Partager via


Scénarios de déploiement

Microsoft déploie des modules de sécurité matériels (HSM) de paiement dans des tampons au sein d’une région et dans plusieurs régions pour permettre la haute disponibilité (HA) et la récupération d’urgence. Dans une région, les modules HSM sont déployés sur différents tampons pour empêcher la défaillance de rack unique, et les clients doivent approvisionner deux appareils dans une région à partir de deux tampons distincts afin d’atteindre la haute disponibilité. Pour la récupération d’urgence, le client doit approvisionner des appareils HSM dans une autre région.

Thales ne fournit pas le Kit de développement logiciel (SDK) PayShield aux clients, qui prend en charge la haute disponibilité sur un cluster (une collection de modules HSM initialisés avec le même LMK). Toutefois, le scénario d’usage des appareils Thales PayShield par les clients est semblable à celui d’un serveur sans état. Par conséquent, aucune synchronisation n’est requise entre les modules HSM pendant l’exécution de l’application. Les clients gèrent la haute disponibilité à l’aide de leur ordinateur client personnalisé. Une implémentation consisterait à équilibrer la charge entre les modules HSM sains connectés à l’application. Les clients sont tenus d’implémenter la haute disponibilité en approvisionnant plusieurs appareils, en équilibrant la charge et en utilisant tout type de mécanisme de sauvegarde disponible pour sauvegarder les clés.

Important

  • Vérifiez que votre architecte de solution Microsoft Cloud a examiné la conception et la préparation de votre architecture de déploiement HSM de paiement avant le lancement de la production.
  • Passez en revue les topologies et contraintes prises en charge répertoriées dans la conception de la solution.
  • Les groupes de sécurité réseau et les itinéraires définis par l’utilisateur ne sont pas pris en charge pour les sous-réseaux HSM de paiement.
  • Le peering de réseaux virtuels ne prend pas en charge la communication inter-région avec les instances HSM de paiement. Une machine virtuelle d’une région ne peut pas communiquer avec une instance HSM de paiement dans une autre région sans l’utilisation d’ExpressRoute ou d’une passerelle VPN.
  • Les clients peuvent allouer un maximum de deux HSM de paiement à partir de chaque empreinte dans une région sous le même abonnement.
  • Si le client n’a pas de configuration de haute disponibilité dans son environnement de production, il ne pourra pas recevoir de support S2 côté Microsoft.

Déploiement à haute disponibilité

Diagramme d’architecture pour le déploiement de la haute disponibilité.

Pour la haute disponibilité, le client doit allouer le HSM entre le tampon 1 et le tampon 2 (en d’autres termes, il n’y a pas deux modules HSM du même tampon).

Déploiement de la reprise d’activité après sinistre

Diagramme d’architecture pour le déploiement de la récupération d’urgence.

Ce scénario permet de faire face à une défaillance au niveau régional. En raison de la latence, la stratégie habituelle consiste à changer complètement la pile d’applications (et ses HSM) plutôt que d’essayer d’atteindre un HSM dans la région 2 à partir d’une application dans la région 1.

Étapes suivantes