Quickstart: Provisionar e ativar um HSM gerido usando o portal Azure

Neste quickstart, cria e ativa um Azure Key Vault Managed HSM (Módulo de Segurança de Hardware) usando o portal Azure. O HSM gerenciado é um serviço de nuvem totalmente gerenciado, altamente disponível, de locatário único e compatível com os padrões que permite proteger chaves criptográficas para seus aplicativos em nuvem, usando HSMs validados pelo FIPS 140-3 Nível 3 . Para mais informações sobre HSM Geridos, consulte a Visão Geral.

Pré-requisitos

É necessária uma subscrição do Azure. Se você não tiver uma, crie uma conta gratuita antes de começar.

Criar um HSM gerenciado

Criar um HSM gerenciado é um processo de duas etapas:

  1. Provisione um recurso HSM gerenciado.
  2. Ative seu HSM gerenciado baixando um artefato chamado domínio de segurança.

Provisionar um HSM gerenciado

  1. Inicie sessão no portal Azure.

  2. Na caixa de pesquisa, introduza Managed HSM e selecione Managed HSM Pools nos resultados.

  3. Selecione Criar.

  4. Na guia Noções básicas, forneça as seguintes informações:

    • Subscrição: selecione a subscrição que pretende utilizar.

    • Grupo de recursos: Selecione Criar novo e entre no meuGrupode de Recursos.

    • Nome HSM Gerido: Introduza um nome para o seu HSM Gerido.

      Importante

      Cada HSM gerenciado deve ter um nome exclusivo.

    • Região: Selecione Leste dos EUA (ou a sua região preferida).

    • Administrador(es): Procure e selecione os utilizadores ou grupos Microsoft Entra a designar como administradores iniciais.

    Captura de ecrã do separador Criar Azure Key Vault Managed HSM Basics no portal Azure.

  5. Ajusta as definições nos separadores Avançado, Rede e Etiquetas conforme necessário.

  6. Selecione Rever + criar e, em seguida, selecione Criar.

    A implantação leva alguns minutos para ser concluída. Quando terminar, navegue até ao recurso para ver a sua página de Visão Geral.

    Captura de ecrã da página de Visão Geral do HSM Gerido no portal da Azure.

Note

O processo de provisionamento pode demorar alguns minutos. Após a conclusão bem-sucedida, pode ativar o seu HSM.

Warning

As instâncias de HSM geridas estão sempre em uso. Se ativares a proteção contra purgas usando a --enable-purge-protection bandeira, pagas por todo o período de retenção.

Ative seu HSM gerenciado

Todos os comandos do plano de dados estão desativados até ativares o HSM. Não podes criar chaves nem atribuir funções. Apenas os administradores designados que atribuir durante o comando criar podem ativar o HSM. Para ativar o HSM, você deve baixar o Domínio de segurança.

Para ativar seu HSM, você precisa:

  • Um mínimo de três pares de chaves RSA (máximo 10)
  • O número mínimo de chaves necessárias para desencriptar o domínio de segurança (chamado quórum)

Envia pelo menos três (máximo 10) chaves públicas RSA para o HSM. O HSM criptografa o domínio de segurança com essas chaves e o envia de volta. Assim que o download do domínio de segurança for concluído com sucesso, o seu HSM está pronto a ser usado. Também precisa de especificar o quórum, que é o número mínimo de chaves privadas necessárias para desencriptar o domínio de segurança.

O exemplo seguinte mostra como usar openssl para gerar três certificados autoassinados.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

A data de expiração do certificado não afeta as operações do domínio de segurança — mesmo um certificado "expirado" pode ainda ser usado para restaurar o domínio de segurança.

Importante

Estas chaves privadas RSA são a raiz da confiança para o seu HSM Administrado. Para ambientes de produção, gere estas chaves usando um sistema isolado por ar ou um Módulo de Segurança de Hardware local, e armazene-as seguramente. Consulte as melhores práticas do domínio de Segurança para orientações detalhadas.

  1. No portal do Azure, navegue até ao seu recurso HSM Gerido.

  2. No menu à esquerda, em Definições, selecione Domínio de Segurança.

  3. Siga as instruções do portal para carregar os seus certificados de chave pública RSA (mínimo três) e definir o valor do quórum.

  4. Descarregue o ficheiro de domínio de segurança encriptado.

Importante

Armazene o ficheiro de domínio de segurança e as chaves privadas RSA num local seguro e separado. Precisas deles para recuperar o HSM Gerido num cenário de recuperação de desastres. A perda do domínio de segurança pode resultar numa perda permanente de acesso.

Armazene o arquivo de domínio de segurança e os pares de chaves RSA com segurança. Precisas deles para recuperação de desastres ou para criar outro HSM Gerido que partilhe o mesmo domínio de segurança, para que ambos possam partilhar chaves.

Depois de descarregar com sucesso o domínio de segurança, o seu HSM está num estado ativo e pronto para usar.

Limpeza de recursos

Quando já não for necessário, pode eliminar o grupo de recursos, o que irá eliminar o HSM Gerido e todos os recursos relacionados.

  1. No portal do Azure, procure e selecione Grupos de recursos.
  2. Selecione o grupo de recursos (por exemplo, meuResourceGroup).
  3. Selecione Eliminar grupo de recursos.
  4. Insira o nome do grupo de recursos e selecione Excluir.

Warning

A exclusão do grupo de recursos coloca o HSM gerenciado em um estado de exclusão suave. O Managed HSM continua a ser faturado até ser eliminado. Consulte Eliminação Suave e Proteção contra Purga do HSM Gerido

Passos seguintes

Neste início rápido, você provisionou um HSM gerenciado e o ativou. Para saber mais sobre o HSM gerenciado e como integrá-lo aos seus aplicativos, continue nestes artigos.

  • Last updated on