Partager via

Configurer des alertes HSM managé

  • Article

Une fois que vous avez commencé à utiliser Azure HSM managé pour stocker vos clés de production, vous devez impérativement surveiller l’intégrité de votre HSM pour veiller au bon fonctionnement du service.

Plus votre service se développera, plus le nombre de demandes envoyées à votre HSM augmentera. Cette augmentation est susceptible d’accroître la latence de vos demandes. Dans les cas extrêmes, cela peut entraîner la limitation de vos demandes et avoir un impact sur les performances de votre service. Vous devez également savoir si votre HSM envoie un nombre inhabituel de codes d’erreur, afin de pouvoir traiter rapidement tout problème à l’aide d’une stratégie d’accès ou d’une configuration de pare-feu.

Cet article vous explique comment configurer des alertes à des seuils spécifiques afin de pouvoir alerter votre équipe de la nécessité de prendre des mesures immédiates si l’état de votre HSM n’est pas sain. Vous pouvez configurer des alertes qui envoient un e-mail (de préférence à une liste de distribution de l’équipe), déclenchent une notification Azure Event Grid, appellent un numéro de téléphone ou lui envoient un SMS.

Types d’alertes

Vous pouvez choisir entre les types d’alerte suivants :

  • Alerte statique basée sur une valeur fixe
  • Alerte dynamique qui vous avertit si une métrique surveillée dépasse la limite moyenne de votre HSM un certain nombre de fois dans un intervalle de temps défini

Important

Il peut s’écouler jusqu’à dix minutes avant que les alertes nouvellement configurées commencent à envoyer des notifications.

Cet article porte sur les alertes pour HSM managé.

Configurer un groupe d’actions

Un groupe d'actions est une liste configurable de notifications et de propriétés. La première étape de la configuration des alertes consiste à créer un groupe d’actions et à choisir un type d’alerte :

  1. Sélectionnez votre ressource HSM sur le portail Azure, puis choisissez Alertes sous Surveillance.

    Capture d’écran de la sélection des alertes sous Surveillance dans le portail Azure.

  2. Sélectionnez Créer.

    Capture d’écran montrant la création d’une nouvelle alerte.

  3. Sélectionnez Groupe d’actions.

    Capture d’écran montrant la sélection du groupe d’actions.

  4. Entrez les détails du projet et de l’instance, puis sélectionnez Suivant.

    Capture d’écran montrant l’entrée des détails du projet et de l’instance.

  5. Choisissez le type de notification de votre groupe d’actions. Dans cet exemple, nous créons une alerte par e-mail et par SMS. Sélectionnez e-mail/SMS/Push/Voice.

    Capture d’écran montrant la sélection e-mail/SMS/Push/Voice comme type de notification.

  6. Dans la boîte de dialogue, entrez les informations relatives à l’e-mail et au SMS, puis sélectionnez OK.

    Capture d’écran montrant l’entrée des détails des e-mails et SMS.

  7. Entrez un nom pour l’heure de notification, puis sélectionnez Suivant.

    Capture d’écran montrant l’entrée d’un nom pour la notification.

  8. Sélectionnez un type d’action pour votre groupe d’actions. Dans cet exemple, nous créons une action Event Hubs. Sélectionnez Event Hub.

    Capture d’écran montrant la sélection d’Event Hub comme type d’action.

  9. Entrez l’espace de noms Event Hub et son nom, puis sélectionnez OK.

    Capture d’écran montrant l’entrée de l’espace de noms et du nom Event Hub.

  10. Entrez un Nom pour l’action.

    Capture d’écran montrant l’entrée d’un nom pour l’action.

  11. Sélectionnez Vérifier + créer, puis Créer.

Configurer les seuils d'alerte

Ensuite, créez une règle et configurez les seuils qui déclenchent une alerte :

  1. Sélectionnez votre ressource HSM sur le portail Azure, puis choisissez Alertes sous Surveillance.

    Capture d’écran montrant la sélection des alertes sous Surveillance dans le portail Azure.

  2. Sélectionnez Règle d’alerte sous Créer.

    Capture d’écran montrant la création d’une nouvelle règle d’alerte.

  3. Sélectionnez l'étendue de votre règle d'alerte. Vous pouvez sélectionner un HSM unique ou plusieurs HSM.

    Important

    Lorsque vous sélectionnez plusieurs HSM pour l’étendue de vos alertes, tous les HSM sélectionnés doivent se trouver dans la même région. Vous devez configurer des règles d’alerte distinctes pour les HSM situés dans des régions différentes.

    Capture d’écran montrant la sélection de l’étendue de votre règle d’alerte.

  4. Sélectionnez les seuils qui définissent la logique de vos alertes. Vous pouvez afficher tous les signaux disponibles en sélectionnant Afficher tous les signaux. L’équipe HSM managé recommande de configurer les seuils suivants pour la plupart des applications, mais vous pouvez les ajuster en fonction des besoins de votre application :

    • La disponibilité de Key Vault passe en dessous de 100 % (seuil statique)
    • La latence de Key Vault est supérieure à 1000 ms (seuil statique)

    Remarque

    Le seuil de 1000 ms a pour but de signaler que le service Key Vault de cette région a une charge de travail supérieure à la moyenne. Notre SLA pour les opérations Key Vault est plusieurs fois supérieur. Consultez le contrat de niveau de service pour les services en ligne pour le contrat SLA actuel. Pour alerter lorsque les opérations du coffre de clés ne respectent pas l’accord de niveau de service, utilisez les seuils indiqués dans les documents de l’accord de niveau de service (SLA).

    • Le nombre total de codes d’erreur est supérieur à la moyenne (seuil dynamique).

    Capture d’écran montrant la configuration des seuils d’alerte.

  5. Sélectionnez une action à appliquer à la règle d’alerte. Dans cet exemple, nous ajoutons un groupe d’actions existant. Sélectionnez le groupe d’actions, puis sélectionnez Sélectionner.

    Capture d’écran montrant la sélection d’un groupe d’actions pour la règle d’alerte.

  6. Entrez les détails du projet et de la règle d'alerte, puis sélectionnez Suivant.

  7. Sélectionnez Créer.

Exemple : Configurer un seuil d’alerte statique pour la latence

  1. Sélectionnez Latence globale de l’API de service comme nom de signal et sélectionnez Appliquer.

    Capture d’écran montrant la sélection de la latence globale de l’API de service en tant que nom de signal.

    1. Utilisez les paramètres de configuration suivants :

      • Définissez Seuil sur Statique.
      • Définissez Type d’agrégation sur Moyenne.
      • Définissez Opérateur sur Supérieur à.
      • Définissez Valeur de seuil sur 1000.
      • Définissez Vérifiez toutes les sur 1 minute.
      • Régler la période de rétroaction à 5 minutes.

      Capture d’écran montrant la configuration des paramètres pour le seuil d’alerte statique.

    2. Cliquez sur Terminé.

    Exemple : Configurer une alerte Azure Advisor

    Pour recevoir une alerte si une sauvegarde n’a pas été effectuée au cours des 30 derniers jours, l’alerte doit être configurée dans Advisor.

    1. Recherchez « Advisor » dans le portail Azure et sélectionnez le service « Advisor ».

      Capture d’écran montrant la recherche de Advisor dans le portail Azure.

    2. Sélectionnez Alertes sous Surveillance.

      Capture d’écran montrant la sélection de Alertes sous Surveillance dans Advisor.

    3. Sélectionnez Nouvelle alerte Advisor.

      Capture d’écran montrant la création d’une alerte Advisor.

    4. Sélectionnez l'étendue de votre règle d'alerte.

    5. Sélectionnez Type de recommandation comme condition de configuration.

    6. Recherchez « Créer une sauvegarde de HSM » comme type de recommandation et sélectionnez-le.

    7. Sélectionner un groupe d’actions. Dans cet exemple, nous allons sélectionner un groupe d’actions existant. Vous pouvez sélectionner jusqu’à 5 groupes d’actions à joindre à une règle d’alerte. Choisissez Sélectionner le groupe existant et un panneau latéral s’affiche. Sélectionnez le groupe d’actions existant.

      Capture d’écran montrant la sélection d’un groupe d’actions existant.

      Capture d’écran montrant la sélection du groupe d’actions existant dans le volet latéral.

    8. Attribuez un nom à la règle d’alerte et sélectionnez le groupe de ressources auquel il s’applique. Sélectionnez ensuite Créer une alerte.

      Capture d’écran montrant l’entrée d’un nom pour la règle d’alerte et la sélection du groupe de ressources.

    Étapes suivantes

Utilisez les outils que vous avez configurés dans cet article pour surveiller activement l’intégrité de votre coffre de clés :