Azure Dedicated HSM-support

  • Artikel

Azure Dedicated HSM-tjänsten tillhandahåller en fysisk enhet för enbart kundanvändning med fullständigt administrativt kontroll- och hanteringsansvar. Enheten som görs tillgänglig är en Thales Luna 7 HSM-modell A790. Microsoft kommer inte att ha någon administrativ åtkomst när den har etablerats av en kund, utöver den fysiska bifogade porten som en övervakningsroll. Utan åtkomst kan Microsoft inte ha något pågående underhåll på programvarunivå eller systemadministrationsansvar. Därför ansvarar kunderna för typiska operativa aktiviteter. Kunderna ansvarar fullt ut för program som använder HSM:erna och bör samarbeta med Thales för support eller konsultbaserad hjälp. På grund av omfattningen av kundens ägarskap för drifthygien är det inte möjligt för Microsoft att erbjuda någon form av hög tillgänglighetsgaranti för den här tjänsten. Det är kundens ansvar att se till att deras program är korrekt konfigurerade för att uppnå hög tillgänglighet. Microsoft övervakar och underhåller enhetens hälsotillstånd och nätverksanslutning.

Få support

Kundsupport för dedikerad HSM är ett gemensamt arbete mellan Microsoft och Thales. Eventuella maskinvaruproblem eller problem med nätverksvägar kommer att åtgärdas av Microsoft, och allt som har att göra med den faktiska HSM, till exempel konfiguration, programvara, inbyggd programvara och programutveckling, kommer att åtgärdas av Thales. Den här supportmodellen säkerställer den snabbaste vägen till det mest effektiva stödet. Om du är osäker på ett visst problem kan du skicka en supportbegäran till Microsoft så ser vi till att du dirigeras på rätt sätt. Microsoft kommer att fortsätta engagera sig i alla supportscenarier och sträva efter bästa möjliga supportupplevelse för våra kunder.

Stöd för Thales

Kunder som använder den dedikerade HSM-tjänsten kvalificerar sig för support från Thales enligt deras Plus-supportplan. Detta kräver bara en registreringsprocess med thales-supportportalen. Ett kund-ID och instruktioner kommer att tillhandahållas för detta som en del av det första åtagandet med Microsoft att få åtkomst till den dedikerade HSM-tjänsten. Mekanismen för att få support från Thales är via deras kundsupportportal. En viktig sak att tänka på är att Thales tillhandahåller all programvara och dokumentation som krävs för att använda HSM (till exempel klientåtkomstprogramvara och SDK:er) via nedladdning på kundsupportportalen.

Programvarukomponenter

Olika programvarukomponenter används i konfigurationen av HSM-enheter:

  • Klientprogramvara
  • SDK
  • Verktyg

Vägledning

Thales ger tillgänglig administrations- och konfigurationsvägledning via Thales kundsupportportal. När du har loggat in med ett giltigt kund-ID är dessa dokument tillgängliga för nedladdning. Thales innehåller också en serie integreringsguider som hjälper kunder med olika scenarier och programvaruintegreringar. Mer information finns på Thales partnerwebbplats för Microsoft.

Support

Eventuella problem på programvarunivå eller frågor om användning av HSM:erna som en del av den dedikerade HSM-tjänsten bör adresseras direkt till Thales-supporten. Alla programvarukomponenter som anges ovan och alla anpassade HSM-konfigurationer som är efter etableringen kommer att hanteras av Thales. Mer information finns i Thales kundsupportportal.

Konsulttjänster

Om du behöver hjälp med design, utveckling och distribution av anpassade program som använder HSM kontaktar du din Representant för Thales-kontot.

Microsoft Support

Microsoft ser till att fysiska HSM-enheter är nätverkstillgängliga och i driftstillstånd för exklusiv användning av en enda kund. Kunderna ansvarar för konfiguration, administration och hantering av enheten. Microsofts ansvarsområden omfattar:

  • Kontrollera att enheten har ström och kylning
  • Upprätthålla drifttillståndet för HSM (till exempel avbrott/korrigeringsscenarier)
  • Enheten är tillgänglig via nätverket.

Problem som följande bör rapporteras till Microsoft:

  • Komponentfel
  • Fullständigt enhetsfel
  • Problem med nätverksåtkomst
  • Problem med etablering och avetablering.

Microsoft har fysisk seriell portåtkomst till enheten via en övervakningsroll (som är en icke-administrativ roll) som möjliggör grundläggande hälsotelemetri. Detta gör att Microsoft kan skicka proaktiva meddelanden om problem till kunden om inte kunden väljer att begränsa den här behörigheten.

Etablering och inaktivering

När en kund har en godkänd registrering för den dedikerade HSM-tjänsten kan de skapa HSM-resurser (för närvarande via PowerShell eller kommandoradsgränssnittet och inte Azure Portal). Resursen går igenom en allokeringsprocess som mappar en fysisk enhet i en angiven region till en kunds fördefinierade virtuella nätverk (VNet). När den är synlig på ett virtuellt nätverk kan kunden komma åt enheten och konfigurera den ytterligare enligt kraven. Kunder får åtkomst till sina dedikerade HSM:er med thales-klientprogramvara och -verktyg. Processen för att skapa resurser stöds av Microsoft. Anpassad konfigurationsprocess och senare stöds av Thales. (se Stöd för Thales ovan). När en kund har slutfört användningen av en HSM måste den återställas (eller nollställas) för att säkerställa att data inte beständighet. Processen för att återställa enheten tar bort all anpassad konfiguration och alla data. Microsoft frigör enheten och returnerar den till poolen i ett orört tillstånd. Det innebär att när enheten returneras till poolen finns det inga bevis för tidigare kundaktivitet.

Problem med maskinvara

HSM-enheten har redundanta och utbytbara strömförsörjningar och fläktenheter. Borttagningen av fläktenheten orsakar dock fortfarande en manipuleringshändelse. När ett komponentfel inträffar använder Microsoft den lämpligaste processen för att åtgärda problem på komponentnivå på ett sätt som orsakar minimalt avbrott och lägsta risk för våra kunders tjänsttillgänglighet. Eventuella allvarligare fel på enheten resulterar i att enheten ersätts av en ny enhet från den kostnadsfria poolen. Kunden inkluderar helt enkelt den nya enheten i det befintliga HA-paret så att den kan synkroniseras och återgå till fullständigt driftstillstånd. Den felaktiga enheten kommer att få sina datalagerenheter borttagna och strimlade på plats i datacentret.

Nätverksproblem

Om kunderna upplever problem med nätverksåtkomst till HSM-enheten bör de kontakta Microsofts support. Ett enkelt test för nätverksåtkomst är att använda SSH för att ansluta till HSM-enheten. Om detta misslyckas kontaktar du Microsofts support.

Förväntningar på servicenivå för support

Information om servicenivåer för Microsoft-support finns i Azure Support-planen. Information om Thales supporttjänstnivåer finns i Thales Support Essentials.

Nästa steg

Vi rekommenderar att viktiga begrepp som hög tillgänglighet och säkerhet förstås väl före enhetsetablering och programdesign eller distribution.