Suporte do HSM Dedicado do Azure
O Serviço HSM Dedicado do Azure fornece um dispositivo físico para utilização exclusiva do cliente com controlo administrativo completo e responsabilidade de gestão. O dispositivo disponibilizado é um modelo A790 do Thales Luna 7 HSM. A Microsoft não terá acesso administrativo uma vez aprovisionado por um cliente, para além do anexo de porta de série física como função de monitorização. Sem acesso, a Microsoft não pode ter responsabilidades contínuas de manutenção ao nível do software ou de administração do sistema. Como resultado, os clientes são responsáveis por atividades operacionais típicas. Os clientes são totalmente responsáveis pelas aplicações que utilizam os HSMs e devem trabalhar com a Thales para obter suporte ou assistência baseada em consultoria. Devido à extensão da propriedade do cliente da higiene operacional, não é possível que a Microsoft ofereça qualquer tipo de garantia de elevada disponibilidade para este serviço. É da responsabilidade do cliente garantir que as aplicações estão corretamente configuradas para alcançar elevada disponibilidade. A Microsoft irá monitorizar e manter o estado de funcionamento do dispositivo e a conectividade de rede.
Obter suporte
O suporte ao cliente para o HSM Dedicado é um esforço conjunto entre a Microsoft e a Thales. Quaisquer problemas de hardware ou de caminho de rede serão resolvidos pela Microsoft e tudo o que tiver a ver com o HSM real, como configuração, software, firmware e desenvolvimento de aplicações, será resolvido pela Thales. Este modelo de suporte garante a rota mais rápida para o suporte mais eficaz. Em caso de dúvida relativamente a um problema específico, crie um pedido de suporte junto da Microsoft e iremos garantir que é direcionado adequadamente. A Microsoft permanecerá envolvida em todos os cenários de suporte e esforçar-se-á pela melhor experiência de suporte para os nossos clientes.
Suporte da Thales
Os clientes que utilizam o serviço HSM dedicado qualificam-se para o suporte da Thales de acordo com o Plano de Suporte Plus. Isto apenas requer um processo de registo com o portal de suporte da Thales. Será fornecido um ID de Cliente e instruções para tal como parte do compromisso inicial com a Microsoft para obter acesso ao serviço HSM dedicado. O mecanismo para obter suporte da Thales é através do portal de suporte ao cliente. Um ponto importante a ter em atenção é que a Thales fornecerá todo o software e documentação necessários para utilizar o HSM (por exemplo, software de acesso de cliente e SDKs) através da transferência no portal de suporte ao cliente.
Componentes de software
São utilizados vários componentes de software na configuração de dispositivos HSM:
- Software de cliente
- SDK
- Ferramentas
Orientação
A Thales disponibiliza orientações de administração e configuração através do portal de suporte ao cliente da Thales. Depois de iniciar sessão com um ID de cliente válido, estes documentos estão disponíveis para transferência. A Thales também fornece uma série de guias de integração para ajudar os clientes com diferentes cenários e integrações de software. Para obter mais informações, consulte o site de parceiros da Thales para a Microsoft.
Suporte
Qualquer problema ou pergunta ao nível do software relacionado com a utilização dos HSMs como parte do serviço HSM dedicado deve ser resolvido diretamente para o suporte da Thales. Todos os componentes de software listados acima e qualquer configuração de HSM personalizada que seja pós-aprovisionamento serão abordados pela Thales. Para obter mais informações, veja o portal de suporte ao cliente da Thales.
Serviços de consultadoria
Para obter assistência na conceção, desenvolvimento e implementação de aplicações personalizadas que utilizam o HSM, contacte o representante da conta da Thales.
Suporte da Microsoft
A Microsoft garantirá que os dispositivos HSM físicos estão acessíveis à rede e num estado operacional para utilização exclusiva de um único cliente. Os clientes são responsáveis pela configuração, administração e gestão do dispositivo. As responsabilidades da Microsoft incluem:
- Certificar-se de que o dispositivo tem energia e arrefecimento
- Manter um estado operacional do HSM (por exemplo, cenários de quebra/correção)
- O dispositivo está acessível através da rede.
Os problemas como o seguinte devem ser comunicados à Microsoft:
- Falhas de componentes
- Falha completa do dispositivo
- Problemas de acesso à rede
- Problemas de aprovisionamento e desaprovisionamento.
A Microsoft tem acesso de porta de série física ao dispositivo através de uma função de monitorização (que é uma função não administrativa) que permite telemetria básica do estado de funcionamento. Isto permitirá que a Microsoft forneça notificações proativas de problemas ao cliente, a menos que o cliente opte por restringir esta permissão.
Aprovisionamento e desativação
Depois de um cliente ter um registo aprovado para o serviço HSM dedicado, poderá criar recursos do HSM (atualmente através do PowerShell ou da interface de linha de comandos e não da portal do Azure). O recurso passa por um processo de alocação que mapeia um dispositivo físico numa região especificada para a rede virtual (VNet) predefinida de um cliente. Depois de visível numa VNet, o cliente pode aceder ao dispositivo e configurá-lo ainda mais de acordo com os requisitos. Os clientes acedem aos seus HSMs dedicados através de software e ferramentas de cliente da Thales. O processo de criação de recursos é suportado pela Microsoft. O processo de configuração personalizado e não só são suportados pela Thales. (consulte o suporte da Thales acima). Quando um cliente terminar de utilizar um HSM, este tem de ser reposto (ou zero) para garantir que não existe persistência de dados. O processo de reposição do dispositivo remove toda a configuração e dados personalizados. A Microsoft desaloca o dispositivo e devolve-o ao conjunto num estado imaculado. Isto significa que, quando o dispositivo é devolvido ao conjunto, não existem provas de atividade anterior do cliente.
Problemas de hardware
O dispositivo HSM tem fontes de alimentação redundantes e substituíveis e unidades de ventoinha. No entanto, a remoção da unidade de ventoinha continuará a causar um evento de adulteração. Quando ocorre uma falha de componente, a Microsoft utilizará o processo mais adequado para resolver o problema ao nível do componente de uma forma que cause uma interrupção mínima e um menor risco para a disponibilidade do serviço dos nossos clientes. Qualquer falha mais grave do dispositivo resultará na substituição desse dispositivo por um novo dispositivo a partir do conjunto gratuito. O cliente simplesmente inclui o novo dispositivo no par HA existente para que este se sincronize e regresse ao estado operacional completo. O dispositivo com falha terá os respetivos dispositivos com dados removidos e triturados no local no datacenter.
Problemas de rede
Se os clientes tiverem problemas de acesso à rede no dispositivo HSM, devem contactar o suporte da Microsoft. Um teste simples para o acesso à rede é utilizar o SSH para ligar ao dispositivo HSM. Se isto falhar, contacte o suporte da Microsoft.
Expectativas de nível de serviço para suporte
Para obter os níveis de serviço de suporte da Microsoft, veja o plano de suporte do Azure. Para obter os níveis de serviço de suporte da Thales, veja o Suporte Essentials da Thales.
Passos seguintes
Recomenda-se que os principais conceitos, como elevada disponibilidade e segurança, sejam bem compreendidos antes do aprovisionamento de dispositivos e da conceção ou implementação de aplicações.