Azure Dedicated HSM-support
Azure Dedicated HSM Service tillhandahåller en fysisk enhet för enbart kundanvändning med fullständigt administrativt kontroll- och hanteringsansvar. Enheten som görs tillgänglig är en Thales Luna 7 HSM-modell A790. Microsoft har ingen administrativ åtkomst när den har etablerats av en kund, utöver den fysiska serieportsbilagan som en övervakningsroll. Utan åtkomst kan Microsoft inte ha något pågående underhålls- eller systemadministrationsansvar på programvarunivå. Därför ansvarar kunderna för typiska operativa aktiviteter. Kunderna ansvarar fullt ut för program som använder HSM:erna och bör samarbeta med Thales för support eller konsultbaserad hjälp. På grund av kundens ägarskap för drifthygien är det inte möjligt för Microsoft att erbjuda någon form av hög tillgänglighetsgaranti för den här tjänsten. Det är kundens ansvar att se till att deras program är korrekt konfigurerade för att uppnå hög tillgänglighet. Microsoft övervakar och underhåller enhetens hälsa och nätverksanslutning.
Få support
Kundsupport för Dedikerad HSM är en gemensam insats mellan Microsoft och Thales. Eventuella maskinvaruproblem eller problem med nätverksvägar kommer att åtgärdas av Microsoft, och allt som har att göra med den faktiska HSM:n, till exempel konfiguration, programvara, inbyggd programvara och programutveckling, kommer att hanteras av Thales. Den här supportmodellen säkerställer den snabbaste vägen till det mest effektiva stödet. Om du är osäker på ett visst problem kan du skicka en supportbegäran till Microsoft så ser vi till att du dirigeras på rätt sätt. Microsoft kommer att fortsätta att engagera sig i alla supportscenarier och sträva efter den bästa supportupplevelsen för våra kunder.
Stöd för Thales
Kunder som använder den dedikerade HSM-tjänsten kvalificerar sig för support från Thales enligt deras Plus-supportplan. Detta kräver bara en registreringsprocess med thales-supportportalen. Ett kund-ID och instruktioner kommer att tillhandahållas för detta som en del av det första åtagandet med Microsoft för att få åtkomst till den dedikerade HSM-tjänsten. Mekanismen för att få support från Thales är via deras kundsupportportal. En viktig punkt är att Thales tillhandahåller all programvara och dokumentation som krävs för att använda HSM (till exempel klientåtkomstprogramvara och SDK:er) via nedladdning på kundsupportportalen.
Programvarukomponenter
Olika programvarukomponenter används i konfigurationen av HSM-enheter:
- Klientprogramvara
- SDK
- Verktyg
Vägledning
Thales ger tillgänglig administrations- och konfigurationsvägledning via Thales kundsupportportal. När du har loggat in med ett giltigt kund-ID är dessa dokument tillgängliga för nedladdning. Thales innehåller också en serie integrationsguider som hjälper kunder med olika scenarier och programvaruintegreringar. Mer information finns på Thales partnerwebbplats för Microsoft.
Support
Eventuella problem eller frågor på programvarunivå i samband med användning av HSM som en del av den dedikerade HSM-tjänsten bör adresseras direkt till Thales-supporten. Alla programvarukomponenter som anges ovan och alla anpassade HSM-konfigurationer som är efter etableringen kommer att hanteras av Thales. Mer information finns i Thales kundsupportportal.
Konsulttjänster
Om du behöver hjälp med design, utveckling och distribution av anpassade program som använder HSM kontaktar du din Representant för Thales-kontot.
Microsoft Support
Microsoft ser till att fysiska HSM-enheter är nätverkstillgängliga och i drifttillstånd för exklusiv användning av en enda kund. Kunderna ansvarar för konfiguration, administration och hantering av enheten. Microsofts ansvarsområden omfattar:
- Kontrollera att enheten har ström och kylning
- Upprätthålla ett driftstillstånd för HSM (till exempel bryt-/korrigeringsscenarier)
- Enheten är tillgänglig via nätverket.
Problem som följande bör rapporteras till Microsoft:
- Komponentfel
- Fullständigt enhetsfel
- Problem med nätverksåtkomst
- Problem med etablering och avetablering.
Microsoft har fysisk seriell portåtkomst till enheten via en övervakningsroll (som är en icke-administrativ roll) som möjliggör grundläggande hälsotelemetri. Detta gör att Microsoft kan tillhandahålla proaktiva meddelanden om problem till kunden om inte kunden väljer att begränsa den här behörigheten.
Etablering och inaktivering
När en kund har en godkänd registrering för den dedikerade HSM-tjänsten kan de skapa HSM-resurser (för närvarande via PowerShell eller kommandoradsgränssnittet och inte Azure-portalen). Resursen genomgår en allokeringsprocess som mappar en fysisk enhet i en angiven region till kundens fördefinierade virtuella nätverk (VNet). När det visas på ett virtuellt nätverk kan kunden komma åt enheten och konfigurera den ytterligare enligt kraven. Kunder får åtkomst till sina dedikerade HSM:er med thales-klientprogramvara och -verktyg. Processen för att skapa resurser stöds av Microsoft. Anpassad konfigurationsprocess och senare stöds av Thales. (se Thales-stöd ovan). När en kund har slutfört användningen av en HSM måste den återställas (eller nollställas) för att säkerställa att data inte beständighet. Processen för att återställa enheten tar bort all anpassad konfiguration och alla data. Microsoft frigör enheten och returnerar den till poolen i ett orört tillstånd. Det innebär att när enheten returneras till poolen finns det inga bevis för tidigare kundaktivitet.
Problem med maskinvara
HSM-enheten har redundanta och utbytbara nätaggregat och fläktenheter. Om fläktenheten tas bort orsakas dock fortfarande en manipuleringshändelse. När ett komponentfel inträffar använder Microsoft den lämpligaste processen för att åtgärda komponentnivåproblemet på ett sätt som orsakar minimalt avbrott och lägsta risk för våra kunders tjänsttillgänglighet. Ett allvarligare fel på enheten leder till att enheten ersätts av en ny enhet från den kostnadsfria poolen. Kunden inkluderar helt enkelt den nya enheten i det befintliga HA-paret så att den kan synkroniseras och återgå till fullständigt driftstillstånd. Den misslyckade enheten kommer att få sina datalagerenheter borttagna och strimlade på plats i datacentret.
Nätverksproblem
Om kunderna får problem med nätverksåtkomst till HSM-enheten bör de kontakta Microsofts support. Ett enkelt test för nätverksåtkomst är att använda SSH för att ansluta till HSM-enheten. Om detta misslyckas kontaktar du Microsofts support.
Förväntningar på servicenivå för support
Information om microsofts supporttjänstnivåer finns i Azure-supportplanen. Information om Thales supporttjänstnivåer finns i Thales Support Essentials.
Nästa steg
Vi rekommenderar att viktiga begrepp som hög tillgänglighet och säkerhet förstås väl före enhetsetablering och programdesign eller distribution.