Início Rápido: Provisionar e ativar um HSM Gerenciado usando o portal Azure

Neste início rápido, você criará e ativará um HSM Gerenciado Azure Key Vault (Módulo de Segurança de Hardware) usando o portal Azure. O HSM Gerenciado é um serviço de nuvem de gerenciamento completo, altamente disponível, de locatário único e compatível com padrões que permite proteger chaves criptográficas para seus aplicativos de nuvem, com HSMs validados pelo FIPS 140-3 Nível 3. Para obter mais informações sobre hsm gerenciado, examine a visão geral.

Pré-requisitos

Uma assinatura Azure é necessária. Se você não tiver uma, crie uma conta gratuita antes de começar.

Criar um HSM Gerenciado

A criação de um HSM Gerenciado é um processo de duas etapas:

  1. Provisionar um recurso de HSM gerenciado.
  2. Ative o HSM Gerenciado baixando um artefato chamado domínio de segurança.

Provisionar um HSM Gerenciado

  1. Entre no portal Azure.

  2. Na caixa de pesquisa, insira HSM gerenciado e selecione Pools de HSM Gerenciados nos resultados.

  3. Selecione Criar.

  4. Na guia Noções básicas , forneça as seguintes informações:

    • Assinatura: Selecione a assinatura que você deseja usar.

    • Grupo de recursos: selecione Criar novo e insira myResourceGroup.

    • Nome do HSM gerenciado: insira um nome para o HSM Gerenciado.

      Importante

      Cada HSM Gerenciado precisa ter um nome exclusivo.

    • Região: selecione Leste dos EUA (ou sua região preferida).

    • Initial administrator(s): pesquise e selecione os Microsoft Entra usuários ou grupos a serem designados como administradores iniciais.

    Captura de tela da guia Criar noções básicas do HSM gerenciado do Azure Key Vault no portal do Azure.

  5. Ajuste as configurações nas guias Avançado, Rede e Marcas , conforme necessário.

  6. Selecione Examinar + criar e, em seguida, selecione Criar.

    A implantação leva alguns minutos para ser concluída. Quando terminar, navegue até o recurso para ver a página de visão geral.

    Captura de tela da página Visão geral do HSM gerenciado no portal do Azure.

Note

O processo de provisionamento pode levar alguns minutos. Quando o processo for concluído com êxito, você estará pronto para ativar o seu HSM.

Aviso

As instâncias de HSM gerenciadas estão sempre em uso. Se você habilitar a proteção contra exclusão usando a marca --enable-purge-protection, pagará por todo o período de retenção.

Ativar o HSM Gerenciado

Todos os comandos do plano de dados são desabilitados até que você ative o HSM. Você não pode criar chaves ou atribuir funções. Somente os administradores designados que você atribui durante o comando create podem ativar o HSM. Para ativar o HSM, você deve baixar o Domínio de Segurança.

Para ativar o HSM, você precisa:

  • Um mínimo de três pares de chaves RSA (máximo de 10)
  • O número mínimo de chaves necessárias para descriptografar o domínio de segurança (chamado quorum)

Você envia pelo menos três (no máximo 10) chaves públicas RSA para o HSM. O HSM criptografa o domínio de segurança com essas chaves e o envia de volta. Depois que o download do domínio de segurança for concluído com êxito, o HSM estará pronto para uso. Você também precisa especificar o quorum, que é o número mínimo de chaves privadas necessárias para descriptografar o domínio de segurança.

O exemplo a seguir mostra como usar openssl para gerar três certificados autoassinados:

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

A data de validade do certificado não afeta as operações de domínio de segurança— mesmo um certificado "expirado" ainda pode ser usado para restaurar o domínio de segurança.

Importante

Essas chaves privadas RSA são a raiz da confiança para o HSM Gerenciado. Para ambientes de produção, gere essas chaves usando um sistema isolado por ar ou HSM em instalações locais e armazene-as com segurança. Consulte as práticas recomendadas do domínio de segurança para obter diretrizes detalhadas.

  1. No portal Azure, navegue até o recurso HSM Gerenciado.

  2. No menu à esquerda, em Configurações, selecione Domínio de segurança.

  3. Siga os prompts do portal para carregar seus certificados de chave pública RSA (no mínimo três) e definir o valor do quorum.

  4. Baixe o arquivo de domínio de segurança criptografado.

Importante

Armazene o arquivo de domínio de segurança e as chaves privadas RSA em um local seguro e separado. Você precisa deles para recuperar o HSM gerenciado em um cenário de recuperação de desastre. A perda do domínio de segurança pode resultar em perda permanente de acesso.

Armazene o arquivo de domínio de segurança e os pares de chaves RSA com segurança. Você precisa deles para recuperação de desastre ou para criar outro HSM gerenciado que compartilhe o mesmo domínio de segurança para que os dois possam compartilhar chaves.

Depois de baixar com êxito o domínio de segurança, o HSM está em um estado ativo e pronto para uso.

Limpar os recursos

Quando não for mais necessário, você poderá excluir o grupo de recursos, que exclui o HSM Gerenciado e todos os recursos relacionados:

  1. No portal do Azure, pesquise e selecione grupos de recursos.
  2. Selecione o grupo de recursos (por exemplo, myResourceGroup).
  3. Selecione Excluir grupo de recursos.
  4. Insira o nome do grupo de recursos e selecione Excluir.

Aviso

Excluir o grupo de recursos coloca o HSM gerenciado em um estado de exclusão reversível. O HSM gerenciado continuará sendo cobrado até ser purgado. Consulte Exclusão reversível e proteção contra limpeza do HSM gerenciado

Próximas Etapas 

Neste início rápido, você provisionou um HSM Gerenciado e o ativou. Para saber mais sobre o HSM Gerenciado e como integrá-lo aos seus aplicativos, prossiga para examinar os seguintes artigos.

  • Last updated on