Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questa guida rapida, si procede a creare e attivare un HSM gestito di Azure Key Vault utilizzando il portale di Azure. Il modulo di protezione hardware gestito è un servizio cloud completamente gestito, a disponibilità elevata, a tenant singolo e conforme agli standard che consente di proteggere le chiavi crittografiche per le applicazioni cloud, usando moduli di protezione hardware convalidati FIPS 140-3 di livello 3 . Per ulteriori informazioni sull'HSM gestito, consultare la Panoramica.
Prerequisiti
È necessaria una sottoscrizione Azure. Se non ne hai uno, crea un account gratuito prima di iniziare.
Creare un modulo di protezione hardware gestito
La creazione di un modulo di protezione hardware gestito è un processo in due passaggi:
- Provisioning di una risorsa modulo di protezione hardware gestito.
- Attivare il modulo di protezione hardware gestito scaricando un artefatto noto come dominio di sicurezza.
Effettuare il provisioning di un modulo di protezione hardware gestito
Accedere al portale Azure.
Nella casella di ricerca, immettere HSM gestito e selezionare Pool HSM gestiti dai risultati.
Fare clic su Crea.
Nella scheda Nozioni di base specificare le informazioni seguenti:
Sottoscrizione: selezionare la sottoscrizione che si vuole usare.
Gruppo di risorse: selezionare Crea nuovo e immettere myResourceGroup.
Nome HSM gestito: Inserisci un nome per il tuo HSM gestito.
Importante
Ogni modulo di protezione hardware gestito deve avere un nome univoco.
Area: selezionare Stati Uniti orientali (o l'area preferita).
Amministratori iniziali : cercare e selezionare gli utenti o i gruppi Microsoft Entra da designare come amministratori iniziali.
Modificare le impostazioni nelle schede Avanzate, Rete e Tag in base alle esigenze.
Selezionare Rivedi e crea e quindi Crea.
L'implementazione richiede alcuni minuti per essere completata. Al termine, passare alla risorsa per visualizzare la relativa pagina Panoramica.
Note
Il processo di provisioning può richiedere alcuni minuti. Una volta completato con successo, sei pronto per attivare il tuo modulo di protezione hardware.
Avvertimento
Le istanze HSM gestite sono sempre utilizzate. Se si abilita la protezione dall'eliminazione usando il --enable-purge-protection flag , si paga per l'intero periodo di conservazione.
Attivare il modulo di protezione hardware gestito
Tutti i comandi del piano dati vengono disabilitati fino a quando non si attiva l'HSM. Non è possibile creare chiavi o assegnare ruoli. Solo gli amministratori assegnati come designati durante il comando create possono attivare l'HSM. Per attivare il modulo di protezione hardware, è necessario scaricare il dominio di sicurezza.
Per attivare il tuo HSM, è necessario:
- Almeno tre coppie di chiavi RSA (massimo 10)
- Numero minimo di chiavi necessarie per decrittografare il dominio di sicurezza (denominato quorum)
Si inviano almeno tre chiavi pubbliche RSA (massimo 10) al modulo di protezione hardware. Il modulo di protezione hardware crittografa il dominio di sicurezza con queste chiavi e lo restituisce. Al termine del download del dominio di sicurezza, il modulo di protezione hardware è pronto per l'uso. È anche necessario specificare il quorum, ovvero il numero minimo di chiavi private necessarie per decrittografare il dominio di sicurezza.
L'esempio seguente illustra come usare openssl per generare tre certificati autofirmato:
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
La data di scadenza del certificato non influisce sulle operazioni del dominio di sicurezza. Anche un certificato "scaduto" può comunque essere usato per ripristinare il dominio di sicurezza.
Importante
Queste chiavi private RSA sono la radice dell'attendibilità per il modulo di sicurezza hardware gestito. Per gli ambienti di produzione, generare queste chiavi utilizzando un sistema isolato o un modulo di sicurezza hardware (HSM) locale, e archiviarle in modo sicuro. Per indicazioni dettagliate, vedere Procedure consigliate per il dominio di sicurezza .
Nel portale di Azure, dirigiti alla tua risorsa HSM gestito.
Nel menu a sinistra, in Impostazioni, selezionare Dominio di sicurezza.
Seguire le istruzioni del portale per caricare i certificati di chiave pubblica RSA (almeno tre) e impostare il valore del quorum.
Scaricare il file di dominio di sicurezza crittografato.
Importante
Archiviare il file del dominio di sicurezza e le chiavi private RSA in una posizione separata e protetta. Sono necessari per ripristinare il modulo di protezione hardware gestito in uno scenario di ripristino di emergenza. La perdita del dominio di sicurezza può comportare la perdita permanente dell'accesso.
Archiviare in modo sicuro il file di dominio di sicurezza e le coppie di chiavi RSA. Sono necessari per il ripristino di emergenza o per la creazione di un altro modulo di protezione hardware gestito che condivide lo stesso dominio di sicurezza in modo che i due possano condividere le chiavi.
Dopo aver scaricato correttamente il dominio di sicurezza, il modulo di protezione hardware si trova in uno stato attivo e pronto per l'uso.
Pulire le risorse
Quando non è più necessario, è possibile eliminare il gruppo di risorse, che elimina il modulo di protezione hardware gestito e tutte le risorse correlate:
- Nel portale di Azure cercare e selezionare Gruppi di risorse.
- Selezionare il gruppo di risorse, ad esempio myResourceGroup.
- Selezionare Elimina gruppo di risorse.
- Immettere il nome del gruppo di risorse e selezionare Elimina.
Avvertimento
L'eliminazione del gruppo di risorse attiva lo stato di eliminazione temporanea per il modulo di protezione hardware gestito. L'HSM gestito continua a essere fatturato fino a quando non viene eliminato definitivamente. Vedere Eliminazione temporanea e protezione dall'eliminazione dell'HSM gestito
Passaggi successivi
In questa guida introduttiva è stato effettuato il provisioning di un HSM gestito, dopodiché è stato attivato. Per altre informazioni sull'HSM gestito e su come integrarlo nelle applicazioni, continuare con questi articoli.
- Leggere una panoramica del modulo di protezione hardware gestito
- Informazioni sulla gestione delle chiavi in un HSM gestito
- Vedere Gestione dei ruoli di per un HSM gestito
- Revisione di Proteggi la tua distribuzione Azure Managed HSM