Tutorial: Criar um HSM de pagamento
O Azure Payment HSM é um serviço "BareMetal" fornecido usando os módulos de segurança de hardware de pagamento (HSM) Thales payShield 10K para fornecer operações de chave criptográfica para transações de pagamento críticas em tempo real na nuvem do Azure. O Azure Payment HSM foi projetado especificamente para ajudar um provedor de serviços e uma instituição financeira individual a acelerar a estratégia de transformação digital de seus sistemas de pagamento e adotar a nuvem pública. Para obter mais informações, consulte Azure Payment HSM: Visão geral.
Este tutorial descreve como criar um HSM de Pagamento do Azure com o host e a porta de gerenciamento na mesma rede virtual. Em vez disso, pode:
- Criar um HSM de pagamento com o host e a porta de gerenciamento na mesma rede virtual usando um modelo ARM
- Criar um HSM de pagamento com o host e a porta de gerenciamento em diferentes redes virtuais usando a CLI do Azure ou o PowerShell
- Crie um HSM de pagamento com o host e a porta de gerenciamento em diferentes redes virtuais usando um modelo ARM
- Criar recurso HSM com host e porta de gerenciamento com endereços IP em diferentes redes virtuais usando modelo ARM
Nota
Se desejar reutilizar uma rede virtual existente, verifique se atendeu a todos os pré-requisitos e leia Como reutilizar uma rede virtual existente.
Pré-requisitos
Importante
O Azure Payment HSM é um serviço especializado. Para se qualificar para integração e uso do Azure Payment HSM, os clientes devem ter um Gerente de Conta da Microsoft atribuído e ter um Arquiteto de Serviços de Nuvem (CSA).
Para saber mais sobre o serviço, iniciar o processo de qualificação e preparar os pré-requisitos antes da integração, peça ao seu gerente de conta da Microsoft e ao CSA para enviar uma solicitação por email.
Você deve registrar os provedores de recursos "Microsoft.HardwareSecurityModules" e "Microsoft.Network", bem como os recursos do Azure Payment HSM. As etapas para fazer isso estão em Registrar o provedor de recursos do HSM de pagamento do Azure e os recursos do provedor de recursos.
Aviso
Você deve aplicar o sinalizador de recurso "FastPathEnabled" a cada ID de assinatura e adicionar a tag "fastpathenabled" a cada rede virtual. Para obter mais informações, consulte Fastpathenabled.
Para verificar rapidamente se os provedores de recursos e recursos já estão registrados, use o comando Azure CLI az provider show . (A saída deste comando é mais legível quando exibida em formato de tabela.)
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o table
Você pode continuar com este início rápido se todos esses quatro comandos retornarem "Registrado".
Precisa de uma subscrição do Azure. Você pode criar uma conta gratuita se não tiver uma.
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.
Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.
Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.
Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.
Criar um grupo de recursos
Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos. Use o comando az group create para criar um grupo de recursos chamado myResourceGroup no local eastus .
az group create --name "myResourceGroup" --location "EastUS"
Criar uma rede virtual e uma sub-rede
Antes de criar um HSM de pagamento, você deve primeiro criar uma rede virtual e uma sub-rede. Para fazer isso, use o comando Azure CLI az network vnet create :
az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"
Depois, use o comando Azure CLI az network vnet subnet update para atualizar a sub-rede e dar-lhe uma delegação de "Microsoft.HardwareSecurityModules/dedicatedHSMs":
az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Para verificar se a VNet e a sub-rede foram criadas corretamente, use o comando Azure CLI az network vnet subnet show :
az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet
Anote o ID da sub-rede, pois você precisa dele para a próxima etapa. O ID da sub-rede termina com o nome da sub-rede:
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",
Criar um HSM de pagamento
Importante
Se você criar dois HSMs de pagamento na mesma região, deverá alocar um para "stamp1" e o outro para "stamp2". Para obter mais informações, consulte Cenários de implantação: implantação de alta disponibilidade.
Criar com hosts dinâmicos
Para criar um HSM de pagamento com hosts dinâmicos, use o comando az dedicated-hsm create . O exemplo a seguir cria um HSM de pagamento nomeado myPaymentHSM
na eastus
região, myResourceGroup
grupo de recursos e assinatura especificada, rede virtual e sub-rede:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60"
Para ver as interfaces de rede recém-criadas, use o comando az network nic list , fornecendo o grupo de recursos:
az network nic list -g myResourceGroup -o table
Na saída, o host 1 e o host 2 são listados, bem como uma interface de gerenciamento:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Para ver os detalhes de uma interface de rede recém-criada, use o comando az network nic show , fornecendo o grupo de recursos e o nome da interface de rede:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
A saída contém esta linha:
"privateIPAllocationMethod": "Dynamic",
Criar com hosts estáticos
Para criar um HSM de pagamento com hosts estáticos, use o comando az dedicated-hsm create . O exemplo a seguir cria um HSM de pagamento nomeado myPaymentHSM
na eastus
região, myResourceGroup
grupo de recursos e assinatura especificada, rede virtual e sub-rede:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")
Se desejar também especificar um IP estático para o host de gerenciamento, você pode adicionar:
--mgmt-network-interfaces private-ip-address="10.0.0.7" \
--mgmt-network-subnet="<subnet-id>"
Para ver as interfaces de rede recém-criadas, use o comando az network nic list , fornecendo o grupo de recursos:
az network nic list -g myResourceGroup -o table
Na saída, o host 1 e o host 2 são listados, bem como a interface de gerenciamento:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Para exibir as propriedades de uma interface de rede, use o comando az network nic show , fornecendo o grupo de recursos e o nome da interface de rede:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
A saída contém esta linha:
"privateIPAllocationMethod": "Static",
Próximos passos
Avance para o próximo artigo para saber como visualizar o seu HSM de pagamento.
informações adicionais:
- Leia uma visão geral do HSM de pagamento
- Saiba como começar a usar o Azure Payment HSM
- Veja alguns cenários comuns de implantação
- Saiba mais sobre certificação e conformidade
- Leia as perguntas frequentes