Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Moduł HSM płatności Azure to usługa Bare Metal dostarczana przy użyciu payShield 10K firmy Thales. Microsoft współpracuje z firmą Thales w celu wdrożenia urządzeń Thales payShield 10K HSM do centrów danych Azure, modyfikując je, aby umożliwić automatyczne przydzielanie i zwalnianie tych urządzeń dla klientów. PayShield na platformie Azure ma te same interfejsy zarządzania i poleceń hosta co lokalny payShield, umożliwiając klientom korzystanie z tych samych kart inteligentnych menedżera payShield, czytników i urządzeń payShield TMD.
Wdrażanie i alokacja
Pracownicy firmy Microsoft wdrażają moduły HSM w centrach danych platformy Azure i przydzielają je klientom za pomocą zautomatyzowanych narzędzi na żądanie. Po przydzieleniu modułu HSM firma Microsoft rezygnuje z dostępu logicznego i nie utrzymuje dostępu do konsoli. Dostęp administracyjny firmy Microsoft jest wyłączony, a klient ponosi pełną odpowiedzialność za konfigurację i konserwację modułu HSM i jego oprogramowania.
Zabezpieczenia i zgodność
Firma Microsoft obsługuje zadania związane z wymaganiami dotyczącymi zabezpieczeń fizycznych modułu HSM w oparciu o wymagania PCI DSS, PCI 3DS, PCI PIN, PCI P2PE. Odebranie przydziału modułów HSM od klientów usuwa wszystkie materiały kryptograficzne z urządzenia jako część mechanizmu, który przywraca administracyjny dostęp firmy Microsoft. Firma Microsoft nie ma możliwości zarządzania bezpieczeństwem kluczy ani wpływania na nie, poza zapewnieniem fizycznego hostingu urządzeń HSM.
Scenariusze zarządzania kluczami oraz scenariusze klientów
Klienci firmy Microsoft korzystający z modułów HSM płatności korzystają z co najmniej 2 kart administracyjnych udostępnianych przez firmę Thales w celu utworzenia lokalnego klucza głównego (LMK) i domeny zabezpieczeń. Wszystkie zarządzanie kluczami odbywa się w tej domenie.
Może wystąpić kilka scenariuszy:
Ładowanie klucza: Klienci mogą otrzymywać wydrukowane składowe klucza od stron trzecich lub z wewnętrznych kopii zapasowych do załadowania do modułu HSM. Zgodność wymaga użycia urządzenia do ładowania kluczy PCI (KLD) ze względu na brak bezpośredniego fizycznego dostępu do modułu HSM przez klientów.
Dystrybucja kluczy: klienci mogą generować klucze w module HSM, ale następnie muszą dystrybuować te klucze do innych firm w postaci kluczowych składników. Rozwiązanie HSM dla płatności — będące oparte na chmurze — nie umożliwia drukowania komponentów kluczowych bezpośrednio z HSM. Jednak klienci mogą używać TMD lub podobnego rozwiązania do eksportowania kluczy i drukowania z bezpiecznej lokalizacji klienta.
Zarządzanie oprogramowaniem układowym HSM
Firma Microsoft przydziela moduły HSM do płatności z domyślnym obrazem podstawowym, który obejmuje zatwierdzone oprogramowanie układowe dla certyfikatu FIPS 140-2 poziom 3 oraz zatwierdzone PCI PTS HSMv3. Firma Microsoft jest odpowiedzialna za stosowanie poprawek zabezpieczeń do nieprzydzielonych modułów HSM. Klienci są odpowiedzialni za ciągłe stosowanie poprawek i konserwację przydzielonego modułu HSM.
Monitorowanie modułu HSM
Firma Microsoft monitoruje kondycję fizyczną modułu HSM i łączność sieciową, która obejmuje zasilanie poszczególnych modułów HSM, temperaturę/wentylator, łączność OOB, naruszenia, stan łącza HOST1/HOST2/MGMT, sieć połączeń w górę i sprzęt.
Klienci są odpowiedzialni za monitorowanie kondycji operacyjnej przydzielonego modułu HSM, w tym dzienników błędów modułu HSM i dzienników inspekcji. Klienci mogą korzystać ze wszystkich rozwiązań do monitorowania payShield.
Zarządzanie urządzeniami modułu HSM, które nie odpowiadają
Jeśli wystąpi sytuacja, w której przydzielony klientowi moduł HSM nie odpowiada, otwórz zgłoszenie pomocy technicznej. Zobacz Przewodnik pomocy technicznej usługi Azure Payment HSM. Przedstawiciel skontaktuje się z Tobą i grupą inżynierów, aby rozwiązać ten problem. Może to wymagać ponownego uruchomienia lub dealokacji/realokacji, żeby rozwiązać problem.
Ponowne uruchomienie
Istnieją dwie metody ponownego uruchamiania:
Miękki rozruch: dział inżynierii może wysłać żądanie Out of Band (OOB) do urządzenia, aby zainicjować ponowne uruchomienie, i może szybko zweryfikować za pośrednictwem dzienników kontroli usług, że zakończył się pomyślnie. Tę opcję można wykonać wkrótce po żądaniu za pośrednictwem działu obsługi klienta. Istnieją pewne okoliczności (problemy z siecią urządzeń, blokada urządzenia), które uniemożliwiłyby modułowi HSM odbieranie tego żądania.
Ponowny rozruch twardy: grupa inżynierów może zażądać fizycznego korzystania z modułu HSM przez personel centrum danych w lokacji, aby go ponownie uruchomić. Ta opcja może zająć więcej czasu w zależności od stopnia wpływu. Zdecydowanie zalecamy klientowi współpracę z działem wsparcia technicznego i grupą inżynierską w celu oceny wpływu i określenia, czy klient powinien utworzyć nowy moduł HSM, aby kontynuować, czy też poczekać na pełne ponowne uruchomienie systemu.
Wpływ danych klienta: w jednej z metod dane klientów powinny nie mieć wpływu na operację ponownego uruchamiania.
Cofanie/przydzielanie zasobów
Istnieją dwie metody zwolnienia/usunięcia modułu HSM:
Usuwanie normalne: W tym procesie klient może zwolnić moduł HSM za pośrednictwem Menadżera PayShield przed usunięciem modułu HSM na platformie Azure. Ten proces sprawdza/gwarantuje, że moduł HSM zostanie zwolniony (i w związku z tym wszystkie treści/tajemnice klienta zostaną usunięte) przed przekazaniem go do firmy Microsoft i proces zostanie zablokowany, jeśli to sprawdzenie się nie powiedzie. Po tym, jak klient odłączy moduł HSM, powinien ponowić żądanie. Zobacz Samouczek: jak usunąć płatność wykorzystującą HSM.
Wymuś usunięcie: Jeśli klient nie może zwolnić modułu HSM przed usunięciem (z powodu braku odpowiedzi urządzenia itp.), grupa inżynieryjna na podstawie udokumentowanego żądania od klienta może ustawić flagę, która pomija sprawdzanie wydania. W takim przypadku, gdy moduł HSM zostanie usunięty, zautomatyzowany system zarządzania wykonuje żądanie OOB "Odzyskiwanie", które wysyła polecenie "Release" w imieniu poprzedniego klienta i czyści całą zawartość klienta (dane, dzienniki itp.).
Wpływ danych klienta: w jednej z metod dane klienta są nieodwracalnie usuwane przez polecenie "Zwolnij urządzenie".
Nieudane moduły HSM
W przypadku rzeczywistej awarii sprzętowej modułu HSM urządzenia przydzielonego klientowi jedynym działaniem jest użycie metody "Force Delete". Umożliwia to usunięcie zasobu platformy Azure połączonego z tym modułem HSM. Po zakończeniu tego procesu personel centrum danych kierowany jest do zatwierdzonego runbooka centrum danych w celu zniszczenia urządzeń nośnych danych (HDD) oraz fizycznego modułu HSM zawartego w uszkodzonym module HSM.
Dalsze kroki
- Dowiedz się więcej o module płatności HSM Azure
- Dowiedz się, jak rozpocząć pracę z modułem HSM płatności platformy Azure
- Dowiedz się, jak utworzyć moduł HSM płatności
- Przeczytaj często zadawane pytania