Compartilhar via


Cenários de implantação

A Microsoft implanta HSMs (módulos de segurança de hardware) de pagamento em carimbos em uma região e em várias regiões para habilitar a HA (alta disponibilidade) e a recuperação de desastre. Em uma região, os HSMs são implantados em carimbos diferentes para evitar falhas de rack único. Os clientes devem provisionar dois dispositivos em uma região de dois carimbos separados para obter alta disponibilidade. Para recuperação de desastre, o cliente precisa provisionar dispositivos HSM em uma região alternativa.

A Thales não fornece o SDK do PayShield aos clientes, que dá suporte à HA em um cluster (uma coleção de HSMs inicializados com o mesmo LMK). No entanto, o cenário de uso dos clientes dos dispositivos PayShield da Thales é como um servidor sem estado. Portanto, não é necessário fazer a sincronização entre os HSMs durante o tempo de execução do aplicativo. Os clientes podem usar a HA com um cliente personalizado. Uma implementação balancearia a carga entre os HSMs íntegros conectados ao aplicativo. Os clientes são responsáveis por implementar a alta disponibilidade provisionando vários dispositivos, balanceando a carga e usando qualquer tipo de mecanismo de backup disponível para fazer backup de chaves.

Importante

  • Verifique se o arquiteto de soluções do Microsoft Cloud revisou o design e a preparação da arquitetura de implantação do HSM de pagamento antes do lançamento da produção.
  • Examine as topologias e restrições com suporte listadas no design da solução.
  • Não há suporte para Grupos de Segurança de Rede e Rotas Definidas pelo Usuário para sub-redes HSM de pagamento.
  • O emparelhamento de rede virtual não dá suporte à comunicação entre regiões com instâncias de HSM de pagamento. Uma VM em uma região não pode se comunicar com uma instância de HSM de pagamento em outra região, sem o uso do ExpressRoute ou de um gateway de VPN.
  • Os clientes podem alocar no máximo dois HSMs de pagamento de cada selo em uma região na mesma assinatura.
  • Se o cliente não tiver uma configuração de Alta Disponibilidade em seu ambiente de produção, o cliente não poderá receber suporte S2 do lado da Microsoft.

Implantação de alta disponibilidade

Diagrama de arquitetura para implantação de alta disponibilidade.

Para alta disponibilidade, o cliente precisa alocar HSMs entre o carimbo 1 e o carimbo 2 (em outras palavras, não há dois HSMs do mesmo carimbo)

Implantação de recuperação de desastre

Diagrama de arquitetura para implantação de recuperação de desastre.

Esse cenário atende a falhas no nível regional. A estratégia comum é alternar completamente a pilha de aplicativos (e seus HSMs), em vez de tentar alcançar um HSM na Região 2 do aplicativo na Região 1 devido à latência.

Próximas etapas