Como implementar uma Máquina Virtual com Azure Integrated HSM

Aplica-se a: ✔️ Máquinas Virtuais do Windows

O Azure Integrated HSM é um acelerador de cache e criptografia com Módulo de Segurança de Hardware (HSM) concebido para melhorar a segurança e o desempenho das operações criptográficas numa máquina virtual (VM). Para clientes que dependem fortemente da criptografia e têm cargas de trabalho intensivas em desempenho, o Azure Integrated HSM oferece uma forma segura de armazenar chaves criptográficas para uma recuperação rápida e segura.

1. Registe-se no indicador do Azure Integrated HSM para a sua subscrição

1. Inicie sessão no portal do Azure.
2. Aceda à sua subscrição.
3. No menu esquerdo, selecione Definições.
4. Nas definições, selecione as funcionalidades de pré-visualização.
5. Procura por Azure Integrated HSM e seleciona-o.
6. Selecione registar-se no final da página.
7. Espere que o processo de registo termine e receba a notificação de sucesso.

Agora pode avançar para criar máquinas virtuais com Azure Integrated HSM com essa subscrição.

2. Criar um grupo de recursos

Crie um grupo de recursos com o comando az group create. Um grupo de recursos do Azure é um contêiner lógico no qual recursos do Azure são implantados e geridos. O exemplo seguinte cria um grupo de recursos nomeado myResourceGroup na eastus2 localização:

az group create --name myResourceGroup --location eastus2

3. Criar VM de uso geral com a funcionalidade Azure Integrated HSM ativada

Opção 1 - CLI do Azure

Cria uma VM com o az vm create comando.

O exemplo seguinte cria uma VM com nome myVM e adiciona uma conta de utilizador chamada azureuser. Azure Integrated HSM é suportado apenas em SKUs VM específicas; consulte a documentação SKUs suportados para mais informações sobre quais SKUs são suportados.

As VMs devem suportar o TrustedLaunch e o Secure Boot para suportarem o Azure Integrated HSM.

az vm create `
    --resource-group myResourceGroup `
    --name myVM `
    --size Standard_D8as_v7 `
    --admin-username azureuser `
    --admin-password <password> `
    --enable-vtpm true `
    --image "MicrosoftWindowsServer:WindowsServer:2025-datacenter-smalldisk-g2:latest" `
    --public-ip-sku Standard `
    --security-type TrustedLaunch `
    --location eastus2 `
    --enable-secure-boot true `
    --tags platformsettings.host_environment.AzureIntegratedHSM=True

São necessários alguns minutos para criar a VM e os recursos de suporte. Uma vez criado, o utilizador deverá conseguir ver a etiqueta aplicada no portal na secção de etiquetas.

Opção 2 - Modelos ARM

Crie um grupo de recursos:

az group create --name $resourceGroup --location $region

Cria uma VM com o az deployment group create comando. Introduza o nome do seu grupo de recursos, nome da implementação e nome da VM. Use os modelos ARM fornecidos pelo nosso GitHub para implementar a VM; certifique-se de inserir o nome de utilizador e a palavra-passe que pretende usar na sua VM.

az deployment group create `
  -g $resourceGroup `
  -n $deployName `
  -f ./template-azihsm-tvm.json `
  -p ./parameters-azihsm-tvm.json `
  -p vmName=$vmName

Option 3 - SDK do Azure

Existem muitas linguagens diferentes suportadas pelo SDK do Azure. Como exemplo, usaremos o exemplo AziHSM Python SDK para implementar uma VM com AziHSM.

Navegue até azure_sdk/python e crie um ambiente virtual em python e instale o SDK do Azure:

python -m venv .venv
.venv/Scripts/activate # only required if deploying from a Windows machine
pip install -r requirements.txt

Depois executa o script de exemplo fornecido. O script inclui documentação sobre que recursos são implementados para implementar uma VM:

python ./sample.py

O que vem por aí

• Instale o driver de convidado e o Key Service Provider na sua máquina virtual ativada com HSM em Azure seguindo as instruções do nosso GitHub
• Visão geral do HSM Integrado do Azure