Condividi tramite

Configurare gli avvisi del modulo di protezione hardware gestito

  • Articolo

Dopo aver iniziato a usare il modulo di protezione hardware gestito di Azure per archiviare le chiavi di produzione, è importante monitorare l'integrità del modulo di protezione hardware per assicurarsi che il servizio funzioni come previsto.

Quando si inizia a ridimensionare il servizio, aumenta il numero di richieste inviate al modulo di protezione hardware. Questo aumento può aumentare la latenza delle richieste. In casi estremi, può causare la limitazione delle richieste e influire sulle prestazioni del servizio. È anche necessario sapere se il modulo di protezione hardware invia un numero insolito di codici di errore, in modo da poter gestire rapidamente eventuali problemi con un criterio di accesso o una configurazione del firewall.

Questo articolo illustra come configurare gli avvisi a soglie specificate in modo da poter avvisare il team di intervenire immediatamente se il modulo di protezione hardware si trova in uno stato non integro. È possibile configurare avvisi che inviano un messaggio di posta elettronica (preferibilmente a una lista di distribuzione del team), attivano una notifica di Griglia di eventi di Azure oppure chiamano o inviano un SMS a un numero di telefono.

Tipi di avviso

È possibile scegliere tra questi tipi di avviso:

  • Avviso statico basato su un valore fisso
  • Avviso dinamico che informa se una metrica monitorata supera il limite medio del modulo di protezione hardware un determinato numero di volte entro un intervallo di tempo definito

Importante

Possono essere necessari fino a 10 minuti prima che gli avvisi appena configurati inizino a inviare notifiche.

Questo articolo è incentrato sugli avvisi per il modulo di protezione hardware gestito.

Configurare un gruppo di azioni

Un gruppo di azioni è un elenco configurabile di notifiche e proprietà. Il primo passaggio per la configurazione degli avvisi consiste nel creare un gruppo di azioni e scegliere un tipo di avviso:

  1. Selezionare la risorsa modulo di protezione hardware nella portale di Azure e quindi selezionare Avvisi in Monitoraggio.

    Screenshot della selezione di Avvisi in Monitoraggio nel portale di Azure.

  2. Selezionare Crea.

    Screenshot che mostra la creazione di un nuovo avviso.

  3. Selezionare Gruppo di azioni.

    Screenshot che mostra la selezione del gruppo di azioni.

  4. Immettere Dettagli progetto e istanza e quindi selezionare Avanti.

    Screenshot che mostra la voce dei dettagli di Progetto e Istanza.

  5. Scegliere tipo di notifica per il gruppo di azioni. In questo esempio viene creato un messaggio di posta elettronica e un avviso SMS. Selezionare Messaggio di posta elettronica/SMS/Push/Voce.

    Screenshot che mostra la selezione di Messaggio di posta elettronica/SMS/Push/Voice come tipo di notifica.

  6. Nella finestra di dialogo immettere i dettagli di posta elettronica e SMS e quindi selezionare OK.

    Screenshot che mostra la voce dei dettagli di posta elettronica e SMS.

  7. Immettere un nome per l'ora di notifica e selezionare Avanti.

    Screenshot che mostra la voce di un nome per la notifica.

  8. Selezionare un tipo di azione per il gruppo di azioni. In questo esempio viene creata un'azione di Hub eventi. Selezionare Hub eventi.

    Screenshot che mostra la selezione di Hub eventi come tipo di azione.

  9. Immettere lo spazio dei nomi e il nome dell'hub eventi e selezionare OK.

    Screenshot che mostra la voce dello spazio dei nomi e del nome dell'hub eventi.

  10. Immettere un nome per l'azione.

    Screenshot che mostra la voce di un nome per l'azione.

  11. Selezionare Rivedi e crea e quindi Crea.

Configurare le soglie di avviso

Creare quindi una regola e configurare le soglie che attivano un avviso:

  1. Selezionare la risorsa modulo di protezione hardware nella portale di Azure e quindi selezionare Avvisi in Monitoraggio.

    Screenshot che mostra la selezione di avvisi in Monitoraggio nel portale di Azure.

  2. Selezionare Regola di avviso in Crea.

    Screenshot che mostra la creazione di una nuova regola di avviso.

  3. Selezionare l'ambito della regola di avviso. È possibile selezionare un singolo modulo di protezione hardware o più moduli di protezione hardware.

    Importante

    Quando si selezionano più moduli di protezione hardware per l'ambito degli avvisi, tutti i moduli di protezione hardware selezionati devono trovarsi nella stessa area. È necessario configurare regole di avviso separate per i moduli di protezione hardware in aree diverse.

    Screenshot che mostra la selezione dell'ambito della regola di avviso.

  4. Selezionare le soglie che definiscono la logica per gli avvisi. È possibile visualizzare tutti i segnali disponibili selezionando Visualizza tutti i segnali. Il team del modulo di protezione hardware gestito consiglia di configurare le soglie seguenti per la maggior parte delle applicazioni, ma è possibile modificarle in base alle esigenze dell'applicazione:

    • La disponibilità di Key Vault scende al di sotto del 100% (soglia statica)
    • La latenza di Key Vault è maggiore di 1000 ms (soglia statica)

    Nota

    L'intenzione della soglia di 1000 ms consiste nel notificare che il servizio Key Vault in questa area ha un carico di lavoro superiore alla media. Il contratto di servizio per le operazioni di Key Vault è più volte superiore. Vedere il Contratto di servizio per i Servizi online per il contratto di servizio corrente. Per avvisare quando le operazioni di Key Vault non rientrano nel contratto di servizio, usare le soglie dei documenti del contratto di servizio.

    • I codici di errore totali sono superiori alla media (soglia dinamica).

    Screenshot che mostra la configurazione delle soglie di avviso.

  5. Selezionare un'azione da applicare alla regola di avviso. In questo esempio viene aggiunto un gruppo di azioni esistente. Selezionare il gruppo di azioni e selezionare Seleziona.

    Screenshot che mostra la selezione di un gruppo di azioni per la regola di avviso.

  6. Immettere Dettagli regola progetto e avviso e quindi selezionare Avanti.

  7. Selezionare Crea.

Esempio: Configurare una soglia di avviso statica per la latenza

  1. Selezionare Global Service Api Latency (Latenza api servizio generale) come nome del segnale e selezionare Applica.

    Screenshot che mostra la selezione della latenza complessiva dell'API del servizio come nome del segnale.

    1. Usare i parametri di configurazione seguenti:

      • Impostare Soglia su Statica.
      • Impostare Tipo di aggregazione su Media.
      • Impostare Operatore su Maggiore di.
      • Impostare Valore soglia su 1000.
      • Impostare Controlla ogniminuto.
      • Impostare Periodo di ricerca su 5 minuti.

      Screenshot che mostra la configurazione dei parametri per la soglia di avviso statica.

    2. Selezionare Fatto.

    Esempio: Configurare un avviso di Azure Advisor

    Per ricevere un avviso se non è stato eseguito un backup negli ultimi 30 giorni, l'avviso deve essere configurato in Advisor.

    1. Cercare "Advisor" nel portale di Azure e selezionare il servizio "Advisor".

      Screenshot che mostra la ricerca di Advisor nella portale di Azure.

    2. Selezionare Avvisi in Monitoraggio.

      Screenshot che mostra la selezione di avvisi in Monitoraggio in Advisor.

    3. Selezionare Nuovo avviso di Advisor.

      Screenshot che mostra la creazione di un nuovo avviso di Advisor.

    4. Selezionare l'ambito della regola di avviso.

    5. Selezionare Tipo di raccomandazione come condizione di configurazione.

    6. Cercare "Crea un backup del modulo di protezione hardware" come tipo di raccomandazione e selezionarlo.

    7. Selezionare un gruppo di azioni. In questo esempio verrà selezionato un gruppo di azioni esistente. È possibile selezionare fino a 5 gruppi di azioni da associare a una regola di avviso. Scegliere Seleziona esistente e verrà visualizzato un pannello laterale. Selezionare il gruppo di azioni esistente.

      Screenshot che mostra la selezione di un gruppo di azioni esistente.

      Screenshot che mostra la selezione del gruppo di azioni esistente nel pannello laterale.

    8. Assegnare un nome alla regola di avviso e selezionare il gruppo di risorse a cui si applica. Selezionare quindi Crea avviso.

      Screenshot che mostra la voce di un nome per la regola di avviso e la selezione del gruppo di risorse.

    Passaggi successivi

Usare gli strumenti configurati in questo articolo per monitorare attivamente l'integrità dell'insieme di credenziali delle chiavi: