Tutorial: Criar um HSM de pagamento

Artigo
08/08/2024

O HSM de Pagamento do Azure é um serviço "BareMetal" fornecido usando HSMs (módulos de segurança de hardware) de pagamento do Thales PayShield 10K para oferecer operações de chave de criptografia a transações de pagamento críticas e em tempo real na nuvem do Azure. O HSM de Pagamento do Azure foi projetado especificamente para ajudar um provedor de serviços e uma instituição financeira individual a acelerar a estratégia de transformação digital do sistema de pagamento e adotar a nuvem pública. Para saber mais, confira HSM de Pagamento do Azure: visão geral.

Este artigo descreve como criar um HSM de Pagamento do Azure com o host e a porta de gerenciamento na mesma rede virtual. Em vez disso, você pode:

Observação

Caso você deseje reutilizar uma VNet existente, verifique se atendeu a todos os Pré-requisitos e leia Como reutilizar uma rede virtual existente.

Pré-requisitos

Importante

O HSM de Pagamento do Azure é um serviço especializado. Para se qualificarem para a integração e o uso do HSM de Pagamento do Azure, os clientes precisam ter um Gerente de Contas Microsoft atribuído e um CSA (Arquiteto de Serviços de Nuvem).

Para saber mais sobre o serviço, inicie o processo de qualificação e prepare os pré-requisitos antes da integração, peça ao gerente de conta Microsoft e ao CSA que envie uma solicitação por email.

CLI do Azure
PowerShell do Azure

Você precisa registrar os provedores de recursos "Microsoft.HardwareSecurityModules" e "Microsoft.Network", bem como os recursos do HSM de Pagamento do Azure. As etapas para fazer isso estão em Registrar o provedor de recursos do HSM de Pagamento do Azure e as funcionalidades do provedor de recursos.

Aviso

Você deve aplicar o sinalizador do recurso "FastPathEnabled" a todas as IDs de assinatura e adicionar a marca "fastpathenabled" a todas as redes virtuais. Para saber mais, veja Fastpathenabled.

Para verificar rapidamente se os provedores de recursos e os recursos já estão registrados, use o comando az provider show da CLI do Azure. (A saída desse comando ficará mais legível ao ser exibido em formato de tabela.)
```
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
```
Continue com este guia de início rápido se os quatro comandos retornarem "Registrado".
Você precisa ter uma assinatura do Azure. Você pode criar uma conta gratuita se não tiver uma.

Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.
Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.
- Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.
- Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.
- Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.

Você precisa registrar os provedores de recursos "Microsoft.HardwareSecurityModules" e "Microsoft.Network", bem como os recursos do HSM de Pagamento do Azure. As etapas para fazer isso estão em Registrar o provedor de recursos do HSM de Pagamento do Azure e as funcionalidades do provedor de recursos.

Aviso

Você deve aplicar o sinalizador do recurso "FastPathEnabled" a todas as IDs de assinatura e adicionar a marca "fastpathenabled" a todas as redes virtuais. Para saber mais, veja Fastpathenabled.

Para verificar rapidamente se os provedores de recursos e as funcionalidades já estão registrados, use o cmdlet Get-AzProviderFeature do Azure PowerShell:

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

Continue com este guia de início rápido se o "RegistrationState" dos dois comandos retornar "Registrado".

Você precisa ter uma assinatura do Azure. Você pode criar uma conta gratuita se não tiver uma.

* Se você optar por usar o Azure PowerShell localmente: * Instale a versão mais recente do módulo do Az PowerShell. * Conecte-se à sua conta do Azure usando o cmdlet Connect-AzAccount. * Se você optar por usar o Azure Cloud Shell: * Confira Visão geral do Azure Cloud Shell para obter mais informações.\

Você precisa instalar o módulo Az.DedicatedHsm do PowerShell:
```
Install-Module -Name Az.DedicatedHsm
```

Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Use o comando az group create para criar um grupo de recursos chamado myResourceGroup na localização eastus.

az group create --name "myResourceGroup" --location "EastUS"

Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Use o cmdlet New-AzResourceGroup do Azure PowerShell para criar um grupo de recursos chamado myResourceGroup na localização eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Criar a rede virtual e a sub-rede

CLI do Azure
PowerShell do Azure

Antes de criar um HSM de pagamento, primeiro, você precisa criar uma rede virtual e uma sub-rede. Para fazer isso, use o comando az network vnet create da CLI do Azure:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Posteriormente, use o comando az network vnet subnet update da CLI do Azure para atualizar a sub-rede e fornecer a ela a delegação "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Para verificar se a VNet e a sub-rede foram criadas corretamente, use o comando az network vnet subnet show da CLI do Azure:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Anote a ID da sub-rede, pois você precisará dela na próxima etapa. A ID da sub-rede termina com o nome da sub-rede:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Antes de criar um HSM de pagamento, primeiro, você precisa criar uma rede virtual e uma sub-rede.

Primeiro, defina algumas variáveis para uso nas operações subsequentes:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Use o cmdlet New-AzDelegation do Azure PowerShell para criar uma delegação de serviço a ser adicionada à sub-rede e salve a saída na variável $myDelegation:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Use o cmdlet New-AzVirtualNetworkSubnetConfig do Azure PowerShell para criar uma configuração de sub-rede de rede virtual e salve a saída na variável $myPHSMSubnet:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Observação

O cmdlet New-AzVirtualNetworkSubnetConfig vai gerar um aviso, que você poderá ignorar com segurança.

Para criar um Rede Virtual do Azure, use o cmdlet New-AzVirtualNetwork do Azure PowerShell:

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Para verificar se a VNet foi criada corretamente, use o cmdlet Get-AzVirtualNetwork do Azure PowerShell:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Anote a ID da sub-rede, que é usada na próxima etapa. A ID da sub-rede termina com o nome da sub-rede:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Criar um HSM de pagamento

Importante

Se você criar dois HSMs de pagamento na mesma região, deverá alocar um para "stamp1" e outro para "stamp2". Para obter mais informações, consulte Cenários de implantação: implantação de alta disponibilidade.

Criar com hosts dinâmicos

CLI do Azure
PowerShell do Azure

Para criar um HSM de pagamento com hosts dinâmicos, use o comando az dedicated-hsm create. O seguinte exemplo provisiona um HSM de pagamento chamado myPaymentHSM na região eastus, no grupo de recursos myResourceGroup e na assinatura, na rede virtual e na sub-rede especificadas:

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60"

Para ver os adaptadores de rede recém-criados, use o comando az network nic list, fornecendo o grupo de recursos:

az network nic list -g myResourceGroup -o table

Na saída, o host 1 e o host 2 são listados, bem como uma interface de gerenciamento:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Para ver os detalhes de um adaptador de rede recém-criado, use o comando az network nic show, fornecendo o grupo de recursos e o nome do adaptador de rede:

az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

A saída contém esta linha:

  "privateIPAllocationMethod": "Dynamic",

Para criar um HSM de pagamento com hosts dinâmicos, use o cmdlet New-AzDedicatedHsm e a ID da VNet da etapa anterior:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

A saída da criação do HSM de pagamento será parecida com esta:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Para ver os adaptadores de rede recém-criados, use o cmdlet Get-AzNetworkInterface, fornecendo o grupo de recursos:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

Na saída, o host 1 e o host 2 são listados, bem como a interface de gerenciamento:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

O portal do Azure mostra o "método de alocação de IP privado" como "Dinâmico":

Criar com hosts estáticos

CLI do Azure
PowerShell do Azure

Para criar um HSM de pagamento com hosts estáticos, use o comando az dedicated-hsm create. O seguinte exemplo provisiona um HSM de pagamento chamado myPaymentHSM na região eastus, no grupo de recursos myResourceGroup e na assinatura, na rede virtual e na sub-rede especificadas:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Se você também quiser especificar um IP estático para o host de gerenciamento, poderá adicionar:

  --mgmt-network-interfaces private-ip-address="10.0.0.7" \
  --mgmt-network-subnet="<subnet-id>"

Para ver os adaptadores de rede recém-criados, use o comando az network nic list, fornecendo o grupo de recursos:

az network nic list -g myResourceGroup -o table

Na saída, o host 1 e o host 2 são listados, bem como a interface de gerenciamento:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Para exibir as propriedades de um adaptador de rede, use o comando az network nic show, fornecendo o grupo de recursos e o nome do adaptador de rede:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

A saída contém esta linha:

  "privateIPAllocationMethod": "Static",

Para criar um HSM de pagamento com hosts estáticos, use o cmdlet New-AzDedicatedHsm e a ID da VNet da etapa anterior:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'})

Se você também quiser especificar um IP estático para o host de gerenciamento, poderá adicionar:

-ManagementNetworkInterface @{PrivateIPAddress = '10.0.07'} -ManagementSubnetId "<subnetId>"

A saída da criação do HSM de pagamento será parecida com esta:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Para ver os adaptadores de rede recém-criados, use o cmdlet Get-AzNetworkInterface, fornecendo o grupo de recursos:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

Na saída, o host 1 e o host 2 são listados, bem como a interface de gerenciamento:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

O portal do Azure mostra o "método de alocação de IP privado" como "Dinâmico":

Próximas etapas

Vá para o próximo artigo para saber como visualizar seu HSM de pagamento.

Exibir seu HSM de pagamento

Informações adicionais:

Leia uma Visão geral do HSM de Pagamento
Saiba como começar a usar o HSM de Pagamento do Azure
Veja alguns cenários comuns de implantação
Saiba mais sobre Certificação e conformidade
Leia as perguntas frequentes

Compartilhar via

Tutorial: Criar um HSM de pagamento

Pré-requisitos

Criar um grupo de recursos

Criar a rede virtual e a sub-rede

Criar um HSM de pagamento

Criar com hosts dinâmicos

Criar com hosts estáticos

Próximas etapas

Comentários

Recursos adicionais