Capacidade de Suporte do HSM Dedicado do Azure
O serviço HSM Dedicado do Azure fornece um dispositivo físico para uso exclusivo do cliente, com controle administrativo e responsabilidade de gerenciamento. O dispositivo disponibilizado é um Thales Luna 7 HSM modelo A790. A Microsoft não tem acesso administrativo, uma vez provisionado por um cliente, além do anexo de porta serial física como uma função de monitoramento. Sem acesso, a Microsoft não pode ter responsabilidades quanto à manutenção contínua em nível de software ou administração de sistema. Como resultado, os clientes são responsáveis por atividades operacionais típicas. Os clientes são totalmente responsáveis por aplicativos que usam os HSMs e devem funcionar com Thales para suporte ou assistência baseada em consultoria. Devido à extensão de propriedade do cliente de higiene de troca operacional, não é possível para a Microsoft oferecer qualquer tipo de garantia de alta disponibilidade para esse serviço. É responsabilidade do cliente garantir que seus aplicativos estejam configurados corretamente para obter alta disponibilidade. A Microsoft irá monitorar e manter a conectividade de rede e integridade do dispositivo.
Obtendo suporte
O atendimento ao cliente para HSM dedicado é um esforço conjunto entre a Microsoft e o Thales. Quaisquer problemas de hardware ou de caminho de rede serão abordados pela Microsoft, e qualquer coisa relacionada a HSM real, como configuração, software, firmware e desenvolvimento de aplicativos, será abordada pelo Thales. Esse modelo de suporte garante a rota mais rápida para o suporte mais eficaz. Se estiver em dúvida sobre um problema específico, gere uma solicitação de suporte com a Microsoft e garantiremos que você será direcionado adequadamente. A Microsoft se manterá envolvida em todos os cenários de suporte e buscará a melhor experiência de suporte para nossos clientes.
Suporte do Thales
Os clientes que usam o serviço HSM dedicado se qualificam para o suporte do Thales de acordo com seu plano de suporte Plus. Isso apenas requer um processo de registro usando o portal de suporte do Thales. Uma ID de cliente e instruções serão fornecidas para isso como parte do envolvimento inicial com a Microsoft para obter acesso ao serviço HSM dedicado. O mecanismo para obter suporte da Thales é por meio de seu portal de suporte do cliente. Um ponto importante de observação é que o Thales fornecerá todos os softwares e a documentação necessários para usar o HSM (por exemplo, software de acesso para cliente e SDKs) por meio de download no portal de atendimento ao cliente.
Componentes de software
Vários componentes de software são usados na configuração de dispositivos HSM:
- Software cliente
- SDK
- Ferramentas
Diretrizes
O Thales disponibiliza a administração e o guia de configuração pelo portal de suporte do cliente Thales. Depois de conectado usando uma ID de cliente válido, esses documentos estão disponíveis para download. O Thales também fornece uma série de guias de integração para ajudar os clientes com diferentes cenários e integrações de software. Para obter mais informações, consulte o site de parceiros do Thales para Microsoft.
Suporte
Qualquer problema de nível de software ou uma pergunta em relação ao uso de HSMs como parte do serviço do HSM Dedicado deve ser endereçado diretamente ao suporte do Thales. Todos os componentes de software listados acima e qualquer configuração de HSM personalizada pós-provisionamento serão tratados pelo Thales. Para obter mais informações, consulte o portal de suporte do cliente Thales.
Serviços de consultoria
Para obter assistência no design, desenvolvimento e implantação de aplicativos personalizados que usam o HSM, entre em contato com seu representante de conta Thales.
Suporte da Microsoft
A Microsoft garantirá que os dispositivos HSM físicos sejam acessíveis pela rede e em um estado operacional para o exclusivo uso de um único cliente. Os clientes são responsáveis pela configuração, administração e gerenciamento do dispositivo. As responsabilidades da Microsoft incluem:
- Certificar-se que o dispositivo tenha alimentação e resfriamento
- Manter um estado operacional do HSM (por exemplo, cenários de reparos)
- O dispositivo é acessível pela rede.
Problemas como a seguir devem ser relatados à Microsoft:
- Falhas de componente
- Falha de dispositivo completo
- Problemas de acesso à rede
- Problemas de provisionamento e desprovisionamento.
A Microsoft tem acesso de porta serial física ao dispositivo por meio de uma função de monitoramento (ou seja, uma função não administrativa) que permite a telemetria de integridade básica. Isso permitirá que a Microsoft forneça notificação proativa de problemas para o cliente, a menos que o cliente escolha restringir essa permissão.
Provisionamento e encerramento
Depois que um cliente tiver um registro aprovado para o serviço HSM Dedicado, poderá criar recursos HSM (no momento por meio do PowerShell ou interface de linha de comando e não o portal do Azure). O recurso passa por um processo de alocação que mapeia um dispositivo físico em uma região especificada para uma rede virtual (VNet) predefinida do cliente. Depois que é visível em uma VNet, o cliente pode acessar o dispositivo e configurá-lo ainda mais, de acordo com requisitos. Os clientes acessam seus HSMs dedicados usando o software e ferramentas do cliente Thales. O processo de criação de recursos tem suporte pela Microsoft. Processo de configuração personalizada e posteriores têm suporte pelo Thales. (consulte suporte do Thales acima). Quando um cliente tiver terminado de usar um HSM, ele deve ser redefinido (ou zerado) para garantir nenhuma persistência de dados. O processo de redefinição do dispositivo remove todos os dados e configuração personalizada. A Microsoft desaloca o dispositivo e retorna-o para o pool em um estado puro. Isso significa que, quando o dispositivo for devolvido ao pool, não haverá nenhuma evidência de atividades anteriores do cliente.
Problemas de hardware
O dispositivo HSM tem fontes de alimentação redundantes e substituíveis e unidades de ventilador. No entanto, a remoção da unidade do ventilador ainda causará um evento de violação. Quando ocorrer uma falha de componente, a Microsoft usará o processo mais apropriado para resolver o problema de nível de componente de forma que faça com o mínimo de interrupção e menor risco a disponibilidade do serviço de nossos clientes. Qualquer falha mais grave do dispositivo fará com que o dispositivo seja substituído por um novo dispositivo do pool livre. O cliente simplesmente inclui o novo dispositivo no par HA existente para sincronizar e retornar para o estado operacional completo. O dispositivo com falha terá seus dados que contêm dispositivos removidos e destruídos no site no data center.
Problemas de rede
Se os clientes enfrentarem problemas de acesso de rede para o dispositivo HSM, ele deverá contatar o suporte da Microsoft. Um teste simples para acesso de rede é usar o SSH para se conectar ao dispositivo HSM. Se isso falhar, entre em contato com o suporte da Microsoft.
Expectativas de nível de serviço para o suporte
Para os níveis de serviço de suporte da Microsoft, consulte o plano de suporte do Azure. Para obter os níveis de serviço de suporte do Thales, consulte o Essentials de suporte do Thales.
Próximas etapas
Recomenda-se que todos os principais conceitos, como alta disponibilidade e segurança, sejam bem compreendidos antes do provisionamento do dispositivo e do design ou implantação do aplicativo.