Prise en charge Azure HSM dédié

  • Article

Le service HSM dédié d’Azure fournit un appareil physique à usage exclusif du client, avec un contrôle administratif complet et une responsabilité de la gestion. L’appareil mis à disposition est un modèle Thales Luna 7 HSM A790. Une fois l’approvisionnement effectué par un client, Microsoft n’aura aucun accès d’administration au-delà d’un attachement de port sériel physique dans un rôle de surveillance. Sans accès, Microsoft ne peut ni assurer une maintenance au niveau logiciel, ni assumer des responsabilités d’administration de système. Par conséquent, les clients sont responsables des activités opérationnelles classiques. Ils sont entièrement responsables des applications qui utilisent les HSM et doivent se rapprocher de Thales pour bénéficier d'un support ou d'une assistance sous forme de conseils. En raison de l’étendue de la propriété du client en matière d’hygiène opérationnelle, Microsoft ne peut offrir aucun type de garantie de haute disponibilité pour ce service. Il est la responsabilité du client de s’assurer que ses applications sont correctement configurées pour atteindre une haute disponibilité. Microsoft surveille l’intégrité de l’appareil et la connectivité réseau et assure leur maintenance.

Obtention d’une assistance

Le service clientèle de Dedicated HSM est le fruit d'une collaboration entre Microsoft et Thales. Tous les problèmes de matériel ou de chemin réseau seront résolus par Microsoft, et tout ce qui concerne le module HSM proprement dit, comme la configuration, le logiciel, le microprogramme et le développement d'application, sera traité par Thales. Ce modèle de prise en charge garantit l’accès le plus rapide au support le plus efficace. En cas de doute sur un problème particulier, envoyez une demande de support à Microsoft, et nous veillerons à vous diriger correctement. Microsoft restera impliqué dans tous les scénarios de support et s’efforcera de procurer à ses clients la meilleure expérience de support possible.

Support Thales

Les clients qui utilisent le service Dedicated HSM sont éligibles au support technique de Thales conformément à leur Plan de support Plus. Ils doivent simplement suivre un processus d'inscription par le biais du portail de support Thales. Un ID de client et des instructions vous seront fournis dans le cadre de l’engagement initial auprès de Microsoft afin d’accéder au service Dedicated HSM. Pour bénéficier du support de Thales, ils doivent passer par le portail du service clientèle de celui-ci. Il convient de noter que Thales propose en téléchargement tous les logiciels et toute la documentation nécessaires à l'utilisation du HSM (par exemple, le logiciel d'accès client et les SDK) à partir du portail de son service clientèle.

Composants logiciels

Différents composants logiciels sont utilisés dans la configuration de périphériques HSM :

  • Logiciel client
  • Kit SDK
  • Outils

Assistance

Thales fournit des instructions d'administration et de configuration par le biais du portail de son service clientèle. Après la connexion à l’aide d’un ID client valide, ces documents sont disponibles au téléchargement. Thales fournit également une série de guides d'intégration pour aider les clients à aborder différents scénarios et intégrations de logiciels. Pour plus d'informations, consultez le site partenaire de Thales pour Microsoft.

Support

Tout problème ou question de niveau logiciel concernant l'utilisation des HSM dans le cadre du service Dedicated HSM doit être adressé directement au support de Thales. Tous les composants logiciels énumérés ci-dessus, ainsi que toute configuration personnalisée des HSM après l'approvisionnement, seront pris en charge par Thales. Pour plus d'informations, consultez le portail du service clientèle de Thales.

Services de conseil

Pour toute assistance lors de la conception, du développement et du déploiement d'applications personnalisées qui utilisent HSM, contactez votre responsable de compte Thales.

Support Microsoft

Microsoft veillera à ce que les appareils HSM physiques soient accessibles par le biais du réseau et en état de fonctionner pour une utilisation exclusive par un seul client. Les clients sont responsables de la configuration, de l’administration et de la gestion de l’appareil. Les responsabilités suivantes incombent à Microsoft :

  • S’assurer que l’appareil est sous tension et refroidi
  • Maintenir un état opérationnel du HSM (par exemple, scénarios d’arrêt/de réparation)
  • L’appareil est accessible via le réseau.

Les problèmes tels que les suivants doivent être signalés à Microsoft :

  • Défaillances de composants
  • Défaillance complète de l’appareil
  • Problèmes d’accès au réseau
  • Problèmes d’approvisionnement et de suppression de privilèges d’accès.

Microsoft a accès au port série physique de l'appareil via un rôle de surveillance (non administratif) qui permet d'obtenir des données de télémétrie de base sur l'intégrité. Cela permet à Microsoft fournir une notification proactive des problèmes au client, sauf si ce dernier choisit de limiter cette autorisation.

Approvisionnement et désaffectation

Une fois un client dispose d’une inscription approuvée pour le service HSM dédié, il peut créer des ressources HSM (actuellement par le biais de PowerShell ou de l’interface de ligne de commande et non du portail Azure). La ressource passe par un processus d’allocation qui mappe un appareil physique dans une région spécifiée au réseau virtuel prédéfini d’un client (VNet). Une fois visible sur un VNet, le client peut accéder à l'appareil et le configurer plus en détail selon ses besoins. Les clients accèdent à leurs HSM dédiés à l'aide des outils et logiciels clients Thales. Le processus de création de ressources est pris en charge par Microsoft. Le processus de configuration personnalisé et les autres processus sont pris en charge par Thales. (Voir support Thales ci-dessus). Lorsqu’un client a terminé d’utiliser un HSM, il doit être réinitialisé (ou remis à zéro) pour s’assurer que les données ne sont pas persistantes. Le processus de réinitialisation de l’appareil supprime toutes les données et toute la configuration personnalisées. Microsoft libère l’appareil et le renvoie vide au pool. Cela signifie que lorsque l’appareil est renvoyé au pool, il n’y aucune preuve de l’activité du client précédent.

Problèmes matériels

L’appareil HSM a des dispositifs d’alimentation et des ventilateurs redondants et remplaçables. Toutefois, l’enlèvement des ventilateurs génèrera quand même un événement de falsification. En cas de défaillance d’un composant, Microsoft utilise le processus le plus approprié pour résoudre le problème au niveau du composant d’une manière qui provoque une interruption minimale et le plus faible risque en termes de disponibilité des services pour nos clients. Toute défaillance plus grave de l'appareil entraînera son remplacement par un appareil neuf du pool libre. Le client inclut simplement le nouvel appareil dans la paire à haute disponibilité existante pour qu’il soit synchronisé et retrouve un état opérationnel complet. Les dispositifs de support des données de l’appareil défaillant sont enlevés et détruits dans le centre de données.

Problèmes de mise en réseau

Si les clients rencontrent des problèmes d’accès réseau à l’appareil HSM, ils doivent contacter le support Microsoft. Un test simple de l’accès réseau consiste à utiliser le protocole SSH pour se connecter à l’appareil HSM. Si cela échoue, contactez le support Microsoft.

Attentes de niveau de service pour le support

Pour les niveaux de service du support Microsoft, reportez-vous au plan de support Azure. Pour en savoir plus sur les niveaux de service du support Thales, reportez-vous à Bases du support Thales.

Étapes suivantes

Il est recommandé de bien comprendre les concepts clés, comme la haute disponibilité et la sécurité, avant le provisionnement des appareils et la conception ou le déploiement des applications.