Dedikált Azure HSM-monitorozás
Az Azure Dedikált HSM szolgáltatás olyan fizikai eszközt biztosít, amely kizárólag az ügyfelek számára használható, teljes körű felügyeleti és felügyeleti felelősséggel. Az elérhető eszköz egy Thales Luna 7 HSM A790 modell. A Microsoft nem rendelkezik rendszergazdai hozzáféréssel, miután az ügyfél kiépítette a fizikai soros portot monitorozási szerepkörként. Ennek eredményeképpen az ügyfelek felelősek a tipikus üzemeltetési tevékenységekért, beleértve az átfogó monitorozást és a naplóelemzést.
Az ügyfelek teljes mértékben felelősek a HSM-eket használó alkalmazásokért, és a Thales-lel együtt kell működnie a támogatásért vagy tanácsadásért. A működési higiénia ügyfelek általi tulajdonjogának mértéke miatt a Microsoft nem tud magas rendelkezésre állási garanciát nyújtani ehhez a szolgáltatáshoz. Az ügyfél felelőssége, hogy az alkalmazásaik megfelelően legyenek konfigurálva a magas rendelkezésre állás érdekében. A Microsoft figyeli és karbantartja az eszköz állapotát és a hálózati kapcsolatot.
Microsoft monitorozás
A használt Thales Luna 7 HSM-eszköz alapértelmezés szerint SNMP-t és soros portot használ az eszköz figyelésére. A Microsoft a soros portkapcsolatot fizikai eszközként használta az eszközhöz való csatlakozáshoz az eszköz állapotával kapcsolatos alapszintű telemetriai adatok lekéréséhez, beleértve a hőmérsékletet és az összetevők állapotát (például tápegységeket és ventilátorokat).
Ehhez a Microsoft a Thales-eszközön beállított nemminisztratív "monitorozási" szerepkört használja. Ez a szerepkör lehetővé teszi a telemetriai adatok lekérését, de nem biztosít hozzáférést az eszközhöz rendszergazdai feladat vagy bármilyen módon a titkosítási adatok megtekintéséhez. Ügyfeleink biztosak lehetnek abban, hogy eszközük valóban a sajátjuk a bizalmas titkosítási kulcsok tárolására, felügyeletére és használatára. Ha bármely ügyfél nem elégedett ezzel a minimális hozzáféréssel az alapvető állapotfigyeléshez, lehetősége van letiltani a figyelési fiókot. Ennek nyilvánvaló következménye, hogy a Microsoft nem rendelkezik információval, ezért nem tud proaktív értesítést adni az eszköz állapotával kapcsolatos problémákról. Ebben az esetben az ügyfél felelős az eszköz állapotáért.
Maga a monitorozási függvény úgy van beállítva, hogy 10 percenként lekérdezi az eszközt az állapotadatok lekéréséhez. A soros kommunikáció hibalehetősége miatt csak egy óra alatt több negatív állapotjelzőt követően jelenik meg riasztás. Ez a riasztás végső soron proaktív ügyfélkommunikációhoz vezet, amely értesíti a problémát.
A probléma jellegétől függően a hatás csökkentése és az alacsony kockázatú szervizelés biztosítása érdekében megfelelő lépéseket kellene tenni. Az energiaellátási hibák például olyan gyakori felcserélési eljárások, amelyek nem okoznak illetéktelen beavatkozási eseményt, ezért alacsony hatással és minimális működési kockázattal végezhetők el. Más eljárások esetén előfordulhat, hogy az eszköz nullázását és leépítését kell megkövetelni az ügyfél biztonsági kockázatának minimalizálása érdekében. Ebben az esetben az ügyfél kiépít egy másik eszközt, és újracsatlakozik egy magas rendelkezésre állású párosításhoz, így aktiválja az eszközszinkronizálást. A normál művelet minimális idő alatt folytatódna, minimális megszakítással és a legkisebb biztonsági kockázattal.
Ügyfélfigyelés
A dedikált HSM szolgáltatás értékajánlata az, hogy az ügyfél megkapja az eszközt, különös tekintettel arra, hogy az egy felhőben szállított eszköz. Ennek az ellenőrzésnek a következménye az eszköz állapotának monitorozása és kezelése. A Thales Luna 7 HSM-eszköz útmutatást nyújt az SNMP és a Syslog implementációhoz. A dedikált HSM szolgáltatás ügyfeleinek ajánlott ezt használni akkor is, ha a Microsoft monitorfiókja aktív marad, és kötelezőnek kell tekinteni, ha letiltják a Microsoft monitorfiókot. Bármelyik elérhető technika lehetővé teszi az ügyfél számára a problémák azonosítását és a Microsoft ügyfélszolgálatának hívását a megfelelő szervizelési munka kezdeményezéséhez.
Következő lépések
Javasoljuk, hogy a szolgáltatás minden alapvető fogalma, például a magas rendelkezésre állás és a biztonság jól érthető legyen az eszközök kiépítése és az alkalmazások tervezése vagy üzembe helyezése előtt. További fogalomszintű témakörök: