En esta página se ofrece una descripción general de la solución HSM Bare Metal.
Información general
Bare Metal HSM es una oferta de infraestructura como servicio que te permite desplegar módulos de seguridad de hardware (HSM) propiedad del cliente junto a tusGoogle Cloud cargas de trabajo. Tus HSMs se implementan en instalaciones que cumplen el estándar PCI para satisfacer tus requisitos de seguridad, cumplimiento y baja latencia.
Para ayudarte a migrar tus cargas de trabajo a la nube, Google aloja tus HSMs y te ofrece seguridad física y de red, espacio en racks y estanterías, energía e integración de red por una cuota mensual.
HSM Bare Metal te permite contratar directamente con Google la colocación de tus HSMs. Los HSMs se colocan en instalaciones de colocación especificadas y se conectan aGoogle Cloud.
La solución Bare Metal HSM se admite en instalaciones de coubicación con tejidos de interconexión activos. Estas instalaciones cumplen y superan los estándares de Google en cuanto a seguridad de centros de datos y ofrecen un servicio de baja latencia y alta disponibilidad.
Comparación con Bare Metal Rack HSM
Tanto Bare Metal Rack HSM como Bare Metal HSM te permiten alojar tus propios HSMs en las instalaciones de Google Cloud . La principal diferencia entre las soluciones Bare Metal Rack HSM y Bare Metal HSM es la escala. En la siguiente tabla se resumen las principales diferencias entre estas soluciones:
| Bare Metal HSM | Bare Metal Rack HSM |
|---|---|
| Google aloja tus HSMs por dispositivo. | Google aloja tus HSMs por rack. |
| Tienes acceso lógico a tus HSMs, pero no acceso físico. | Tienes acceso lógico a tus HSMs y puedes programar acceso físico con acompañante. |
| Diseñado para pequeñas implementaciones de 10-15 HSMs | Diseñado para implementaciones a gran escala de 100 o más HSMs |
Si no sabes cuál de estas soluciones se adapta mejor a tus necesidades, ponte en contacto con tu representante de cuenta.
Modelo operativo
- Proceso de incorporación
- Contrato: mínimo de 12 meses. Se requiere asistencia premium.
- Adquisición y configuración: tu organización adquiere, configura y envía HSMs a Google.
- Instalación y conexión: Google instala tus HSMs y configura la conexión de Partner Interconnect.
- Validación y transferencia: confirma la solución de ingeniería y la accesibilidad a los HSMs, prueba la solución y da tu visto bueno.
- Modelo de asistencia
- Google ofrece asistencia para la instalación de racks, el alojamiento, la asistencia técnica, el cumplimiento y la conexión de Partner Interconnect.
- Ponte en contacto con tu proveedor de HSM para obtener asistencia sobre el software, las licencias, las herramientas y la solución de problemas del HSM.
- Proceso de desmantelamiento
- Presentas una solicitud de retirada.
- Debes borrar todos los datos e inicializar todos los HSM con los ajustes predeterminados de fábrica.
Requisitos de cumplimiento
Esta oferta se limita a los HSMs que cuenten con el certificado FIPS 140-2 de nivel 3 o superior, y no es un servicio de alojamiento o coubicación generalizado. La solución Bare Metal HSM se aloja en instalaciones que cumplen los requisitos de PCI-DSS, PCI-3DS y SOC 1, 2 y 3. Google admitirá tu certificación de cumplimiento para PCI-PIN, PCI-P2PE y SOC en todas las regiones.
Separación de responsabilidades
Es tu responsabilidad obtener y aprovisionar HSMs, así como enviarlos a las regiones correspondientes. Google Cloud Puedes elegir los HSMs que quieras, pero deben cumplir los requisitos de los equipos HSM.
Google preconfigura los racks, los conmutadores de la parte superior del rack y la conectividad. Los switches son de diferentes proveedores para cada par de bastidores. En el caso de la solución Bare Metal HSM, tienes tus propios racks y conmutadores dedicados. Google proporciona un servicio de colocación en rack para tus HSMs y colabora contigo para validar la conexión de Partner Interconnect. Cada rack tiene fuentes de alimentación redundantes.
Acceder a Bare Metal HSM
Tienes acceso de gestión lógica a tus HSMs y eres responsable de su mantenimiento y gestión. Mantienes el control total de tus HSMs.
Google no tiene acceso lógico a tus HSMs, pero proporciona y mantiene los racks, los conmutadores y la conexión. Google no tiene acceso a los datos ni a las claves de tu HSM.
Debes implementar HSMs con capacidad de gestión remota completa. No puedes acceder físicamente a tus HSMs mientras estén en la instalación de coubicación.
Google ofrece un servicio de asistencia remota. No se permiten visitas de clientes a las instalaciones. Eres responsable de cumplir tus propios requisitos de auditoría.
Al final de tu contrato o de la vida útil del HSM, envías una solicitud para retirar los HSM y borrar todos los datos o restaurar los HSM a los ajustes de fábrica. Una vez que se hayan borrado o restablecido los HSMs y se haya obtenido la autorización legal, se te devolverán o se destruirán si no se pueden devolver.
Requisitos del equipo HSM
En esta sección se detallan los requisitos físicos de los HSMs y los cables asociados para alojar HSMs en una instalación de Google.
El número de HSMs que se pueden colocar en un rack depende del número de puertos disponibles en el modelo actual del switch de la parte superior del rack, del número de unidades de rack que ocupa el modelo de HSM y del consumo de energía de los HSMs.
- Potencia
- Dos fuentes de alimentación de CA (16 A como máximo por fuente de alimentación).
- Distribución de la energía
- 208 V de línea a línea (para ubicaciones en Estados Unidos).
- Unidad de distribución de energía para rack que proporcione receptáculos y enchufes C13 o C19.
- Cables de alimentación (debes proporcionarlos tú)
- El extremo del cable de la PDU de rack debe ser de tipo C14 o C20.
- Dos cables de alimentación de 1,80 m o 2 m (longitud preferida).
- Red
- Controlador de interfaz de red: NICs de cobre duales de 1 g (si procede).
- Cables de red (debes proporcionarlos tú)
- Cables de conexión CAT-5e o superior de 2 x 6 pies (2 metros, longitud preferida).
- Dimensiones físicas
- Profundidad del rack: 42 pulgadas.
- Espacio entre unidades de rack: montaje en rack estándar EIA-310 de 19" con soportes de orificio cuadrado. Puedes ocupar hasta 4 unidades de rack por HSM.
- Seguridad
- Los HSMs no pueden estar equipados con cámaras ni redes inalámbricas, como Bluetooth.
- El HSM debe tener el certificado FIPS 140-2 de nivel 3 o superior.
- El HSM debe poder gestionarse completamente de forma remota.
No hay requisitos de peso ni de refrigeración.
Resumen de la implementación
Para cumplir los requisitos de un acuerdo de nivel de servicio con un tiempo de actividad del 99,99 %, debes cumplir los siguientes requisitos:
- Implementa HSMs en un mínimo de dos zonas: dos Google Cloud regiones diferentes o, si está disponible, dos zonas de la misma región.
- Implementa un mínimo de dos HSMs por zona (al menos un HSM por rack en al menos dos racks).
Proporciona a Google la dirección MAC de cada interfaz de red del HSM y su dirección IP asignada. Esta información ayuda a Google a verificar el cableado del servidor al rack superior y a solucionar problemas durante el proceso de implementación.
Los requisitos de la red se tratarán con más detalle con tu representante de cuenta durante el proceso de incorporación.
Topología de red
Un par de estantes en una sola zona está cubierto por un acuerdo de nivel de servicio del 99,9 %.
Una implementación completa en dos zonas ofrece un acuerdo de nivel de servicio del 99,99 %. Para ello, puedes usar dos regiones o, si está disponible, dos zonas de la misma región.
Las aplicaciones deben diseñarse para aprovechar este modelo de redundancia. Una aplicación debe poder conmutar por error de la zona 1 a la zona 2 en una misma ubicación, de un HSM a otro.
Si habilitas la función de enrutamiento global, los HSMs de cualquiera de las dos ubicaciones podrán acceder a losGoogle Cloud recursos de cualquier región.
Un solo fallo de conexión de Partner Interconnect no supone una infracción del SLA.
En el siguiente diagrama de alto nivel se muestra la conectividad necesaria para alcanzar un acuerdo de nivel de servicio del 99,99% en el servicio.
- Cada implementación de zona contiene un mínimo de dos racks para su uso y un switch por rack.
- Google proporciona los conmutadores de la parte superior del rack, que son de diferentes proveedores.
- Cada switch TOR tiene una Partner Interconnect de 10 G con vinculaciones de VLAN redundantes para Partner Interconnect a routers de Cloud redundantes.
- Cada HSM debe tener al menos dos interfaces de red de cobre 1GE con conexiones redundantes a ambos conmutadores TOR. Tanto la interfaz de gestión como la de datos deben tener sus propias conexiones redundantes a ambos conmutadores de la parte superior del rack.
- Usted proporciona las asignaciones de direcciones IP para las redes HSM.
- Los switches TOR anuncian sus subredes conectadas localmente al par de routers de Cloud Router.
- Habilita el enrutamiento dinámico global en tu nube privada virtual (VPC) para permitir el acceso a los HSMs desde cualquier Google Cloud región en la que hayas desplegado recursos. También se requiere el enrutamiento dinámico global para cumplir los requisitos de disponibilidad del 99,99 %.
- El BGP entre los conmutadores TOR y los routers de Cloud Router de tu proyecto intercambia información de accesibilidad para enrutar entre los recursos del proyecto y los HSMs. Google Cloud
Requisitos de red
Debes completar los siguientes pasos para cada conjunto de racks de una zona para que tus HSMs se puedan alojar en Google:
Crea un par redundante de routers de Cloud Router por zona con el ASN 16550. Para obtener instrucciones detalladas, consulta Crear routers de Cloud Router.
Crea dos pares redundantes de vinculaciones de VLAN con Partner Interconnect por zona mediante los routers de Cloud del paso anterior. Crea los archivos adjuntos con la opción de preactivación habilitada. Debe haber un total de cuatro archivos adjuntos por zona. Si los archivos adjuntos se crearon sin la opción de preactivación habilitada, puedes activar las conexiones manualmente.
Para obtener más información sobre Partner Interconnect y las opciones de preactivación, consulta la información general sobre Partner Interconnect.
Habilita el enrutamiento dinámico global en la red de VPC.
- Para conseguir una disponibilidad del 99,99 %, sigue los pasos que se indican en el artículo Establecer un 99,99% de disponibilidad en Partner Interconnect.
- Las implementaciones en una sola zona tienen una disponibilidad del 99,9% hasta que la segunda zona esté disponible. En este caso, consulta el artículo Establecer un 99,99% de disponibilidad en Partner Interconnect.
Configura las reglas de cortafuegos según sea necesario para permitir el tráfico entre tus instalaciones y los recursos del proyecto.
Compatibilidad de ubicaciones
Bare Metal HSM está disponible en las siguientes ubicaciones de Cloud KMS:
| Zona geográfica | Nombre de la ubicación | Descripción de la ubicación | Zonas por región |
|---|---|---|---|
| América | us-central1 |
Iowa | 1 |
| América | us-south1 |
Dallas | 1 |
| América | us-east4 |
Norte de Virginia | 1 |
| América | us-west1 |
Oregón | 1 |
| Europa | europe-west4 |
Países Bajos | 1 |
| Europa | europe-west3 |
Fráncfort | 1 |
| América | southamerica-west1 |
Santiago | 1 |
| América | southamerica-east1 |
São Paulo | 1 |
| Oriente Próximo | me-west1 |
Tel Aviv | 2 |
Contactar con Google
Este producto solo está disponible para los clientes que cumplan determinados requisitos empresariales y técnicos.
Si te interesa usar HSM Bare Metal con Google, ponte en contacto con tu representante de cuenta para obtener más ayuda.