Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Payment HSM é um serviço "BareMetal" fornecido usando os módulos de segurança de hardware de pagamento (HSM) Thales payShield 10K para fornecer operações de chave criptográfica para transações de pagamento críticas em tempo real na nuvem do Azure. O Azure Payment HSM foi projetado especificamente para ajudar um provedor de serviços e uma instituição financeira individual a acelerar a estratégia de transformação digital de seus sistemas de pagamento e adotar a nuvem pública. Para obter mais informações, consulte Azure Payment HSM: Visão geral.
Este tutorial descreve como criar um HSM de pagamento com o host e a porta de gerenciamento em diferentes redes virtuais, usando a CLI do Azure ou o Azure PowerShell. Em vez disso, pode:
- Criar um HSM de pagamento com o host e a porta de gerenciamento na mesma rede virtual usando a CLI do Azure ou o PowerShell
- Criar um HSM de pagamento com o host e a porta de gerenciamento na mesma rede virtual usando um modelo ARM
- Crie um HSM de pagamento com o host e a porta de gerenciamento em diferentes redes virtuais usando um modelo ARM
- Criar recurso HSM com host e porta de gerenciamento com endereços IP em diferentes redes virtuais usando modelo ARM
Um modelo do Azure Resource Manager é um arquivo JSON (JavaScript Object Notation) que define a infraestrutura e a configuração do seu projeto. O modelo usa sintaxe declarativa. Você descreve a implantação pretendida sem escrever a sequência de comandos de programação para criar a implantação.
Pré-requisitos
Importante
O Azure Payment HSM é um serviço especializado. Para se qualificar para integração e uso do Azure Payment HSM, os clientes devem ter um Gerente de Conta da Microsoft atribuído e ter um Arquiteto de Serviços de Nuvem (CSA).
Para saber mais sobre o serviço, iniciar o processo de qualificação e preparar os pré-requisitos antes da integração, peça ao seu gerente de conta da Microsoft e ao CSA para enviar uma solicitação por email.
Você deve registrar os provedores de recursos "Microsoft.HardwareSecurityModules" e "Microsoft.Network", bem como os recursos do Azure Payment HSM. As etapas para fazer isso estão em Registrar o fornecedor de recursos do HSM de pagamento do Azure e as funcionalidades do fornecedor.
Para verificar rapidamente se os provedores de recursos e recursos já estão registrados, use o comando Azure CLI az provider show . (A saída deste comando é mais legível quando exibida em formato de tabela.)
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o tableVocê pode continuar com este início rápido se todos esses quatro comandos retornarem "Registrado".
Você deve ter uma assinatura do Azure. Você pode criar uma conta gratuita se não tiver uma.
Utilize o ambiente Bash no Azure Cloud Shell. Para mais informações, veja Get started with Azure Cloud Shell.
Se preferir executar comandos de referência da CLI localmente, instale o CLI do Azure. Se estiver a usar Windows ou macOS, considere executar o Azure CLI num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.
Se você estiver usando uma instalação local, entre na CLI do Azure usando o comando az login . Para concluir o processo de autenticação, siga os passos exibidos no seu terminal. Para outras opções de entrada, consulte Autenticar no Azure usando a CLI do Azure.
Quando solicitado, instale a extensão do Azure CLI na primeira utilização. Para obter mais informações sobre extensões, consulte Usar e gerenciar extensões com a CLI do Azure.
Execute az version para descobrir a versão e as bibliotecas dependentes que estão instaladas. Para atualizar para a versão mais recente, execute az upgrade.
Criar um grupo de recursos
- da CLI do Azure
- Azure PowerShell
Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Use o comando az group create para criar um grupo de recursos chamado myResourceGroup na localização eastus.
az group create --name "myResourceGroup" --location "EastUS"
Criar redes virtuais e sub-redes
Antes de criar um HSM de pagamento, você deve primeiro criar uma rede virtual / sub-rede para o host e uma rede virtual / sub-rede diferente para a porta de gerenciamento.
- da CLI do Azure
- Azure PowerShell
Primeiro, use o comando Azure CLI az network vnet create para criar a rede virtual para o host:
az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"
Depois, use o comando Azure CLI az network vnet subnet update para atualizar a sub-rede e dar-lhe uma delegação de "Microsoft.HardwareSecurityModules/dedicatedHSMs":
az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Para verificar se a VNet e a sub-rede foram criadas corretamente, use o comando Azure CLI az network vnet subnet show :
az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet
Anote o ID de sub-rede do host, que é usado ao criar o HSM de pagamento. O ID da sub-rede termina com o nome da sub-rede:
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",
Agora crie outra rede virtual e sub-rede para a porta de gerenciamento:
az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"
Novamente, use o comando Azure CLI az network vnet subnet update para atualizar a sub-rede e dar-lhe uma delegação de "Microsoft.HardwareSecurityModules/dedicatedHSMs":
az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Para verificar se a VNet de gerenciamento e a sub-rede foram criadas corretamente, use o comando Azure CLI az network vnet subnet show :
az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"
Você também precisa do ID da sub-rede de gestão ao criar o HSM de pagamento.
Criar um HSM de pagamento
Criar com anfitriões dinâmicos
- da CLI do Azure
- Azure PowerShell
Para criar um HSM de pagamento com hosts dinâmicos, use o comando az dedicated-hsm create . O exemplo a seguir cria um HSM de pagamento nomeado myPaymentHSM na região eastus, no grupo de recursos myResourceGroup e na assinatura especificada, rede virtual e sub-rede:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<host-subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--mgmt-network-subnet id="<management-subnet-id>"
Para ver as interfaces de rede recém-criadas, use o comando az network nic list , fornecendo o grupo de recursos:
az network nic list -g myResourceGroup -o table
Na saída, o host 1 e o host 2 são listados, bem como uma interface de gerenciamento:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Para ver as interfaces de rede recém-criadas, use o comando az network nic show , fornecendo o grupo de recursos e o nome da interface de rede:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
A saída contém esta linha:
"privateIPAllocationMethod": "Dynamic",
Criar com hosts estáticos
- da CLI do Azure
- Azure PowerShell
Para criar um HSM de pagamento com hosts estáticos, use o comando az dedicated-hsm create . O exemplo a seguir cria um HSM de pagamento nomeado myPaymentHSM na região eastus, no grupo de recursos myResourceGroup e na assinatura especificada, rede virtual e sub-rede:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--mgmt-network-subnet id="<management-subnet-id>"
--network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")
Se desejar também especificar um IP estático para o host de gerenciamento, você pode adicionar:
--mgmt-network-interfaces private-ip-address="10.0.0.7"
Para ver as interfaces de rede recém-criadas, use o comando az network nic list , fornecendo o grupo de recursos:
az network nic list -g myResourceGroup -o table
Na saída, o host 1 e o host 2 são listados, bem como a interface de gerenciamento:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Para exibir as propriedades de uma interface de rede, use o comando az network nic show , fornecendo o grupo de recursos e o nome da interface de rede:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
A saída contém esta linha:
"privateIPAllocationMethod": "Static",
Próximos passos
Avance para o próximo artigo para saber como visualizar o seu HSM de pagamento.
Informações complementares:
- Leia uma visão geral do HSM de pagamento
- Saiba como começar a usar o Azure Payment HSM
- Veja alguns cenários comuns de implantação
- Saiba mais sobre certificação e conformidade
- Leia as perguntas frequentes