Azure 專用 HSM 支援能力

  • 發行項

Azure 專用 HSM 服務提供實體裝置以供單獨客戶使用,其具有完整的系統管理控制權和管理責任。 提供的裝置為 Thales Luna 7 HSM 型號 A790。 除了做為監控之用的實體序列連接埠附加設備以外,Microsoft 在客戶佈建後即無管理存取權。 如果沒有存取權,Microsoft 無法持續進行軟體層級維護或系統管理責任。 因此,客戶需負責一般作業活動。 客戶完全負責使用 HSM 的應用程式,並且應該與 Thales 合作,以提供支援或諮詢協助。 有鑑於客戶對作業檢查的擁有權程度,Microsoft 無法對此服務提供任何形式的高可用性保證。 客戶有責任確保正確設定其應用程式,以實現高可用性。 Microsoft 會監視並維護裝置的健康情況和網路連線能力。

取得支援

專用 HSM 的客戶支援是 Microsoft 與 Thales 的共同努力。 任何硬體問題或網路路徑問題都將由 Microsoft 解決,而與使用實際 HSM 有關的任何動作 (例如設定、軟體、韌體和應用程式開發) 都將由 Thales 解決。 此支援模型可確保最快速的有效支援路由。 如果不確定特定問題,則請向 Microsoft 提出支援要求,我們將確保您收到適當的指導。 Microsoft 將持續參與所有支援案例,並致力於為客戶提供最佳的支援體驗。

Thales 支援

使用專用 HSM 服務的客戶會根據其 Plus 支援方案來符合 Thales 的支援資格。 這只需要使用 Thales 支援入口網站進行註冊程序。 在與 Microsoft 的初始參與期間將會提供客戶識別碼和指示,以存取專用 HSM 服務。 從 Thales 獲得支援的機制是透過其客戶支援入口網站。 請注意,Thales 將會透過客戶支援入口網站上的下載來提供使用 HSM 所需的所有軟體和文件 (例如,用戶端存取軟體和 SDK)。

軟體元件

在 HSM 裝置的組態中,使用各種軟體元件:

  • 用戶端軟體
  • SDK
  • 工具

指引

Thales 透過 Thales 客戶支援入口網站提供管理和設定指導。 使用有效的客戶 ID 登入後,即可下載這些文件。 Thales 也提供一系列的整合指南,以協助客戶進行不同的案例和軟體整合。 如需詳細資訊,請參閱 Microsoft 的 Thales 合作夥伴網站

支援

使用 HSM 作為專用 HSM 服務一部分的任何相關軟體層級問題,都應該直接由 Thales 支援處理。 以上列出的所有軟體元件,以及任何佈建後續的自訂 HSM 設定,將由 Thales 處理。 如需詳細資訊,請參閱 Thales 客戶支援入口網站

諮詢服務

如需設計、開發和部署使用 HSM 之自訂應用程式的任何協助,請連絡 Thales 客戶代表。

Microsoft 支援服務

Microsoft 將確保實體 HSM 裝置可透過網路進行存取,並處於正常運作狀態,以供單一客戶專用。 客戶負責裝置的設定和管理。 Microsoft 職責包括:

  • 確定裝置有電源和散熱功能
  • 維護 HSM 的運作狀態 (例如,中斷/修復方案)
  • 此裝置可透過網路存取。

應該向 Microsoft 呈報下列問題:

  • 元件故障
  • 裝置完全故障
  • 網路存取問題
  • 佈建和解除佈建的問題。

Microsoft 透過監控角色 (即非管理角色) 對裝置進行實體序列連接埠存取,以啟用基本健康情況遙測。 這可讓 Microsoft 向客戶主動通知問題,除非客戶選擇限制此權限。

佈建和解除委任

在客戶獲得專用 HSM 服務的核准註冊後,便可建立 HSM 資源 (目前透過 PowerShell 或命令行介面,而非 Azure 入口網站)。 資源經過分配程序,該程序會將指定區域中的實體裝置對應到客戶預先定義的虛擬網路 (VNet)。 一旦在 VNet 上顯示,客戶即可存取裝置,並視需求進行進一步的設定。 客戶使用 Thales 用戶端軟體和工具存取其專用的 HSM。 Microsoft 支援資源建立程序。 Thales 支援自訂設定程序和更高項目。 (請參閱上述 Thales 支援)。 當客戶使用 HSM 完成後,必須重設 (或歸零),以確保沒有持續性的資料。 重設裝置的程序將移除所有自訂設定和資料。 Microsoft 會取消分配裝置,並將其以初始狀態傳回到集區。 這表示當裝置傳回集區時,沒有先前客戶活動的辨識項。

硬體問題

HSM 裝置具有備援和可更換的電源供應器和風扇裝置。 不過,風扇單位移除仍然會造成竄改事件。 發生元件故障時,Microsoft 會使用最適合的程序來解決元件層級問題,將中斷的情況和客戶服務可用性的風險降至最低。 任何更嚴重的裝置故障,會導致該裝置取代為可用集區中的新裝置。 客戶只需將新裝置包含在現有 HA 配對中,即可使其同步,並傳回完整的運作狀態。 故障的裝置必須移除其資料承載裝置,並在資料中心現場進行銷毀。

網路問題

如果客戶遇到 HSM 裝置的網路存取問題,應該連絡 Microsoft 支援服務。 網路存取的簡單測試是使用 SSH 連線至 HSM 裝置。 如果失敗,請連絡 Microsoft 支援服務。

服務層級的預期支援

對於 Microsoft 支援服務層級,請參閱 Azure 支援方案。 對於 Thales 支援服務層級,請參閱 Thales 支援基本事項

下一步

建議在裝置佈建、應用程式設計或部署之前,先充分了解重要概念,例如高可用性和安全性。