Központi telepítési forgatókönyvek

A Microsoft fizetési hardveres biztonsági modulokat (HSM) helyez üzembe egy régión és több régión belüli bélyegeken a magas rendelkezésre állás (HA) és a vészhelyreállítás engedélyezéséhez. Egy régióban a HSM-eket különböző bélyegeken helyezik üzembe, hogy megelőzzék az egy állvány meghibásodását, és az ügyfeleknek két eszközt kell üzembe helyeznie egy régióban két külön bélyegből a magas rendelkezésre állás érdekében. Vészhelyreállításhoz az ügyfélnek HSM-eszközöket kell kiépnie egy másik régióban.

A Thales nem biztosít PayShield SDK-t az ügyfeleknek, amely támogatja a HA-t egy fürtön keresztül (ugyanazzal az LMK-val inicializált HSM-gyűjtemény). A Thales PayShield-eszközök ügyfélhasználati forgatókönyve azonban olyan, mint egy állapot nélküli kiszolgáló. Így nincs szükség szinkronizálásra a HSM-ek között az alkalmazás futtatókörnyezetében. Az ügyfelek az egyéni ügyféllel kezelik a HA-t. Az egyik implementáció az alkalmazáshoz csatlakoztatott kifogástalan állapotú HSM-k terheléselosztása. Az ügyfelek feladata a magas rendelkezésre állás megvalósítása több eszköz kiépítésével, a terheléselosztással és a kulcsok biztonsági mentéséhez rendelkezésre álló biztonsági mentési mechanizmussal.

Fontos

• Győződjön meg arról, hogy a Microsoft Cloud Solution Architect áttekintette a fizetési HSM üzembehelyezési architektúrájának kialakítását és felkészültségét az éles üzembe helyezés előtt.
• Tekintse át a megoldástervben felsorolt támogatott topológiákat és korlátozásokat.
• A hálózati biztonsági csoportok és a felhasználó által megadott útvonalak nem támogatottak a HSM-alhálózatok kifizetéséhez.
• A virtuális hálózatok közötti társviszony-létesítés nem támogatja a régióközi kommunikációt a fizetési HSM-példányokkal. Az egyik régióban lévő virtuális gépek nem tudnak kommunikálni egy másik régióban lévő fizetési HSM-példánysal expressRoute vagy VPN-átjáró használata nélkül.
• Az ügyfelek legfeljebb két fizetési HSM-et oszthatnak ki egy régióban, ugyanazon előfizetés alatt lévő minden egyes bélyegből.
• Ha az ügyfél nem rendelkezik magas rendelkezésre állású beállítással az éles környezetben, az ügyfél nem fog tudni S2-támogatást kapni a Microsoft oldaláról.

Magas rendelkezésre állású üzembe helyezés

Magas rendelkezésre állás esetén az ügyfélnek hSM-eket kell lefoglalnia az 1. és a 2. bélyeg között (vagyis nem két HSM egyazon bélyegből)

Vészhelyreállítás üzembe helyezése

Ez a forgatókönyv regionális szintű meghibásodást okozhat. A szokásos stratégia az alkalmazásverem (és annak HSM-jei) teljes váltása ahelyett, hogy késés miatt megpróbálna elérni egy HSM-et a 2. régióban az 1. régióbeli alkalmazásból.

Következő lépések

• Mi az Az Azure Payment HSM?
• Azure Payment HSM-megoldás tervezése
• Azure Payment HSM forgalomvizsgálata
• Az Azure Payment HSM használatának első lépései
• Fizetési HSM létrehozása
• Gyakori kérdések