Supporto di HSM dedicato di Azure
Il servizio HSM dedicato di Azure offre un dispositivo fisico ad uso esclusivo del cliente, con controllo amministrativo completo e piena responsabilità di gestione. Il dispositivo reso disponibile è un modello HSM Thales Luna 7 A790. Dopo il provisioning al cliente, Microsoft non avrà alcun accesso amministrativo, oltre a una connessione alla porta seriale come ruolo di monitoraggio. In mancanza di accesso, Microsoft non può avere alcuna responsabilità a livello di manutenzione del software o amministrazione di sistema. Di conseguenza, i clienti sono responsabili delle attività operative più comuni. I clienti sono completamente responsabili per le applicazioni che usano i moduli di protezione hardware e devono collaborare con Thales per assistenza supportata o basata su consulenza. Vista la portata della proprietà del cliente in termini di igiene operativa, Microsoft non può offrire alcun tipo di garanzia di disponibilità elevata per questo servizio. È responsabilità del cliente assicurarsi che le proprie applicazioni siano configurate correttamente per ottenere la disponibilità elevata. Microsoft monitorerà e gestirà l'integrità del dispositivo e la connettività di rete.
Ottenere assistenza
Il supporto clienti per HSM dedicato è uno sforzo congiunto tra Microsoft e Thales. Eventuali problemi hardware o problemi relativi al percorso di rete verranno risolti da Microsoft e qualsiasi operazione con il modulo di protezione hardware effettivo, ad esempio configurazione, software, firmware e sviluppo di applicazioni, verrà risolto da Thales. Questo modello di supporto garantisce la route più rapida al supporto più efficace. In caso di dubbi su un particolare problema, generare una richiesta di supporto con Microsoft e ci assicureremo di essere indirizzati in modo appropriato. Microsoft continuerà a impegnarsi in tutti gli scenari di supporto e cercherà di ottenere un'esperienza di supporto ottimale per i clienti.
Supporto di Thales
I clienti che usano il servizio HSM dedicato sono idonei per il supporto di Thales in base al piano di supporto Plus. Questo richiede solo un processo di registrazione usando il portale di supporto di Thales. Un ID cliente e le istruzioni verranno fornite per questo come parte dell'impegno iniziale con Microsoft per ottenere l'accesso al servizio HSM dedicato. Il meccanismo per ottenere supporto da Thales è tramite il portale di supporto clienti. Un punto chiave di nota è che Thales fornirà tutto il software e la documentazione necessari per usare il modulo di protezione hardware (ad esempio, software di accesso client e SDK) tramite download nel portale di supporto clienti.
Componenti software
Nella configurazione dei dispositivi HSM vengono usati diversi componenti software:
- Software client
- SDK
- Strumenti
Indicazioni
Thales rende disponibili indicazioni per l'amministrazione e la configurazione tramite il portale di supporto clienti thales. Una volta effettuato l'accesso usando un ID cliente valido, questi documenti sono disponibili per il download. Thales offre anche una serie di guide all'integrazione per aiutare i clienti con diversi scenari e integrazioni software. Per altre informazioni, vedere il sito partner Thales per Microsoft.
Supporto
Qualsiasi problema o domanda a livello di software in relazione all'uso dei moduli di protezione hardware come parte del servizio HSM dedicato, deve essere risolto direttamente al supporto thales. Tutti i componenti software elencati in precedenza e qualsiasi configurazione del modulo di protezione hardware personalizzata post-provisioning verrà gestita da Thales. Per altre informazioni, vedere il portale di supporto clienti thales.
Servizi di consulenza
Per qualsiasi assistenza per la progettazione, lo sviluppo e la distribuzione di applicazioni personalizzate che usano il modulo di protezione hardware, contattare il rappresentante dell'account Thales.
Supporto tecnico Microsoft
Microsoft garantirà che i dispositivi HSM fisici siano accessibili alla rete e in uno stato operativo per l'uso esclusivo di un singolo cliente. I clienti sono responsabili della configurazione, dell'amministrazione e della gestione del dispositivo. Le responsabilità di Microsoft includono:
- Assicurarsi che il dispositivo disponga di alimentazione e raffreddamento
- Mantenere lo stato operativo del modulo di protezione hardware (ad esempio, scenari di risoluzione dei problemi)
- Il dispositivo sia accessibile in rete.
I problemi seguenti devono essere segnalati a Microsoft:
- Guasti dei componenti
- Guasto completo del dispositivo
- Problemi di accesso alla rete
- Problemi di provisioning e deprovisioning.
Microsoft ha accesso alla porta seriale fisica al dispositivo tramite un ruolo di monitoraggio (ovvero un ruolo non amministrativo) che abilita i dati di telemetria di base sull'integrità. In questo modo Microsoft può fornire la notifica tempestiva di problemi al cliente, a meno che il cliente non scelga di limitare il privilegio.
Provisioning e rimozione delle autorizzazioni
Dopo aver ottenuto una registrazione approvata per il servizio HSM dedicato, il cliente sarà in grado di creare risorse HSM, attualmente tramite PowerShell o l'interfaccia della riga di comando e non dal portale di Azure. La risorsa attraversa un processo di allocazione in cui viene eseguito il mapping di un dispositivo fisico in un'area specificata a una rete virtuale del cliente predefinita. Una volta visibile sulla rete virtuale, il cliente può accedere al dispositivo e configurarlo ulteriormente in base ai requisiti. I clienti accedono ai moduli di protezione hardware dedicati usando software e strumenti client Thales. Il processo di creazione delle risorse è supportato da Microsoft. Il processo di configurazione personalizzato e oltre sono supportati da Thales. (vedere Il supporto di Thales sopra). Quando un cliente smette di utilizzare un modulo di protezione hardware, deve reimpostarlo (impostarlo su zero) per garantire la non persistenza dei dati. Il processo di reimpostazione del dispositivo rimuove tutti i dati e la configurazione personalizzata. Microsoft dealloca il dispositivo e lo restituisce al pool in uno stato originario. Ciò significa che quando il dispositivo viene restituito al pool non vi è alcuna traccia dell'attività del cliente precedente.
Problemi hardware
Il dispositivo HSM ha alimentatori e ventole ridondanti e sostituibili. Tuttavia, la rimozione dell'unità ventola continuerà a causare un evento di manomissione. Se si verifica il guasto di un componente, Microsoft seguirà il processo più appropriato per risolvere il problema a livello di componente in modo da causare un'interruzione minima e il minimo rischio per la disponibilità del servizio ai clienti. Qualsiasi errore più grave del dispositivo comporterà la sostituzione di un nuovo dispositivo dal pool gratuito. Il cliente include semplicemente il nuovo dispositivo nella coppia a disponibilità elevata esistente in modo da sincronizzarlo e tornare allo stato operativo completo. I dispositivi contenenti dati del modulo di protezione hardware verranno rimossi e distrutti all'interno del data center.
Problemi di rete
In caso di problemi di accesso di rete al dispositivo HSM, i clienti devono contattare il supporto tecnico Microsoft. Un semplice test per l'accesso di rete consiste nell'usare SSH per connettersi al dispositivo HSM. In caso di errore, contattare il supporto tecnico Microsoft.
Aspettative del livello di servizio per il supporto
Per i livelli di servizio del supporto tecnico Microsoft, vedere il piano di supporto per Azure. Per i livelli di servizio di supporto di Thales, vedere Thales Support Essentials.
Passaggi successivi
Prima di eseguire il provisioning di dispositivi o di iniziare la progettazione o distribuzione di applicazioni, è consigliabile aver ben compreso tutti i concetti chiave.