Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Payment HSM adalah layanan Bare Metal yang dikirimkan melalui Thales payShield 10K. Microsoft berkolaborasi dengan Thales untuk menyebarkan perangkat Thales payShield 10K HSM ke pusat data Azure, memodifikasinya untuk memungkinkan alokasi/dealokasi otomatis perangkat tersebut kepada pelanggan. PayShield di Azure memiliki antarmuka perintah manajemen dan host yang sama dengan payShield lokal, memungkinkan pelanggan untuk menggunakan kartu pintar manajer payShield, pembaca, dan perangkat TMD payShield yang sama.
Penyebaran dan alokasi
Personel Microsoft menyebarkan HSM ke pusat data Azure dan mengalokasikannya kepada pelanggan melalui alat otomatis sesuai permintaan. Setelah HSM dialokasikan, Microsoft menghapus akses logis dan tidak lagi memiliki akses konsol. Akses administratif Microsoft dinonaktifkan, dan pelanggan bertanggung jawab penuh atas konfigurasi dan pemeliharaan HSM dan perangkat lunaknya.
Keamanan dan kepatuhan
Microsoft menangani tugas yang terkait dengan persyaratan keamanan fisik HSM, berdasarkan persyaratan PCI DSS, PCI 3DS, PCI PIN, PCI P2PE. Membatalkan alokasi HSM dari pelanggan menghapus semua materi enkripsi dari perangkat sebagai bagian dari mekanisme yang mengaktifkan kembali akses administratif Microsoft. Microsoft tidak memiliki kemampuan untuk mengelola atau memengaruhi keamanan kunci di luar hosting perangkat HSM fisik.
Manajemen kunci dan skenario pelanggan
Pelanggan Microsoft yang menggunakan HSM Pembayaran menggunakan 2 atau beberapa "Kartu admin" yang disediakan oleh Thales untuk membuat Kunci Master Lokal (LMK) dan domain keamanan. Semua manajemen kunci terjadi dalam domain ini.
Beberapa skenario dapat terjadi:
Pemuatan Kunci: Pelanggan dapat menerima komponen kunci cetak dari pihak ketiga atau cadangan internal untuk dimuat ke HSM. Kepatuhan memerlukan penggunaan PCI Key-Loading Device (KLD) karena kurangnya akses fisik langsung ke HSM oleh pelanggan.
Distribusi Kunci: Pelanggan dapat menghasilkan kunci dalam HSM, tetapi kemudian perlu mendistribusikan kunci tersebut kepada pihak ketiga dalam bentuk komponen utama. Solusi HSM Pembayaran – berbasis cloud – tidak dapat mendukung komponen kunci pencetakan langsung dari HSM. Namun, pelanggan dapat menggunakan TMD atau solusi serupa untuk mengekspor kunci dan mencetak dari lokasi aman pelanggan.
Manajemen firmware HSM
Microsoft mengalokasikan HSM Pembayaran dengan gambar dasar secara default yang mencakup firmware yang disetujui untuk sertifikasi FIPS 140-2 Level 3 dan PCI PTS HSMv3 yang disetujui. Microsoft bertanggung jawab untuk menerapkan patch keamanan ke HSM yang tidak dialokasikan. Pelanggan bertanggung jawab atas pengelolaan pembaruan dan pemeliharaan HSM yang telah dialokasikan.
Pemantauan HSM
Microsoft memantau kesehatan fisik HSM dan konektivitas jaringan, yang mencakup daya, suhu/Kipas HSM individu, Konektivitas OOB, perusakan, status tautan HOST1/HOST2/MGMT, jaringan hulu, dan peralatan.
Pelanggan bertanggung jawab untuk memantau kesehatan operasional HSM yang dialokasikan, yang mencakup log kesalahan HSM dan log audit. Pelanggan dapat menggunakan semua solusi pemantauan payShield.
Redundansi catu daya
PayShield 10K menggunakan desain unit catu daya ganda (PSU) untuk redundansi. Setiap PSU terhubung ke umpan daya independen, memungkinkan perangkat beroperasi secara normal jika satu PSU mengalami pemadaman singkat.
Selama pemeliharaan daya pusat data terjadwal, umpan daya dilayankan satu per satu sementara umpan lain tetap aktif, memastikan operasi berkelanjutan melalui daya redundan. Anda mungkin melihat pesan PSU tunggal sementara di log HSM Anda seperti:
Power supply 1 AC outage
Power supply 1 AC restored
Pesan ini adalah perilaku yang diharapkan dan tidak menunjukkan kesalahan perangkat keras—perangkat terus beroperasi secara normal pada PSU redundan.
Penting
Jangan buka tiket dukungan atau minta investigasi perangkat keras fisik berdasarkan pesan log PSU tunggal. Microsoft memantau kesehatan PSU dan secara proaktif mengatasi kegagalan perangkat keras yang sebenarnya. Intervensi fisik yang tidak perlu dapat menimbulkan risiko pada operasi perangkat Anda.
Jika pemantauan kami mendeteksi masalah PSU atau kipas asli, Microsoft mengganti komponen tanpa memerlukan tindakan atau pemberitahuan pelanggan.
Mengelola perangkat HSM yang tidak responsif
Jika terjadi situasi di mana pelanggan yang mengalokasikan HSM tidak responsif, buka tiket dukungan; lihat Panduan dukungan layanan Azure Payment HSM. Perwakilan akan bekerja sama dengan Anda dan grup Teknik untuk mengatasi masalah tersebut. Ini mungkin memerlukan restart, atau deallocasi/realokasi untuk menyelesaikan masalah.
Memulai ulang
Ada dua metode reboot:
Soft Reboot: Grup Teknik dapat mengeluarkan permintaan Out of Band (OOB) ke perangkat untuk memulai hidupkan ulang dan dapat dengan cepat memverifikasi melalui Log Audit Layanan bahwa itu berhasil. Opsi ini dapat dilakukan segera setelah permintaan melalui Dukungan Pelanggan. Ada beberapa keadaan (masalah jaringan perangkat, hard-lock perangkat) yang akan mencegah HSM menerima permintaan ini.
Hard Reboot: Tim Teknik dapat meminta personel teknis datacenter di lokasi untuk berinteraksi secara fisik dengan HSM dan melakukan reboot. Opsi ini dapat memakan waktu lebih lama tergantung pada tingkat keparahan dampaknya. Kami sangat menyarankan pelanggan untuk berdiskusi dengan grup dukungan dan rekayasa untuk mengevaluasi dampaknya, dan menentukan apakah pelanggan harus membuat HSM baru untuk bertindak maju atau menunggu pemulihan keras.
Dampak Data Pelanggan: Dalam salah satu metode, data pelanggan harus tidak terpengaruh oleh operasi boot ulang.
Dealokasi/realokasi
Ada dua metode untuk menonaktifkan atau menghapus HSM:
Penghapusan Normal: Dalam proses ini pelanggan dapat Merilis HSM melalui payShield Manager sebelum menghapus HSM di Azure. Proses ini memeriksa/memastikan bahwa HSM dirilis (dan oleh karena itu semua konten/rahasia pelanggan dihapus) sebelum diserahkan kembali ke Microsoft dan akan memblokir jika pemeriksaan tersebut gagal. Setelah pelanggan merilis HSM, mereka harus mencoba kembali permintaan. Lihat Tutorial: Menghapus fitur HSM yang terkait pembayaran berkomisi.
Hapus paksa: Jika pelanggan tidak dapat Merilis HSM sebelum penghapusan (karena perangkat yang tidak responsif, dll.), Tim Teknik, dengan permintaan tertulis dari pelanggan, dapat mengatur flag yang melewati pemeriksaan Rilis. Dalam hal ini, ketika HSM dihapus, sistem manajemen otomatis melakukan permintaan "Reclaim" OOB, yang mengeluarkan perintah "Rilis" atas nama pelanggan sebelumnya dan menghapus semua konten pelanggan (data, log, dll.).
Dampak Data Pelanggan: Dalam salah satu metode, data pelanggan dihapus secara tidak dapat dicabut oleh perintah "Perangkat Rilis".
HSM yang gagal
Dalam kasus kegagalan perangkat keras HSM aktual dari perangkat yang dialokasikan pelanggan, satu-satunya tindakan adalah menggunakan metode alokasi "Hapus Paksa". Hal ini memungkinkan sumber daya Azure yang ditautkan dengan HSM tersebut dihapus. Setelah selesai, personel di lokasi Pusat Data diarahkan untuk mengikuti runbook Pusat Data yang disetujui untuk menghancurkan perangkat pembawa data (HDD) dan HSM yang ada di dalam HSM yang gagal.
Langkah berikutnya
- Pelajari selengkapnya tentang Azure Payment HSM
- Cari tahu cara memulai Azure Payment HSM
- Pelajari cara untuk Membuat HSM pembayaran
- Membaca pertanyaan yang sering diajukan