Monitoramento HSM dedicado do Azure
O Serviço HSM Dedicado do Azure fornece um dispositivo físico para uso exclusivo do cliente com total controle administrativo e responsabilidade de gerenciamento. O dispositivo disponibilizado é um Thales Luna 7 HSM modelo A790. A Microsoft não tem acesso administrativo uma vez provisionado por um cliente, além do anexo de porta serial física como uma função de monitoramento. Como resultado, os clientes são responsáveis por atividades operacionais típicas, incluindo monitoramento abrangente e análise de logs.
Os clientes são totalmente responsáveis pelas aplicações que utilizam os HSMs e devem trabalhar com a Thales para suporte ou assistência de consultoria. Devido à extensão da propriedade do cliente sobre higiene operacional, não é possível para a Microsoft oferecer qualquer tipo de garantia de alta disponibilidade para este serviço. É da responsabilidade do cliente garantir que as suas aplicações estão corretamente configuradas para alcançar alta disponibilidade. A Microsoft monitora e mantém a integridade do dispositivo e a conectividade de rede.
Monitoramento da Microsoft
O dispositivo Thales Luna 7 HSM em uso tem por padrão SNMP e porta serial como opções para monitorar o dispositivo. A Microsoft usou a conexão de porta serial como um meio físico para se conectar ao dispositivo para recuperar telemetria básica sobre a integridade do dispositivo, incluindo temperatura e status do componente (como fontes de alimentação e ventiladores).
Para fazer isso, a Microsoft usa uma função de "monitor" não administrativa configurada no dispositivo Thales. Essa função dá a capacidade de recuperar a telemetria, mas não dá acesso ao dispositivo em termos de tarefa administrativa ou de qualquer forma visualizando informações criptográficas. Nossos clientes podem ter certeza de que seu dispositivo é realmente seu para gerenciar, administrar e usar para armazenamento de chaves criptográficas confidenciais. Caso algum cliente não esteja satisfeito com esse acesso mínimo para monitoramento básico de integridade, ele tem a opção de desativar a conta de monitoramento. A consequência óbvia disso é que a Microsoft não terá informações e, portanto, nenhuma capacidade de fornecer qualquer notificação proativa de problemas de integridade do dispositivo. Nesta situação, o cliente é responsável pela saúde do dispositivo.
A função de monitor em si é configurada para sondar o dispositivo a cada 10 minutos para obter dados de saúde. Devido à natureza propensa a erros das comunicações seriais, somente após vários indicadores de saúde negativos durante um período de uma hora um alerta seria gerado. Esse alerta acabaria levando a uma comunicação proativa com o cliente notificando o problema.
Dependendo da natureza da questão, serão tomadas as medidas adequadas para reduzir o impacto e assegurar uma reparação de baixo risco. Por exemplo, uma falha na fonte de alimentação é um procedimento hot-swap sem nenhum evento de violação resultante, portanto, pode ser executado com baixo impacto e risco mínimo para a operação. Outros procedimentos podem exigir que um dispositivo seja zerado e desprovisionado para minimizar qualquer risco de segurança para o cliente. Nessa situação, um cliente provisionaria um dispositivo alternativo, reingressaria em um emparelhamento de alta disponibilidade, acionando assim a sincronização do dispositivo. A operação normal seria retomada em tempo mínimo, com interrupção mínima e menor risco de segurança.
Monitorização de clientes
Uma proposta de valor do serviço HSM dedicado é o controle que o cliente obtém do dispositivo, especialmente considerando que é um dispositivo entregue em nuvem. Uma consequência deste controlo é a responsabilidade de monitorizar e gerir o estado de funcionamento do dispositivo. O dispositivo Thales Luna 7 HSM vem com orientação para implementação de SNMP e Syslog. Recomenda-se que os clientes do serviço HSM dedicado usem isso mesmo quando a conta do monitor da Microsoft permanece ativa e devem considerá-la obrigatória se desabilitarem a conta do monitor da Microsoft. Qualquer uma das técnicas disponíveis permitiria que um cliente identificasse problemas e ligasse para o suporte da Microsoft para iniciar o trabalho de correção apropriado.
Próximos passos
Recomenda-se que todos os conceitos-chave do serviço, como alta disponibilidade e segurança, por exemplo, sejam bem compreendidos antes de qualquer provisionamento de dispositivo e design ou implantação de aplicativos. Outros tópicos de nível de conceito: