Freigeben über

Konfigurieren von Warnungen für verwaltete HSMs

  • Artikel

Sobald Sie damit begonnen haben, Ihre Produktionsschlüssel in Azure Managed HSM zu speichern, sollten Sie durch eine Überwachung der Integrität Ihres HSM sicherstellen, dass Ihr Dienst wie vorgesehen funktioniert.

Wenn Sie damit beginnen, Ihren Dienst zu skalieren, steigt die Anzahl von Anforderungen, die an Ihr HSM gesendet werden. Dieser Anstieg kann die Wartezeit Ihrer Anforderungen erhöhen. In Extremfällen kann dies dazu führen, dass Ihre Anforderungen gedrosselt werden und die Leistung Ihres Diensts beeinträchtigt ist. Sie müssen es außerdem erfahren, wenn Ihr HSM eine ungewöhnliche Anzahl von Fehlercodes sendet, damit Sie bei Problemen mit einer Zugriffsrichtlinie oder Firewallkonfiguration schnell handeln können.

In diesem Artikel wird gezeigt, wie Sie Warnungen bei bestimmten Schwellenwerten konfigurieren, damit Ihr Team sofort benachrichtigt wird, wenn sich Ihr HSM in einem fehlerhaften Zustand befindet. Sie können Warnungen konfigurieren, mit denen eine E-Mail gesendet (vorzugsweise an eine Verteilerliste für ein Team), eine Azure Event Grid-Benachrichtigung ausgelöst, eine Telefonnummer angerufen oder eine SMS gesendet wird.

Warnungstypen:

Sie können zwischen den folgenden Warnungstypen wählen:

  • Eine statische Warnung, die auf einem festen Wert basiert
  • Eine dynamische Warnung, die Sie benachrichtigt, wenn für eine überwachte Metrik der Durchschnittsgrenzwert für Ihr HSM innerhalb eines definierten Zeitraums mit einer festgelegten Häufigkeit überschritten wird

Wichtig

Es kann bis zu 10 Minuten dauern, bis neu konfigurierte Warnungen damit beginnen, Benachrichtigungen zu versenden.

In diesem Artikel geht es um Warnungen für das verwaltete HSM.

Konfigurieren einer Aktionsgruppe

Eine Aktionsgruppe ist eine konfigurierbare Liste mit Benachrichtigungen und Eigenschaften. Der erste Schritt beim Konfigurieren von Warnungen ist das Erstellen einer Aktionsgruppe und die Auswahl eines Warnungstyps:

  1. Wählen Sie im Azure-Portal Ihre HSM-Ressource aus und wählen Sie dann unter Überwachung die Option Warnungen.

    Screenshot der Auswahl von Warnungen unter „Überwachung“ im Azure-Portal

  2. Klicken Sie auf Erstellen.

    Screenshot der Erstellung einer neuen Benachrichtigung

  3. Wählen Sie Aktionsgruppe aus.

    Screenshot der Auswahl der Aktionsgruppe

  4. Geben Sie Projekt- und Instanz-Details ein, und wählen Sie Weiter aus.

    Screenshot mit dem Eintrag von Projekt- und Instanzdetails

  5. Wählen Sie den Benachrichtigungstyp für Ihre Aktionsgruppe aus. In diesem Beispiel erstellen wir eine E-Mail- und SMS-Benachrichtigung. Wählen Sie E-Mail/SMS/Push/Sprache aus.

    Screenshot der Auswahl von E-Mail/SMS/Push/Sprache als Benachrichtigungstyp

  6. Geben Sie im Dialogfeld E-Mail- und SMS-Details ein, und wählen Sie dann OK aus.

    Screenshot mit dem Eintrag von E-Mail- und SMS-Details

  7. Geben Sie einen Namen für die Benachrichtigungszeit ein, und wählen Sie Weiter aus.

    Screenshot mit dem Eintrag eines Namens für die Benachrichtigung

  8. Wählen Sie einen Aktionstyp für Ihre Aktionsgruppe aus. In diesem Beispiel erstellen wir eine Event Hubs-Aktion. Wählen Sie Event Hub aus.

    Screenshot der Auswahl von Event Hubs als Aktionstyp

  9. Geben Sie den Event Hub-Namespace und den Namen ein, und wählen Sie OK aus.

    Screenshot des Eintrags des Event Hub-Namespaces und des Namens

  10. Geben Sie einen Namen für die Aktion ein.

    Screenshot mit dem Eintrag eines Namens für die Aktion

  11. Wählen Sie Überprüfen + erstellen und anschließend Erstellen aus.

Konfigurieren von Warnungsschwellenwerten

Als Nächstes erstellen Sie eine Regel und konfigurieren die Schwellenwerte, die eine Warnung auslösen:

  1. Wählen Sie im Azure-Portal Ihre HSM-Ressource aus und wählen Sie dann unter Überwachung die Option Warnungen.

    Screenshot der Auswahl von Warnungen unter „Überwachung“ im Azure-Portal

  2. Wählen Sie unter Erstellen die Benachrichtigungsregel aus.

    Screenshot der Erstellung einer neuen Warnungsregel

  3. Legen Sie den Bereich für Ihre Warnungsregel fest. Sie können ein einzelnes HSM oder mehrere HSMs auswählen.

    Wichtig

    Bei der Auswahl mehrerer HSMs als Bereich für Ihre Warnungen müssen sich alle ausgewählten HSMs in derselben Region befinden. Für HSMs in unterschiedlichen Regionen müssen Sie separate Warnungsregeln konfigurieren.

    Screenshot der Auswahl des Bereichs Ihrer Warnungsregel

  4. Wählen Sie die Schwellenwerte aus, die die Logik für Ihre Warnungen definieren. Sie können alle verfügbaren Signale anzeigen, indem Sie Alle Signale anzeigen auswählen. Das HSM-Team empfiehlt, für die meisten Anwendungen die folgenden Schwellenwerte zu konfigurieren, die Sie jedoch basierend auf Ihren Anwendungsanforderungen anpassen können:

    • Key Vault-Verfügbarkeit fällt unter 100 Prozent (statischer Schwellenwert).
    • Key Vault-Wartezeit übersteigt 1000 ms (statischer Schwellenwert).

    Hinweis

    Die Absicht des Schwellenwerts von 1000 ms besteht darin, darüber zu informieren, dass der Key Vault-Dienst in dieser Region eine Arbeitsauslastung aufweist, die höher als der Durchschnitt ist. Unser SLA für Key Vault-Vorgänge ist um ein Vielfaches höher. Weitere Informationen finden Sie im Vereinbarung zum Servicelevel für Onlinedienste für aktuelle SLA. Verwenden Sie die Schwellenwerte aus den SLA-Dokumenten, um zu warnen, wenn Key Vault-Vorgänge aus SLA-Dokumenten entfernt sind.

    • Fehlercodes gesamt liegt über dem Durchschnitt (dynamischer Schwellwert).

    Screenshot der Konfiguration von Warnungsschwellenwerten

  5. Wählen Sie eine Aktion aus, die auf die Warnungsregel angewendet werden soll. In diesem Beispiel fügen wir eine vorhandene Aktionsgruppe hinzu. Wählen Sie die Aktionsgruppe und dann Auswählen aus.

    Screenshot der Auswahl einer Aktionsgruppe für die Warnungsregel

  6. Geben Sie Projekt- und Warnungsregel-Details ein, und wählen Sie Weiter aus.

  7. Klicken Sie auf Erstellen.

Beispiel: Konfigurieren eines statischen Warnungsschwellenwerts für die Wartezeit

  1. Wählen Sie als Signalname Wartezeit für Dienst-API gesamt und anschließend Anwenden aus.

    Screenshot der Auswahl von „Wartezeit für Dienst-API gesamt“ als Signalnamen

    1. Verwenden Sie die folgenden Konfigurationsparameter:

      • Legen Sie Schwellenwert auf Statisch fest.
      • Legen Sie Aggregationstyp auf Durchschnitt fest.
      • Legen Sie Operator auf Größer als fest.
      • Legen Sie Schwellenwert auf 1000 fest.
      • Legen Sie Überprüfen alle auf 1 Minute fest.
      • Legen Sie Rückblickzeitraum auf 5 Minuten fest.

      Screenshot der Konfiguration von Parametern für den Schwellenwert für statische Warnungen

    2. Wählen Sie Fertig aus.

    Beispiel: Konfigurieren einer Azure Advisor-Warnung

    Um benachrichtigt zu werden, wenn in den letzten 30 Tagen keine Sicherung durchgeführt wurde, muss die Warnung in Advisor eingerichtet werden.

    1. Suchen Sie im Azure-Portal nach „Advisor“, und wählen Sie den Dienst „Advisor“ aus.

      Screenshot der Suche nach Advisor im Azure-Portal

    2. Wählen Sie unter Überwachung die Option Warnungen aus.

      Screenshot der Auswahl von Benachrichtigungen unter „Überwachung in Advisor“

    3. Wählen Sie Neue Advisor-Warnung aus.

      Screenshot der Erstellung einer neuen Advisor-Warnung

    4. Legen Sie den Bereich für Ihre Warnungsregel fest.

    5. Wählen Sie Empfehlungstyp als Konfigurationsbedingung aus.

    6. Suchen Sie als Empfehlungstyp nach „Erstellen einer Sicherung eines HSM“, und wählen Sie diese Option aus.

    7. Wählen Sie eine Aktionsgruppe aus. In diesem Beispiel wählen wir eine vorhandene Aktionsgruppe aus. Sie können bis zu fünf Aktionsgruppen auswählen, die an eine Warnungsregel angefügt werden sollen. Wählen Sie Vorhandene auswählen aus, und ein Seitenbereich wird ausgeklappt. Wählen Sie die vorhandene Aktionsgruppe aus.

      Screenshot der Auswahl einer vorhandenen Aktionsgruppe

      Screenshot der Auswahl der vorhandenen Aktionsgruppe aus dem Seitenbereich

    8. Geben Sie der Warnungsregel einen Namen, und wählen Sie die Ressourcengruppe aus, auf die er angewendet wird. Wählen Sie Warnung erstellen aus.

      Screenshot mit dem Eintrag eines Namens für die Warnungsregel und der Auswahl der Ressourcengruppe

    Nächste Schritte

Verwenden Sie die in diesem Artikel eingerichteten Tools, um die Integrität Ihres Schlüsseltresors zu überwachen: