está usando o formato correto para credenciais, conforme detalhado em Autenticação no Azure Cloud HSM.
  • Erros de conexão do cliente: verifique se o cliente Azure Cloud HSM está em execução e configurado corretamente. Para problemas comuns de conexão de cliente, consulte Solucionar problemas do Azure Cloud HSM.

Conteúdo relacionado

  • Last updated on