Escenarios de implementación
Microsoft implementa módulos de seguridad de hardware (HSM) de pago en stamps de una región y varias regiones para habilitar la alta disponibilidad (HA) y la recuperación ante desastres. En una región, los HSM se implementan en distintos stamps para evitar errores en un único bastidor, y los clientes deben aprovisionar dos dispositivos en una región desde dos stamps independientes para lograr una alta disponibilidad. Para la recuperación ante desastres, el cliente debe aprovisionar dispositivos HSM en una región alternativa.
Thales no proporciona el SDK de PayShield a los clientes, que admite la alta disponibilidad por medio de un clúster (una colección de HSM inicializados con igual LMK). Pero el escenario de uso de los clientes de los dispositivos Thales PayShield es como un servidor sin estado. Por lo tanto, no se requiere ninguna sincronización entre HSM durante el tiempo de ejecución de la aplicación. Los clientes controlan la alta disponibilidad con su cliente personalizado. Una implementación sería equilibrar la carga entre HSM en buen estado conectados a la aplicación. Los clientes son responsables de implementar la alta disponibilidad mediante el aprovisionamiento de varios dispositivos, el equilibrio de carga y el uso de cualquier tipo de mecanismo de copia de seguridad disponible para realizar copias de seguridad de las claves.
Importante
- Asegúrese de que el arquitecto de soluciones en la nube de Microsoft ha revisado el diseño y la preparación de la arquitectura de implementación de HSM de pago antes del lanzamiento de producción.
- Revise las topologías y restricciones admitidas que aparecen en el diseño de la solución.
- Los grupos de seguridad de red y las rutas definidas por el usuario no se admiten para subredes de HSM de pago.
- El emparejamiento de red virtual no admite la comunicación entre regiones con instancias de HSM de pago. Una máquina virtual de una región no puede comunicarse con una instancia de HSM de pago en otra región sin el uso de ExpressRoute o una puerta de enlace de VPN.
- Los clientes pueden asignar un máximo de dos HSM de pago de cada stamp en una región en la misma suscripción.
- Si el cliente no tiene una configuración de alta disponibilidad en su entorno de producción, el cliente no podrá recibir soporte técnico de S2 del lado de Microsoft.
Implementaciones de alta disponibilidad
Para lograr una alta disponibilidad, el cliente debe asignar HSM entre stamp 1 y stamp 2 (es decir, no dos HSM desde el mismo stamp)
Implementación de la recuperación ante desastres
Este escenario es específico de errores de nivel regional. La estrategia habitual es cambiar completamente la pila de la aplicación (y sus HSM) en lugar de intentar alcanzar un HSM de la región 2 desde la aplicación de la región 1 debido a la latencia.