Sincronizar usuarios y claves en nodos HSM de Azure en la nube

En este artículo se explica cómo identificar y resolver problemas de sincronización cuando faltan usuarios o claves de uno o varios nodos en el clúster de HSM en la nube de Azure.

Visión general

En algunos casos, es posible que los usuarios o claves no se repliquen en todos los nodos del clúster de HSM en la nube de Azure. Esto puede producirse durante eventos de servicio, como la recuperación automática o las actualizaciones, o si se produce un error en la creación en uno o varios nodos. Si experimenta errores de autenticación intermitentes o errores de operación criptográfica, es posible que tenga usuarios o claves que deban sincronizarse.

Prerrequisitos

• Acceso a una VM con el SDK de HSM de Azure instalado
• La herramienta
• Credenciales del oficial de criptografía (CO) para la implementación de HSM en la nube de Azure

Sincronización de usuarios

Todos los usuarios de Azure Cloud HSM están totalmente administrados por el cliente. El servicio no realiza la sincronización de usuarios en el back-end si falla la creación del usuario. Si se produce un error en la creación del usuario en uno o varios nodos, debe sincronizar manualmente el usuario con los nodos que faltan.

Identificación de los usuarios que faltan

1. Inicie la utilidad de administración:

   ./azcloudhsm_mgmt_util ./azcloudhsm_resource.cfg
   

2. Ejecute el comando para mostrar el identificador de usuario, el tipo de usuario y el nombre de usuario en cada nodo (servidor 0, 1, 2):

   listUsers
   

3. Observe el número de usuarios encontrados para cada nodo y los nombres de usuario correspondientes. Compare las listas en los tres servidores para identificar los usuarios que faltan.

Sincronizar usuarios que faltan

1. Inicie sesión como oficial de criptografía (CO):

   loginHSM CO admin <adminPassword>
   

   Compruebe que ha iniciado sesión correctamente en los tres nodos:

   loginHSM success on server 0
   loginHSM success on server 1
   loginHSM success on server 2
   

   Nota:

   Si se produce un error en el inicio de sesión en cualquier nodo, es posible que se produzca un error en la operación de sincronización. Asegúrese de que el inicio de sesión sea exitoso en todos los nodos antes de continuar.

2. Identifique el nodo de origen que tiene el usuario. En este ejemplo, el servidor 0 tiene un usuario que no está disponible en el servidor 1 y el servidor 2:

   server 0
   

3. Ejecute el comando para cada servidor donde falta el usuario. Reemplace por el identificador de usuario real:

   syncUser <UserID> 1
   syncUser <UserID> 2
   

   Nota:

   Si se ejecuta en un nodo en el que el usuario ya existe, aparece el mensaje de error "usuario ya creado, no se puede insertar el objeto". Si el usuario no existe, la operación se realiza correctamente.

Validación de la sincronización de usuarios

1. Salir del contexto actual del servidor:

   exit
   

2. Ejecute para confirmar que todos los identificadores de usuario, los tipos de usuario y los nombres de usuario ahora son iguales y están disponibles en cada nodo (servidor 0, 1, 2):

   listUsers
   

Sincronización de claves

Al crear claves, es responsabilidad suya asegurarse de que las claves están presentes en todos los nodos. Aunque Azure Cloud HSM admite operaciones de sincronización y restauración de claves del lado del servicio, debe comprobar que las claves están disponibles en los nodos que faltan antes de usarlos.

Identificación de las claves que faltan

1. Inicie la utilidad de administración:

   ./azcloudhsm_mgmt_util ./azcloudhsm_resource.cfg
   

2. Inicie sesión como oficial de criptografía (CO):

   loginHSM CO admin <adminPassword>
   

   Compruebe que ha iniciado sesión correctamente en los tres nodos:

   loginHSM success on server 0
   loginHSM success on server 1
   loginHSM success on server 2
   

3. Ejecute el comando para mostrar el número de claves y identificadores de manejadores de clave en cada nodo.

   findAllKeys 0 0
   

4. Observe el número de claves encontradas para cada nodo y los identificadores de clave correspondientes. Compare los resultados en los tres servidores para identificar las claves que faltan.

Sincronización de claves que faltan

1. Identifique el nodo de origen que tiene la clave. En este ejemplo, el servidor 0 tiene un identificador de clave que no está disponible en el servidor 1 y el servidor 2:

   server 0
   

2. Ejecute el comando para cada servidor donde falta la clave. Reemplace por el identificador de clave real:

   syncKey <KeyHandle> 1
   syncKey <KeyHandle> 2
   

   Por ejemplo, para sincronizar el identificador de clave 262150 con los servidores 1 y 2:

   syncKey 262150 1
   syncKey 262150 2
   

Validación de la sincronización de claves

1. Salir del contexto actual del servidor:

   exit
   

2. Ejecute para confirmar que todos los identificadores de clave y el número de claves que se encuentran ahora son iguales y están disponibles en cada nodo (servidor 0, 1, 2):

   findAllKeys 0 0
   

procedimientos recomendados

Para evitar problemas de sincronización y posible pérdida de datos:

• Comprobar después de la creación: después de crear cualquier usuario o clave, compruebe inmediatamente que existe en los tres nodos.
• Mantener copias de seguridad periódicas: use la funcionalidad de copia de seguridad y restauración para protegerse frente a errores de nodo.
• Supervisión de discrepancias: ejecute periódicamente y compruebe si hay incoherencias entre nodos.
• Actuar rápidamente en caso de errores: si observa un error de creación de claves o de usuario, sincronice con los nodos que faltan antes de que se produzca un error de nodo.

Contenido relacionado

• Solucionar problemas de Azure Cloud HSM
• Administración de usuarios en Azure Cloud HSM
• Gestión de claves en Azure Cloud HSM
• Copia de seguridad y restauración en Azure Cloud HSM