本页面简要介绍了裸金属 HSM 解决方案。

概览

Bare Metal HSM 是一种基础设施即服务产品，可让您在Google Cloud 工作负载旁边部署客户自有的硬件安全模块 (HSM)。您的 HSM 部署在符合 PCI 标准的设施中，以满足您的安全性、合规性和低延迟要求。

为了支持将您的工作负载迁移到云端，Google 托管您的 HSM，每月提供物理和网络安全、机架和搁架空间、电源和网络集成服务。

借助裸金属 HSM，您可以直接与 Google 签订合同以放置 HSM。HSM 放置在指定的对接网点内，并连接到Google Cloud。

具有活跃对等互连结构的对接网点支持裸金属 HSM 解决方案。这些设施符合并超过 Google 的数据中心安全标准，并提供低延迟、高可用性的服务。

与裸金属机架 HSM 的比较

无论是裸金属机架 HSM 还是裸金属 HSM，您都可以在 Google Cloud 设施中托管自己的 HSM。裸金属机架 HSM 解决方案与裸金属 HSM 解决方案的主要区别在于规模。下表总结了这些解决方案之间的主要区别：

裸金属 HSM	裸金属机架 HSM
Google 会按设备托管您的 HSM。	Google 会按机架托管您的 HSM。
您对 HSM 拥有逻辑访问权限，但没有物理访问权限。	您可以对 HSM 进行逻辑访问，并安排陪同实体访问。
适用于10-15 个 HSM 的小型部署	适用于100 个或更多 HSM 的大型机架级部署

如果您不确定哪种解决方案适合您的需求，请与您的客户代表联系。

运营模式

• 新手入门流程
  • 合同：最短期限为 12 个月。必须有高级支持服务。
  • 采购和配置：贵组织采购、配置 HSM 并将其寄送给 Google。
  • 机架和堆叠以及连接：Google 会部署您的 HSM 并配置合作伙伴互连连接。
  • 验证和移交：确认工程解决方案和 HSM 的可访问性，测试解决方案，然后签字确认。
• 支持模型
  • Google 提供机架和堆叠、托管、智能手、合规性和合作伙伴互连连接方面的支持。
  • 如需有关 HSM 软件、许可、工具和问题排查方面的支持，请与 HSM 供应商联系。
• 停用流程
  • 您提交了停用申请。
  • 您必须清除所有数据并将所有 HSM 初始化为出厂默认设置。

合规要求

此服务仅限于获得 FIPS 140-2 3 级（或更高）认证的 HSM，而不是通用主机或对接网点服务。裸金属 HSM 解决方案托管在完全符合 PCI-DSS、PCI-3DS 以及 SOC 1、2 和 3 标准的设施中。Google 将在所有区域支持您的 PCI-PIN、PCI-P2PE 和 SOC 合规性 AOC。

职责分离

您应负责获取和配置 HSM，并将其寄送到相应的 Google Cloud 区域。使用的 HSM 由您选择，但它们必须符合 HSM 设备要求。

Google 预配置机架、机架顶部开关和连接。每对机架上的开关由不同的供应商提供。对于 Bare Metal HSM 解决方案，您拥有自己的专用机架和交换机。Google 会为您的 HSM 提供机架服务，并与您一起验证合作伙伴互连连接。每个机架都有冗余电源。

访问裸金属 HSM

您对 HSM 拥有逻辑管理权限，并负责其维护和管理。您对 HSM 拥有完全的控制权。

Google 不具备对 HSM 的逻辑访问权限，但提供并维护机架、交换机和连接。Google 无权访问 HSM 上的数据或密钥。

您必须部署具有完整远程管理功能的 HSM。 当 HSM 位于托管设施中时，您无法实际访问它们。

Google 提供远程手势服务。不允许客户到访该设施。您需要自行负责满足合规性和审核要求。

在合同到期或 HSM 服务终止后，您需要提交请求来停用 HSM 并清除所有数据，或者将 HSM 恢复为出厂设置。在擦除或重置 HSM 并获得法律许可后，HSM 将退回给您或销毁（如果无法回退）。

HSM 设备要求

本部分详细介绍了在 Google 设施中托管 HSM 的 HSM 和关联线缆的物理要求。

一个机架中可以容纳的 HSM 数量取决于当前机架式交换机中可用的端口数量、占据 HSM 模型的机架单元的数量以及 HSM 的功耗。

• 电源
  • 双电源电源（每个电源最多为 16A）。
• 功率分布
  • 208V 线（对美国位置而言）。
  • Rack PDU 提供 C13 或 C19 插座。
• 电源线（由您提供）
  • Rack PDU 线端应为 C14 或 C20 连接器类型。
  • 2 x 6 英尺或 2 米（首选长度）电源线。
• 网络
  • 网络接口控制器：两个 1g 铜缆 NIC（如果适用）。
• 网线（由您提供）
  • 2 x 6 英尺或 2 米（推荐长度）CAT-5e 或更好的跳线。
• 实物尺寸
  • 机架深度：42 英寸。
  • 机架单元间距：标准 EIA-310 19 英寸机架式安装支架，带有方孔安装座。每个 HSM 最多可占用 4 个机架单元。
• 安全
  • HSM 无法配备摄像头或蓝牙等无线网络。
  • HSM 必须通过 FIPS 140-2 3 级认证或更高级别认证。
• HSM 必须可完全远程管理。

没有重量或冷却要求。

部署概览

如需获得 SLA 承诺的 99.99% 正常运行时间，您必须满足以下要求：

• 在至少两个可用区中部署 HSM，这两个可用区可以是两个不同的Google Cloud 区域，也可以是同一区域中的两个可用区（如果可用）。
• 每个可用区至少部署两个 HSM（至少两个机架中每个机架至少一个 HSM）。

您可以向 Google 提供每个 HSM 网络接口的 MAC 地址及其分配的 IP 地址。此信息可帮助 Google 验证服务器到机架的布线，并在部署过程中提供帮助问题排查。

在初始配置过程中，将与您的客户代表更详细地讨论网络要求。

网络拓扑

单个可用区内一对机架的服务等级协议 (SLA) 承诺 99.9% 的可用性。

跨两个可用区的完整部署可提供 99.99% 的 SLA 可用性承诺。这可以通过使用两个区域或（如果可用）同一区域中的两个可用区来实现。

应用应设计为利用此冗余模型。应用应该能够从可用区 1 故障切换到单个位置中的可用区 2，从 HSM 切换到 HSM。

启用全局路由功能后，位于任何位置的 HSM 都可以访问任何区域中的Google Cloud 资源。

单一合作伙伴互连连接故障不违反服务等级协议 (SLA)。

以下概要图显示了为服务实现 99.99％ 的 SLA 所需的连接。

• 每个可用区部署至少包含两个要使用的机架，并且每个机架一个交换机。
• 机架式交换机由 Google 提供，来自不同的供应商。
• 每个顶层交换机上都有一个 10G 合作伙伴互连，用于将冗余 VLAN 连接与合作伙伴互连以实现冗余 Cloud Router 路由器。
• 每个 HSM 应至少有 2 个 1GE 铜缆网络接口，并与两个架顶式交换机建立冗余连接。管理接口和数据接口都应与两个架顶式交换机建立各自的冗余连接。
• 您需要为 HSM 网络提供 IP 地址分配。
• 顶层交换机将其本地连接的子网通告给 Cloud Router 路由器对。
• 您可以在 Virtual Private Cloud (VPC) 中启用全球动态路由，以允许从已部署资源的任何 Google Cloud 区域访问 HSM。此外，为了达到 99.99％ 的可用性，您还需要使用全局动态路由。
• 机架交换机与项目中的 Cloud Router 路由器之间的 BGP 会交换可达性信息，以便在 Google Cloud 项目资源和 HSM 之间路由。

网络要求

您必须针对可用区内的每组机架完成以下步骤，才能让 Google 托管您的 HSM：

1. 使用 ASN16550 为每个可用区创建一对冗余的 Cloud Router 路由器。如需查看详细说明，请参阅创建 Cloud Router。

2. 使用上一步中的 Cloud Router 路由器，为每个可用区创建两个使用合作伙伴互连的 VLAN 连接的冗余对。在启用预先激活选项的情况下创建连接。每个可用区总共应该有四个连接。如果连接是在未启用预先激活选项的情况下创建的，则可以手动激活连接。

   如需详细了解合作伙伴互连和预先激活选项，请参阅合作伙伴互连概览。

3. 在 VPC 网络中启用全球动态路由。

   • 如需实现 99.99% 的可用性，请按照为合作伙伴互连建立 99.99% 的可用性中的步骤操作。
   • 单个可用区中的部署在第二个可用区可用之前具有 99.9% 的可用性。在这种情况下，请参阅为合作伙伴互连建立 99.9% 的可用性配置。

4. 根据需要配置防火墙规则，以允许本地和项目资源之间的流量。

位置兼容性

Bare Metal HSM 可在以下 Cloud KMS 位置使用：

与 Google 联系

此产品仅适用于具有特定业务和技术要求的客户。

如果您有兴趣使用 Google 的裸金属 HSM，请与您的客户代表联系，以寻求更多帮助。