Cenários de implementação

  • Artigo

A Microsoft implanta módulos de segurança de hardware de pagamento (HSM) em selos dentro de uma região e em várias regiões para permitir alta disponibilidade (HA) e recuperação de desastres. Em uma região, os HSMs são implantados em carimbos diferentes para evitar falhas em rack único, e os clientes devem provisionar dois dispositivos em uma região a partir de dois carimbos separados para obter alta disponibilidade. Para recuperação de desastres, o cliente deve provisionar dispositivos HSM em uma região alternativa.

A Thales não fornece o PayShield SDK aos clientes, que suporta HA em um cluster (uma coleção de HSMs inicializados com o mesmo LMK). No entanto, o cenário de uso dos clientes dos dispositivos Thales PayShield é como um servidor sem estado. Assim, nenhuma sincronização é necessária entre HSMs durante o tempo de execução do aplicativo. Os clientes lidam com o HA usando seu cliente personalizado. Uma implementação seria o balanceamento de carga entre HSMs íntegros conectados ao aplicativo. Os clientes são responsáveis por implementar a alta disponibilidade provisionando vários dispositivos, balanceando-os de carga e usando qualquer tipo de mecanismo de backup disponível para fazer backup de chaves.

Importante

  • Certifique-se de que o Microsoft Cloud Solution Architect tenha revisado o projeto e a preparação da arquitetura de implantação do HSM de pagamento antes do lançamento da produção.
  • Analise as topologias e restrições suportadas listadas no design da solução.
  • Grupos de Segurança de Rede e Rotas Definidas pelo Usuário não são suportados para sub-redes HSM de pagamento.
  • O emparelhamento de rede virtual não oferece suporte à comunicação entre regiões com instâncias HSM de pagamento. Uma VM em uma região não pode se comunicar com uma instância de HSM de pagamento em outra região sem o uso da Rota Expressa ou de um gateway VPN.
  • Os clientes podem alocar um máximo de dois HSMs de pagamento de cada selo em uma região sob a mesma assinatura.
  • Se o cliente não tiver uma configuração de Alta Disponibilidade em seu ambiente de produção, não poderá receber suporte ao S2 do lado da Microsoft.

Implementação de elevada disponibilidade

Diagrama de arquitetura para implantação de alta disponibilidade.

Para Alta Disponibilidade, o cliente deve alocar HSMs entre o selo 1 e o carimbo 2 (em outras palavras, não há dois HSMs do mesmo selo)

Implantação de recuperação de desastres

Diagrama de arquitetura para implantação de recuperação de desastres.

Este cenário responde a um fracasso a nível regional. A estratégia usual é alternar completamente a pilha de aplicativos (e seus HSMs), em vez de tentar alcançar um HSM na Região 2 do aplicativo na Região 1 devido à latência.

Próximos passos