Questa pagina fornisce una panoramica della soluzione Bare Metal HSM.
Panoramica
Bare Metal HSM è un'offerta di infrastruttura come servizio che ti consente di eseguire il deployment di moduli di sicurezza hardware (HSM) di proprietà del cliente accanto ai tuoi carichi di lavoroGoogle Cloud . Gli HSM vengono implementati in strutture conformi allo standard PCI per soddisfare i tuoi requisiti di sicurezza, conformità e bassa latenza.
Per supportare lo spostamento dei carichi di lavoro nel cloud, Google ospita gli HSM, fornendo sicurezza fisica e di rete, spazio su rack e scaffali, alimentazione e integrazione di rete a una tariffa mensile.
Bare Metal HSM ti consente di stipulare un contratto direttamente con Google per il posizionamento dei tuoi HSM. Gli HSM vengono posizionati all'interno di strutture di colocation specificate e si connettono a Google Cloud.
La soluzione Bare Metal HSM è supportata nelle strutture di colocation con tessuti di peering attivi. Queste strutture soddisfano e superano gli standard di Google per la sicurezza dei data center e forniscono un servizio a bassa latenza e alta disponibilità.
Confronto con Bare Metal Rack HSM
Sia Bare Metal Rack HSM che Bare Metal HSM ti consentono di ospitare i tuoi HSM nelle strutture Google Cloud . La differenza principale tra le soluzioni Bare Metal Rack HSM e Bare Metal HSM è la scalabilità. La seguente tabella riassume le principali differenze tra queste soluzioni:
| Bare Metal HSM | Bare Metal Rack HSM |
|---|---|
| Google ospita gli HSM su base per dispositivo. | Google ospita gli HSM su base per rack. |
| Hai accesso logico agli HSM, ma non fisico. | Hai accesso logico agli HSM e puoi pianificare l'accesso fisico accompagnato. |
| Destinato a piccoli deployment di 10-15 HSM | Destinato a implementazioni di grandi dimensioni a livello di rack di 100 o più HSM |
Se non sai quale di queste soluzioni è più adatta alle tue esigenze, contatta il rappresentante del tuo account.
Modello operativo
- Operazioni preliminari
- Contratto: minimo 12 mesi. È richiesta l'assistenza Premium.
- Acquisto e configurazione: la tua organizzazione acquisisce, configura e spedisce gli HSM a Google.
- Montaggio e collegamento: Google esegue il deployment degli HSM e configura la connessione Partner Interconnect.
- Convalida e trasferimento: conferma la soluzione di ingegneria e l'accessibilità agli HSM, testa la soluzione e approvala.
- Modello di assistenza
- Google fornisce supporto per rack and stack, hosting, smart hands, conformità e connessione Partner Interconnect.
- Collabora con il fornitore dell'HSM per ricevere assistenza per software, licenze, strumenti e risoluzione dei problemi relativi all'HSM.
- Procedura di ritiro
- Presenti una richiesta di ritiro.
- Devi cancellare tutti i dati e inizializzare tutti gli HSM ai valori predefiniti di fabbrica.
Requisiti di conformità
Questa offerta è limitata agli HSM certificati FIPS 140-2 di livello 3 o superiore e non è un servizio di hosting o colocation generalizzato. La soluzione Bare Metal HSM è ospitata in strutture completamente conformi a PCI-DSS, PCI-3DS e SOC 1, 2 e 3. Google supporterà la tua certificazione di conformità per la conformità PCI-PIN, PCI-P2PE e SOC in tutte le regioni.
Separazione delle responsabilità
È tua responsabilità ottenere e fornire gli HSM e spedirli nelle regioni Google Cloud appropriate. Gli HSM utilizzati sono a tua scelta, ma devono rispettare i requisiti dell'attrezzatura HSM.
Google preconfigura i rack, gli switch top-of-rack e la connettività. Gli switch provengono da fornitori diversi per ogni coppia di rack. Per la soluzione Bare Metal HSM, hai rack e switch dedicati. Google fornisce un servizio di montaggio a rack per gli HSM e collabora con te per convalidare la connessione Partner Interconnect. Ogni rack ha alimentatori ridondanti.
Accesso a Bare Metal HSM
Hai accesso alla gestione logica dei tuoi HSM e sei responsabile della loro manutenzione e gestione. Mantieni il controllo completo degli HSM.
Google non ha accesso logico agli HSM, ma fornisce e gestisce i rack, lo switching e la connessione. Google non ha accesso ai dati o alle chiavi sul tuo HSM.
Devi eseguire il deployment degli HSM con funzionalità di gestione remota complete. Non puoi accedere fisicamente agli HSM mentre si trovano nella struttura di colocation.
Google fornisce un servizio di Remote Hands. Le visite dei clienti alla struttura non sono consentite. Sei responsabile della tua conformità e dei requisiti di audit.
Al termine del contratto o del fine del ciclo di vita dell'HSM, invii una richiesta di ritiro degli HSM e di cancellazione di tutti i dati o di ripristino delle impostazioni di fabbrica degli HSM. Dopo la cancellazione o il ripristino degli HSM e l'ottenimento dell'autorizzazione legale, gli HSM ti verranno restituiti o distrutti se non è possibile restituirli.
Requisiti dell'apparecchiatura HSM
Questa sezione descrive in dettaglio i requisiti fisici per gli HSM e i cavi associati per l'hosting degli HSM in una struttura Google.
Il numero di HSM che possono essere inseriti in un rack dipende dal numero di porte disponibili nel modello attuale dello switch top-of-rack, dal numero di unità rack occupate dal modello HSM e dal consumo energetico degli HSM.
- Alimentazione
- Doppi alimentatori CA (16 A max per alimentatore).
- Distribuzione elettrica
- 208 V da linea a linea (per le sedi negli Stati Uniti).
- PDU per rack che forniscono prese e prese di corrente C13 o C19.
- Cavi di alimentazione (da fornire)
- L'estremità del cavo della PDU del rack deve essere di tipo C14 o C20.
- 2 cavi di alimentazione da 2 metri (lunghezza preferita).
- Rete
- Controller interfaccia di rete: due NIC in rame da 1 G (se applicabile).
- Cavi di rete (da fornire)
- 2 cavi patch CAT-5e o superiori da 2 x 1,8 metri o 2 metri (lunghezza preferita).
- Dimensioni fisiche
- Profondità rack: 106,7 cm.
- Spaziatura unità rack: montaggio rack standard EIA-310 da 19" con supporti a foro quadrato. Puoi occupare fino a 4 unità rack per HSM.
- Sicurezza
- Gli HSM non possono essere dotati di videocamere o reti wireless come Bluetooth.
- L'HSM deve essere certificato FIPS 140-2 di livello 3 o superiore.
- L'HSM deve essere completamente gestibile da remoto.
Non sono previsti requisiti per il peso o il raffreddamento.
Panoramica del deployment
Per avere diritto a un SLA di uptime del 99,99%, devi soddisfare i seguenti requisiti:
- Esegui il deployment degli HSM in un minimo di due zone, ovvero due diverse Google Cloud regioni o, se disponibili, due zone nella stessa regione.
- Esegui il deployment di un minimo di due HSM per zona (almeno un HSM per rack in almeno due rack).
Fornisci a Google l'indirizzo MAC per ogni interfaccia di rete HSM e il relativo indirizzo IP assegnato. Queste informazioni aiutano Google a verificare il cablaggio da server a parte superiore del rack e facilitano la risoluzione dei problemi durante il processo di deployment.
I requisiti di rete verranno discussi in modo più dettagliato con il tuo rappresentante dell'account durante la procedura di onboarding.
Topologia di rete
Una coppia di rack in una singola zona è coperta da uno SLA del 99,9%.
Un deployment completo in due zone fornisce uno SLA del 99,99%. Ciò può essere ottenuto utilizzando due regioni o, se disponibili, due zone nella stessa regione.
Le applicazioni devono essere progettate per sfruttare questo modello di ridondanza. Un'applicazione deve essere in grado di eseguire il failover dalla zona 1 alla zona 2 all'interno di una singola posizione, da HSM a HSM.
L'attivazione della funzionalità di routing globale consente agli HSM in entrambe le località di raggiungere le risorseGoogle Cloud in qualsiasi regione.
Un singolo errore di connessione Partner Interconnect non costituisce una violazione dell'SLA.
Il seguente diagramma di alto livello mostra la connettività richiesta per ottenere uno SLA (accordo sul livello del servizio) del 99,99% sul servizio.
- Ogni deployment di zona contiene un minimo di due rack a tua disposizione e uno switch per rack.
- Gli switch top-of-rack sono forniti da Google e provengono da fornitori diversi.
- Ogni switch top-of-rack ha una Partner Interconnect da 10 Gbit/s con collegamenti VLAN ridondanti per Partner Interconnect a router Cloud ridondanti.
- Ogni HSM deve avere almeno due interfacce di rete in rame da 1 GE con connessioni ridondanti a entrambi gli switch top-of-rack. Le interfacce di gestione e dati devono avere connessioni ridondanti separate a entrambi gli switch top-of-rack.
- Fornisci le allocazioni degli indirizzi IP per le reti HSM.
- Gli switch top-of-rack pubblicizzano le subnet collegate localmente alla coppia di router Cloud.
- Abilita il routing dinamico globale nel tuo virtual private cloud (VPC) per consentire l'accesso agli HSM da qualsiasi Google Cloud regione in cui hai eseguito il deployment delle risorse. Il routing dinamico globale è necessario anche per ottenere una disponibilità del 99,99%.
- BGP tra gli switch top-of-rack e i router Cloud nel tuo progetto scambia informazioni di raggiungibilità per il routing tra le risorse del progetto e gli HSM. Google Cloud
Requisiti di networking
Per consentire l'hosting degli HSM con Google, devi completare i seguenti passaggi per ogni set di rack in una zona:
Crea una coppia ridondante di router Cloud per zona utilizzando ASN16550. Per istruzioni dettagliate, vedi Creazione di router Cloud.
Crea due coppie ridondanti di collegamenti VLAN con Partner Interconnect per zona utilizzando i router cloud del passaggio precedente. Crea gli allegati con l'opzione di preattivazione abilitata. Devono essere presenti un totale di quattro allegati per zona. Se gli allegati sono stati creati senza l'opzione di pre-attivazione abilitata, puoi attivare le connessioni manualmente.
Per ulteriori informazioni su Partner Interconnect e sulle opzioni di preattivazione, consulta Panoramica di Partner Interconnect.
Abilita il routing dinamico globale nella rete VPC.
- Per ottenere una disponibilità del 99,99%, segui i passaggi descritti in Definizione di una disponibilità del 99,99% per Partner Interconnect.
- I deployment in una singola zona hanno una disponibilità del 99,9% fino a quando non è disponibile la seconda zona. Per questo caso, vedi Definizione di una disponibilità del 99,9% per Partner Interconnect
Configura le regole firewall in base alle esigenze per consentire il traffico tra la tua sede e le risorse del progetto.
Compatibilità delle località
Bare Metal HSM è disponibile nelle seguenti località Cloud KMS:
| Area geografica | Nome della sede | Descrizione della sede | Zone per regione |
|---|---|---|---|
| Americhe | us-central1 |
Iowa | 1 |
| Americhe | us-south1 |
Dallas | 1 |
| Americhe | us-east4 |
Virginia del Nord | 1 |
| Americhe | us-west1 |
Oregon | 1 |
| Europa | europe-west4 |
Paesi Bassi | 1 |
| Europa | europe-west3 |
Francoforte | 1 |
| Americhe | southamerica-west1 |
Santiago | 1 |
| Americhe | southamerica-east1 |
San Paolo | 1 |
| Medio Oriente | me-west1 |
Tel Aviv | 2 |
Contatta Google
Questo prodotto è disponibile solo per i clienti con requisiti aziendali e tecnici specifici.
Se ti interessa Bare Metal HSM con Google, contatta il tuo account manager per ulteriore assistenza.