Monitorování azure Dedicated HSM
Služba Azure Dedicated HSM poskytuje fyzické zařízení pro výhradní použití zákazníka s úplnou odpovědností za správu a řízení. Zařízení je k dispozici model Thales Luna 7 HSM A790. Microsoft nemá po zřízení zákazníka žádný přístup pro správu nad rámec přílohy fyzického sériového portu jako role monitorování. V důsledku toho zodpovídají zákazníci za typické provozní aktivity, včetně komplexního monitorování a analýzy protokolů.
Zákazníci jsou plně zodpovědní za aplikace, které používají moduly hardwarového zabezpečení, a měli by spolupracovat s Thales a požádat o podporu nebo konzultační pomoc. Vzhledem k rozsahu vlastnictví zákazníka provozní hygieny není možné, aby Microsoft pro tuto službu nabídl jakýkoli druh záruky vysoké dostupnosti. Je zodpovědností zákazníka zajistit, aby jejich aplikace byly správně nakonfigurované tak, aby dosahovaly vysoké dostupnosti. Microsoft monitoruje a udržuje stav zařízení a síťové připojení.
Monitorování Microsoftu
Zařízení Thales Luna 7 HSM má ve výchozím nastavení protokol SNMP a sériový port jako možnosti pro monitorování zařízení. Společnost Microsoft použila připojení sériového portu jako fyzické prostředky pro připojení k zařízení k načtení základní telemetrie o stavu zařízení, včetně stavu teploty a součásti (například napájecí zdroje a ventilátory).
Microsoft k tomu používá nesprávnou roli monitorování nastavenou na zařízení Thales. Tato role umožňuje načíst telemetrii, ale neposkytuje přístup k zařízení z hlediska úlohy správy ani zobrazení kryptografických informací. Naši zákazníci můžou mít jistotu, že jejich zařízení je skutečně vlastní pro správu, správu a používání citlivého úložiště kryptografických klíčů. V případě, že některý zákazník není s tímto minimálním přístupem pro základní monitorování stavu spokojen, má možnost zakázat účet monitorování. Zjevným důsledkem je, že Microsoft nebude mít žádné informace, a proto nebude mít možnost poskytovat proaktivní oznámení o problémech se stavem zařízení. V této situaci zodpovídá zákazník za stav zařízení.
Samotná funkce monitorování je nastavená tak, aby se zařízení každých 10 minut dotazovalo, aby získalo data o stavu. Vzhledem k povaze chyby náchylné k sériové komunikaci by se výstraha vyvolala až po několika negativních indikátorech stavu za jednu hodinu. Tato výstraha by nakonec vedla k proaktivní komunikaci zákazníka s oznámením problému.
V závislosti na povaze problému by se provedl příslušný postup pro snížení dopadu a zajištění nápravy s nízkým rizikem. Selhání napájení je například procedura výměny za provozu bez výsledné manipulace, takže je možné ji provést s nízkým dopadem a minimálním rizikem provozu. Jiné postupy mohou vyžadovat, aby zařízení bylo nulové a zrušení zřízení, aby se minimalizovalo bezpečnostní riziko pro zákazníka. V takovém případě by zákazník zřídil alternativní zařízení, znovu se připojí ke spárování s vysokou dostupností, čímž se aktivuje synchronizace zařízení. Normální provoz by se obnovil v minimálním čase s minimálním přerušením a nejnižším bezpečnostním rizikem.
Monitorování zákazníků
Cenová nabídka služby Dedicated HSM je řízení, které zákazník získá ze zařízení, zejména v případě, že jde o zařízení doručované do cloudu. Důsledkem tohoto řízení je odpovědnost za monitorování a správu stavu zařízení. Zařízení Thales Luna 7 HSM obsahuje pokyny pro implementaci SNMP a Syslogu. Zákazníkům služby Dedicated HSM se doporučuje použít tuto možnost i v případě, že účet monitorování Microsoft zůstane aktivní a měl by zvážit, jestli je povinný, pokud účet Monitorování Microsoft zakáže. V obou dostupných technikách by zákazník mohl identifikovat problémy a zavolat na podporu Microsoftu, aby zahájil odpovídající nápravnou práci.
Další kroky
Doporučuje se, aby všechny klíčové koncepty služby, jako je například vysoká dostupnost a zabezpečení, byly dobře srozumitelné před jakýmkoli zřizováním zařízení a návrhem nebo nasazením aplikací. Další témata na úrovni konceptu: