Поделиться через

Проверка трафика платежного HSM в Azure

Модуль безопасности платежного оборудования Azure (платежный HSM или PHSM) — это служба на голом железе, обеспечивающая операции криптографического ключа для критически важных транзакций в режиме реального времени в облаке Azure. Дополнительные сведения см. в статье "Что такое HSM для оплаты Azure?".

При развертывании HSM для обработки платежей, он поставляется с сетевым интерфейсом для узла и сетевым интерфейсом для управления. Существует несколько сценариев развертывания:

  1. Порты хоста и управления в одной виртуальной сети.
  2. Хосты и порты управления в разных виртуальных сетях.
  3. Управляющий порт узла с IP-адресами в разных виртуальных сетях.

Во всех приведенных выше сценариях платежный модуль HSM — это служба, внедренная в виртуальную сеть, в делегированную подсеть: hsmSubnet и managementHsmSubnet должны быть делегированы службе Microsoft.HardwareSecurityModules/dedicatedHSMs.

Если вы хотите настроить таблицу маршрутов (маршрут UDR) для управления маршрутизацией пакетов через сетевое виртуальное устройство или брандмауэр, направленных на Azure HSM для оплаты из источника в той же виртуальной сети или соединённой виртуальной сети, префикс UDR должен быть более конкретным или равным размеру делегированной подсети Azure HSM для оплаты. Если префикс UDR меньше, чем размер делегированной подсети, он не действует. Например, если делегированная подсеть имеет значение x.x.x.x/24, необходимо настроить UDR на x.x.x.x/24 (равно) или x.x.x.x/32 (более конкретно). Если маршрут UDR настроен как x.x.x.x/16, неопределённое поведение, например асимметричная маршрутизация, может привести к сбою в сети на брандмауэре.

Это важно

Эта FastPathEnabled функция должна быть зарегистрирована и утверждена для всех подписок, которым требуется доступ к HSM для оплаты. Кроме того, необходимо включить fastpathenabled тег в виртуальной сети, в которой размещена делегированная подсеть Payment HSM, и на каждой одноранговой виртуальной сети, требующей подключения к устройствам HSM для платёжных операций.

fastpathenabled Чтобы тег виртуальной сети был допустимым, эта функция должна быть включена в подписке, FastPathEnabled в которой развернута эта виртуальная сеть. Для подключения ресурсов к устройствам HSM для оплаты необходимо выполнить оба шага. Дополнительные сведения см. в разделе FastPathEnabled.

PHSM несовместим с топологиями vWAN или пирингом между регионами, как указано в поддерживаемой топологии. HSM для платежей поставляется с некоторыми ограничениями политики для этих подсетей: группы безопасности сети (NSG) и User-Defined маршруты (UDR), не поддерживаются в настоящее время.

Можно обойти актуальное ограничение UDR и проанализировать трафик, предназначенный для платёжного модуля HSM. В этой статье представлено два способа: брандмауэр с преобразованием исходного сетевого адреса (SNAT) и брандмауэром с обратным прокси-сервером.

Брандмауэр с преобразованием исходного сетевого адреса (SNAT)

Этот дизайн вдохновлен выделенной архитектурой решения HSM.

Брандмауэр SNATs IP-адрес клиента перед пересылкой трафика в PHSM NIC, гарантируя, что возвращаемый трафик автоматически направляется обратно в брандмауэр. Брандмауэр Azure или сторонний NVA FW можно использовать в этом проекте.

Схема архитектуры брандмауэра с помощью SNAT

Обязательные таблицы маршрутов:

  • На площадке до PHSM: таблица маршрутов, содержащая UDR для диапазона подсети Payment HSM и указывающая на брандмауэр центрального концентратора, применяется к шлюзу Subnet.
  • Спицевые виртуальные сети к PHSM: таблица маршрутов, содержащая обычный маршрут по умолчанию, который указывает на центральный узловой брандмауэр, применяется к одной или нескольким подсетям спицевых виртуальных сетей.

Результаты:

  • Определяемые пользователем маршруты, которые не поддерживаются в подсети PHSM, решается с помощью брандмауэра, который выполняет SNAT для IP-адреса клиента: при пересылке трафика в PHSM, возвращающийся трафик автоматически перенаправляется обратно в брандмауэр.
  • Правила фильтрации, которые не могут быть применены с помощью групп безопасности сети в подсети PHSM, можно настроить в брандмауэре.
  • Как трафик сети Spoke, так и локальный трафик в среду PHSM обеспечиваются защитой.

Брандмауэр с обратным прокси-сервером

Эта конструкция является хорошим вариантом при выполнении SNAT в брандмауэре, неутвержденном командами безопасности сети, требуя вместо этого сохранить исходные и конечные IP-адреса без изменений для пересечения брандмауэра.

Эта архитектура использует обратный прокси-сервер, развернутый в выделенной подсети в виртуальной сети PHSM непосредственно или в одноранговой виртуальной сети. Вместо отправки трафика на устройства PHSM назначение устанавливается на обратный IP-адрес прокси-сервера, расположенный в подсети, которая не имеет ограничений делегированной подсети PHSM: можно настроить группы безопасности сети и UDR, а также брандмауэр в центральном концентраторе.

Схема архитектуры брандмауэра с обратным прокси-сервером

Для этого решения требуется обратный прокси-сервер, например:

  • F5 (Azure Marketplace; на базе виртуальной машины)
  • NGINXaaS (Azure Marketplace; Полностью управляемый paaS)
  • Обратный прокси-сервер с помощью NGINX (на основе виртуальной машины)
  • Обратный прокси-сервер с помощью HAProxy (на основе виртуальной машины)

Пример обратного прокси-сервера с помощью конфигурации NGINX (на основе виртуальной машины) для балансировки трафика TCP:

# Nginx.conf  
stream { 
    server { 
        listen 1500; 
        proxy_pass 10.221.8.4:1500; 
    } 

    upstream phsm { 
        server 10.221.8.5:443; 
    } 

    server { 
        listen 443; 
        proxy_pass phsm; 
        proxy_next_upstream on; 
    } 
} 

Обязательные таблицы маршрутов:

  • Переход от локальной среды к PHSM: таблица маршрутов, содержащая UDR для диапазона подсети платежного HSM и указывающая на центральный брандмауэр концентратора, применяется к шлюзу Subnet.
  • Периферийные виртуальные сети (Spoke VNet), связанные с PHSM: таблица маршрутизации, содержащая типичный маршрут по умолчанию, указывающий на центральный брандмауэр узла, применяется к одной или нескольким подсетям этих периферийных виртуальных сетей.

Это важно

Распространение маршрута шлюза должно быть отключено в подсети обратного прокси-сервера, поэтому достаточно 0/0 UDR для принудительного возврата трафика через брандмауэр.

Результаты:

  • UDR, которые не поддерживаются в подсети PHSM, можно настроить в подсети обратного прокси-сервера.
  • Обратный прокси-сервер выполняет SNAT (Преобразование сетевого адреса источника) для IP-адреса клиента: при перенаправлении трафика в PHSM обратный трафик автоматически будет направляться обратно к прокси-серверу.
  • Правила фильтрации, которые не могут быть применены с помощью групп безопасности сети в подсети PHSM, можно настроить на брандмауэре и (или) в группах безопасности сети, примененных к обратной подсети прокси-сервера.
  • Как трафик сети Spoke, так и локальный трафик в среду PHSM обеспечиваются защитой.

Дальнейшие действия

  • Last updated on