Suporte do HSM Dedicado do Azure
O Serviço HSM Dedicado do Azure fornece um dispositivo físico para uso exclusivo do cliente com total controle administrativo e responsabilidade de gerenciamento. O dispositivo disponibilizado é um Thales Luna 7 HSM modelo A790. A Microsoft não terá acesso administrativo uma vez provisionado por um cliente, além do anexo de porta serial física como uma função de monitoramento. Sem acesso, a Microsoft não pode ter responsabilidades contínuas de manutenção de nível de software ou administração do sistema. Como resultado, os clientes são responsáveis pelas atividades operacionais típicas. Os clientes são totalmente responsáveis pelas aplicações que utilizam os HSMs e devem trabalhar com a Thales para suporte ou assistência baseada em consultoria. Devido à extensão da propriedade do cliente sobre higiene operacional, não é possível para a Microsoft oferecer qualquer tipo de garantia de alta disponibilidade para este serviço. É responsabilidade do cliente garantir que seus aplicativos estejam configurados corretamente para alcançar alta disponibilidade. A Microsoft monitorará e manterá a integridade do dispositivo e a conectividade de rede.
Obter suporte
O suporte ao cliente para HSM dedicado é um esforço conjunto entre a Microsoft e a Thales. Quaisquer problemas de hardware ou de caminho de rede serão resolvidos pela Microsoft, e qualquer coisa relacionada com o HSM real, como configuração, software, firmware e desenvolvimento de aplicativos, será resolvida pela Thales. Este modelo de suporte garante o caminho mais rápido para o suporte mais eficaz. Em caso de dúvida com um problema específico, faça uma solicitação de suporte com a Microsoft e garantiremos que você seja direcionado adequadamente. A Microsoft permanecerá envolvida em todos os cenários de suporte e se esforçará para obter a melhor experiência de suporte para nossos clientes.
Suporte Thales
Os clientes que utilizam o serviço HSM Dedicado qualificam-se para o suporte da Thales de acordo com o seu Plano de Suporte Plus. Isso requer apenas um processo de registro usando o portal de suporte da Thales. Uma ID do Cliente e instruções serão fornecidas para isso como parte do compromisso inicial com a Microsoft para obter acesso ao serviço HSM Dedicado. O mecanismo para obter apoio da Thales é através do seu portal de apoio ao cliente. Um ponto importante de observação é que a Thales fornecerá todo o software e documentação necessários para usar o HSM (por exemplo, software de acesso para cliente e SDKs) via download no portal de suporte ao cliente.
Componentes de software
Vários componentes de software são usados na configuração de dispositivos HSM:
- Software cliente
- SDK
- Ferramentas
Orientação
A Thales disponibiliza orientações de administração e configuração através do portal de apoio ao cliente da Thales. Uma vez iniciado sessão utilizando um ID de cliente válido, estes documentos ficam disponíveis para download. A Thales também fornece uma série de guias de integração para ajudar os clientes com diferentes cenários e integrações de software. Para obter mais informações, consulte o site de parceiros da Thales para a Microsoft.
Suporte
Qualquer problema de nível de software ou questão relacionada ao uso dos HSMs como parte do serviço HSM dedicado deve ser endereçada diretamente ao suporte da Thales. Todos os componentes de software listados acima e qualquer configuração personalizada de HSM pós-provisionamento serão abordados pela Thales. Para mais informações, consulte o portal de apoio ao cliente da Thales.
Serviços de consultadoria
Para qualquer assistência na conceção, desenvolvimento e implementação de aplicações personalizadas que utilizam o HSM, contacte o seu representante de conta Thales.
Suporte da Microsoft
A Microsoft garantirá que os dispositivos HSM físicos estejam acessíveis à rede e em um estado operacional para uso exclusivo de um único cliente. Os clientes são responsáveis pela configuração, administração e gestão do dispositivo. As responsabilidades da Microsoft incluem:
- Certificar-se de que o dispositivo tem energia e arrefecimento
- Manutenção de um estado operacional do HSM (por exemplo, cenários de quebra/correção)
- O dispositivo é acessível através da rede.
Problemas como os seguintes devem ser relatados à Microsoft:
- Falhas de componentes
- Falha total do dispositivo
- Problemas de acesso à rede
- Problemas de provisionamento e desprovisionamento.
A Microsoft tem acesso físico à porta serial do dispositivo por meio de uma função de monitoramento (que é uma função não administrativa) que habilita a telemetria de integridade básica. Isso permitirá que a Microsoft forneça notificação proativa de problemas ao cliente, a menos que o cliente opte por restringir essa permissão.
Aprovisionamento e desmantelamento
Depois que um cliente tiver um registro aprovado para o serviço HSM dedicado, ele poderá criar recursos do HSM (atualmente por meio do PowerShell ou da interface de linha de comando e não do portal do Azure). O recurso passa por um processo de alocação que mapeia um dispositivo físico em uma região especificada para a rede virtual predefinida (VNet) de um cliente. Uma vez visível em uma rede virtual, o cliente pode acessar o dispositivo e configurá-lo ainda mais conforme os requisitos. Os clientes acessam seus HSMs dedicados usando o software e as ferramentas do cliente Thales. O processo de criação de recursos é suportado pela Microsoft. O processo de configuração personalizado e muito mais são suportados pela Thales. (ver suporte da Thales acima). Quando um cliente terminar de usar um HSM, ele deve ser redefinido (ou zerado) para garantir que não haja persistência de dados. O processo de redefinição do dispositivo remove todas as configurações e dados personalizados. A Microsoft deslocaliza o dispositivo e o retorna ao pool em um estado puro. Isso significa que, quando o dispositivo é retornado ao pool, não há evidências de atividade anterior do cliente.
Problemas de hardware
O dispositivo HSM tem fontes de alimentação redundantes e substituíveis e unidades de ventilador. No entanto, a remoção da unidade de ventilador ainda causará um evento de violação. Quando ocorrer uma falha de componente, a Microsoft usará o processo mais apropriado para resolver o problema de nível de componente de uma forma que cause interrupção mínima e menor risco para a disponibilidade do serviço de nossos clientes. Qualquer falha mais grave do dispositivo resultará na substituição desse dispositivo por um novo dispositivo do pool gratuito. O cliente simplesmente inclui o novo dispositivo no par HA existente para que ele sincronize e retorne ao estado operacional completo. O dispositivo com falha terá seus dispositivos de rolamento de dados removidos e triturados no local no data center.
Problemas de rede
Se os clientes tiverem problemas de acesso à rede para o dispositivo HSM, eles devem entrar em contato com o suporte da Microsoft. Um teste simples para acesso à rede é usar SSH para se conectar ao dispositivo HSM. Se isso falhar, entre em contato com o suporte da Microsoft.
Expectativas de nível de serviço para suporte
Para obter os níveis de serviço de suporte da Microsoft, consulte o plano de suporte do Azure. Para obter os níveis de serviço de suporte da Thales, consulte o Thales Support Essentials.
Próximos passos
Recomenda-se que conceitos-chave, como alta disponibilidade e segurança, sejam bem compreendidos antes do provisionamento de dispositivos e do design ou implantação de aplicativos.