فحص حركة مرور Azure Payment HSM
الوحدة النمطية لأمان أجهزة الدفع Azure (Payment HSM أو PHSM) هي خدمة خالية من المعادن توفر عمليات مفتاح التشفير لمعاملات الدفع في الوقت الحقيقي والمهمة في سحابة Azure. لمزيد من المعلومات، راجع ما هو Azure Payment HSM؟.
عند نشر Payment HSM، فإنه يأتي مع واجهة شبكة مضيفة وواجهة شبكة إدارة. هناك العديد من سيناريوهات التوزيع:
- مع منافذ المضيف والإدارة في نفس الشبكة الظاهرية
- مع منافذ المضيف والإدارة في الشبكات الظاهرية المختلفة
- مع منفذ المضيف والإدارة مع عناوين IP في شبكات ظاهرية مختلفة
في جميع السيناريوهات المذكورة أعلاه، يعد Payment HSM خدمة تم إدخالها بواسطة VNet في شبكة فرعية مفوضة: hsmSubnet
managementHsmSubnet
ويجب تفويضها للخدمة Microsoft.HardwareSecurityModules/dedicatedHSMs
.
هام
يجب تسجيل الميزة FastPathEnabled
والموافقة عليها على جميع الاشتراكات التي تحتاج إلى الوصول إلى Payment HSM. يجب عليك أيضا تمكين العلامة fastpathenabled
على الشبكة الظاهرية التي تستضيف الشبكة الفرعية المفوضة ل Payment HSM وعلى كل شبكة ظاهرية نظيرة تتطلب الاتصال بأجهزة Payment HSM.
fastpathenabled
لكي تكون علامة VNet صالحة، يجب تمكين الميزة FastPathEnabled
على الاشتراك حيث يتم نشر تلك الشبكة الظاهرية. يجب إكمال الخطوتين لتمكين الموارد من الاتصال بأجهزة Payment HSM. لمزيد من المعلومات، راجع FastPathEnabled.
PHSM غير متوافق مع طبولوجيا vWAN أو نظير الشبكة الظاهرية عبر المناطق، كما هو موضح في المخطط المدعوم. يأتي الدفع HSM مع بعض قيود النهج على هذه الشبكات الفرعية: مجموعات أمان الشبكة (NSGs) والمسارات المعرفة من قبل المستخدم (UDRs) غير مدعومة حاليا.
من الممكن تجاوز قيود UDR الحالية وفحص نسبة استخدام الشبكة الموجهة إلى Payment HSM. تقدم هذه المقالة طريقتين: جدار حماية مع ترجمة عنوان الشبكة المصدر (SNAT)، وجدار حماية مع وكيل عكسي.
جدار الحماية مع ترجمة عنوان الشبكة المصدر (SNAT)
هذا التصميم مستوحى من تصميم حل Dedicated HSM.
جدار الحماية SNATs عنوان IP للعميل قبل إعادة توجيه نسبة استخدام الشبكة إلى PHSM NIC، ما يضمن أن نسبة استخدام الشبكة العائدة سيتم توجيهها تلقائيا مرة أخرى إلى جدار الحماية. يمكن استخدام جدار حماية Azure أو FW NVA لجهة خارجية في هذا التصميم.
جداول التوجيه المطلوبة:
- محليا إلى PHSM: يتم تطبيق جدول توجيه يحتوي على UDR لنطاق Payment HSM VNet والإشارة إلى جدار حماية المركز المركزي على GatewaySubnet.
- Spoke VNet(s) إلى PHSM: يتم تطبيق جدول توجيه يحتوي على المسار الافتراضي المعتاد الذي يشير إلى جدار حماية المركز المركزي على الشبكات الفرعية Spoke VNet(s).
النتائج:
- تتم معالجة UDRs غير المدعومة على الشبكة الفرعية PHSM بواسطة جدار الحماية الذي يقوم ب SNAT على عنوان IP للعميل: عند إعادة توجيه حركة المرور إلى PHSM، سيتم توجيه نسبة استخدام الشبكة المرتاد تلقائيا مرة أخرى إلى جدار الحماية.
- يمكن تكوين قواعد التصفية التي لا يمكن فرضها باستخدام مجموعات أمان الشبكة على الشبكة الفرعية PHSM على جدار الحماية.
- يتم تأمين كل من نسبة استخدام الشبكة المحورية وحركة المرور المحلية إلى بيئة PHSM.
جدار الحماية مع وكيل عكسي
هذا التصميم هو خيار جيد عند تنفيذ SNAT على جدار حماية لم تتم الموافقة عليه من قبل فرق أمان الشبكة، ويتطلب بدلا من ذلك الحفاظ على عناوين IP المصدر والوجهة دون تغيير لنسبة استخدام الشبكة التي تعبر جدار الحماية.
تستخدم هذه البنية وكيلا عكسيا، يتم نشره في شبكة فرعية مخصصة في PHSM VNet مباشرة أو في شبكة ظاهرية نظيرة. بدلا من إرسال نسبة استخدام الشبكة إلى أجهزة PHSM، يتم تعيين الوجهة إلى IP الوكيل العكسي، الموجود في شبكة فرعية لا تحتوي على قيود الشبكة الفرعية المفوضة PHSM: يمكن تكوين كل من NSGs وUDRs، ودمجها مع جدار حماية في المركز المركزي.
يتطلب هذا الحل وكيلا عكسيا، مثل:
- F5 (Azure Marketplace؛ مستند إلى الجهاز الظاهري)
- NGINXaaS (Azure Marketplace; PaaS مدار بالكامل)
- عكس الخادم الوكيل باستخدام NGINX (المستند إلى الجهاز الظاهري)
- عكس الخادم الوكيل باستخدام HAProxy (المستند إلى الجهاز الظاهري)
مثال على الخادم الوكيل العكسي باستخدام تكوين NGINX (المستند إلى الجهاز الظاهري) لتحميل حركة مرور tcp لموازنة التحميل:
# Nginx.conf
stream {
server {
listen 1500;
proxy_pass 10.221.8.4:1500;
}
upstream phsm {
server 10.221.8.5:443;
}
server {
listen 443;
proxy_pass phsm;
proxy_next_upstream on;
}
}
جداول التوجيه المطلوبة:
- محليا إلى PHSM: يتم تطبيق جدول توجيه يحتوي على UDR لنطاق Payment HSM VNet والإشارة إلى جدار حماية المركز المركزي على GatewaySubnet.
- Spoke VNet(s) إلى PHSM: يتم تطبيق جدول توجيه يحتوي على المسار الافتراضي المعتاد الذي يشير إلى جدار حماية المركز المركزي على الشبكات الفرعية Spoke VNet(s).
هام
يجب تعطيل نشر مسار البوابة على الشبكة الفرعية للوكيل العكسي، بحيث يكون UDR 0/0 كافيا لفرض حركة مرور الإرجاع عبر جدار الحماية.
النتائج:
- يمكن تكوين UDRs غير المدعومة على الشبكة الفرعية PHSM على الشبكة الفرعية للوكيل العكسي.
- الوكيل العكسي SNATs عنوان IP للعميل: عند إعادة توجيه نسبة استخدام الشبكة إلى PHSM، سيتم توجيه حركة مرور الإرجاع تلقائيا مرة أخرى إلى الوكيل العكسي.
- يمكن تكوين قواعد التصفية التي لا يمكن فرضها باستخدام مجموعات أمان الشبكة على الشبكة الفرعية PHSM على جدار الحماية و/أو على مجموعات أمان الشبكة المطبقة على الشبكة الفرعية للوكيل العكسي.
- يتم تأمين كل من نسبة استخدام الشبكة المحورية وحركة المرور المحلية إلى بيئة PHSM.