Краткое руководство: Как подготовить и активировать управляемый HSM через портал Azure

В этом кратком руководстве вы создадите и активируете управляемый модуль HSM Azure Key Vault (аппаратный модуль безопасности) с помощью портала Azure. Управляемый модуль HSM — это полностью управляемая, высокодоступная, однотенантная и совместимая со стандартами облачная служба, которая позволяет защитить криптографические ключи для облачных приложений с помощью FIPS 140-3 уровня 3 , проверенных HSM. Дополнительные сведения об управляемом HSM см. в обзоре.

Необходимые условия

Требуется подписка Azure. Если у вас еще нет аккаунта, создайте бесплатную учетную запись, прежде чем начать.

Создание управляемого устройства HSM

Создание управляемого модуля HSM выполняется в два этапа.

  1. Создание управляемого ресурса HSM.
  2. Активация управляемого модуля HSM путем скачивания артефакта, который называется доменом безопасности.

Настройка управляемого модуля HSM

  1. Войдите на портал Azure.

  2. В поле поиска введите управляемый HSM и выберите управляемые пулы HSM из результатов.

  3. Нажмите кнопку "Создать".

  4. На вкладке Основные сведения укажите следующую информацию.

    • Подписка. Выберите нужную подписку.

    • Группа ресурсов: выберите "Создать" и введите myResourceGroup.

    • Имя управляемого HSM: Введите имя для вашего управляемого HSM.

      Important

      Управляемый модуль HSM должен иметь уникальное имя.

    • Регион: выберите восточную часть США (или предпочитаемый регион).

    • Initial administrator(s): найдите и выберите пользователей или группы Microsoft Entra для назначения в качестве первоначальных администраторов.

    Скриншот вкладки Create Azure Key Vault Managed HSM Basics на портале Azure.

  5. При необходимости настройте параметры на вкладках "Дополнительно", "Сеть" и "Теги ".

  6. Выберите Проверить и создать, а затем выберите Создать.

    Развертывание занимает несколько минут. По завершении перейдите к ресурсу, чтобы просмотреть страницу обзора.

    Screenshot страницы обзора управляемого модуля HSM на портале Azure.

Note

Процесс подготовки может занять несколько минут. После успешного завершения вы будете готовы к активации HSM.

Предупреждение

Управляемые экземпляры HSM всегда используются. Если включить защиту очистки с помощью флага --enable-purge-protection , вы платите за весь период хранения.

Активация управляемого модуля HSM

Все команды плоскости данных отключены, пока не активируется HSM. Нельзя создавать ключи или назначать роли. Только указанные администраторы, назначенные в процессе выполнения команды создания, могут активировать HSM. Чтобы активировать HSM, необходимо скачать домен безопасности.

Чтобы активировать HSM, вам потребуется:

  • Не менее трех пар ключей RSA (максимум 10)
  • Минимальное количество ключей, необходимых для расшифровки домена безопасности (называемого кворумом)

Вы отправляете по крайней мере три открытых ключа RSA (не более 10) в HSM. HSM шифрует домен безопасности с помощью этих ключей и отправляет их обратно. После успешного скачивания домена безопасности устройство HSM будет готово к использованию. Также необходимо указать кворум, который является минимальным количеством закрытых ключей, необходимых для расшифровки домена безопасности.

В следующем примере показано, как с помощью openssl сгенерировать три самозаверяющих сертификата:

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Срок действия сертификата не влияет на операции домена безопасности, даже сертификат с истекшим сроком действия по-прежнему можно использовать для восстановления домена безопасности.

Important

Эти закрытые ключи RSA являются корнем доверия для вашего управляемого HSM. В производственных средах создайте эти ключи с помощью системы с воздушным зазором или локальной системы HSM, а затем храните их в безопасности. Подробные рекомендации см. в рекомендациях по домену безопасности .

  1. На портале Azure перейдите к ресурсу Управляемого устройства HSM.

  2. В меню слева в разделе "Параметры" выберите "Домен безопасности".

  3. Следуйте инструкциям на портале, чтобы отправить сертификаты открытого ключа RSA (минимум три) и задать значение кворума.

  4. Скачайте зашифрованный файл домена безопасности.

Important

Сохраните файл домена безопасности и закрытые ключи RSA в безопасном отдельном расположении. Вам потребуется восстановить управляемый HSM в случае сценария аварийного восстановления. Потеря домена безопасности может привести к постоянному потере доступа.

Безопасно храните файл домена безопасности и пары ключей RSA. Вам они нужны для аварийного восстановления или для создания другого Managed HSM, использующего тот же домен безопасности, чтобы оба устройства могли совместно использовать ключи.

После успешного скачивания домена безопасности HSM находится в активном состоянии и готов к использованию.

Очистите ресурсы

При отсутствии необходимости можно удалить группу ресурсов, которая удаляет управляемый HSM и все связанные ресурсы:

  1. На портале Azure найдите и выберите группы ресурсов.
  2. Выберите группу ресурсов (например, myResourceGroup).
  3. Выберите команду Удалить группу ресурсов.
  4. Введите имя группы ресурсов и нажмите кнопку "Удалить".

Предупреждение

При удалении группы ресурсов управляемый модуль HSM переходит в состояние мягкого удаления. Управляемый модуль HSM продолжает выставляться на счет до тех пор, пока он не будет удален. См. статью Мягкое удаление и защита от очистки для управляемых HSM.

Дальнейшие действия

В этом кратком руководстве вы подготовили управляемый модуль HSM и активировали его. Чтобы узнать больше об управляемом HSM и о том, как интегрировать его с приложениями, перейдите к этим статьям.

  • Last updated on