本頁面提供 Bare Metal HSM 解決方案的總覽。

總覽

Bare Metal HSM 是基礎架構即服務產品，可讓您在Google Cloud 工作負載旁部署客戶擁有的硬體安全性模組 (HSM)。您的 HSM 會部署在符合 PCI 規範的設施中，以滿足安全性、法規遵循和低延遲需求。

為協助您將工作負載遷移至雲端，Google 會代管 HSM，並提供實體和網路安全、機架和層架空間、電力，以及網路整合服務，每月收取費用。

透過 Bare Metal HSM，您可以直接與 Google 簽約，將 HSM 放置在 Google 設施中。HSM 放置在指定的主機代管機房內，並連線至Google Cloud。

Bare Metal HSM 解決方案支援具有有效對等互連網狀架構的共置設施。這些設施符合甚至超越 Google 的資料中心安全標準，可提供低延遲、高可用性的服務。

與 Bare Metal Rack HSM 的比較

Bare Metal Rack HSM 和 Bare Metal HSM 都可讓您在 Google Cloud 設施中託管自己的 HSM。Bare Metal Rack HSM 和 Bare Metal HSM 解決方案的主要差異在於規模。下表摘要列出這兩種解決方案的主要差異：

Bare Metal HSM	Bare Metal Rack HSM
Google 會為每部裝置代管 HSM。	Google 會以機架為單位代管 HSM。
您擁有 HSM 的邏輯存取權，但沒有實體存取權。	您擁有 HSM 的邏輯存取權，且可以安排專人陪同的實體存取。
適用於10 到 15 個 HSM 的小型部署作業	適用於100 個以上 HSM 的大型機架層級部署作業

如果不確定哪種解決方案最符合需求，請洽詢您的帳戶代表。

作業模式

• 新手上路流程
  • 合約：至少 12 個月。必須付費訂閱。
  • 採購和設定：貴機構採購、設定 HSM，然後運送至 Google。
  • 裝設機架並堆疊，然後連線：Google 會部署 HSM 並設定合作夥伴互連網路連線。
  • 驗證與移交：確認工程解決方案和 HSM 的存取權，測試解決方案並簽署。
• 支援模式
  • Google 提供機架和堆疊、主機代管、智慧型手部、法規遵循和合作夥伴互連網路連線支援。
  • 如需 HSM 軟體、授權、工具和疑難排解方面的支援，請洽詢 HSM 供應商。
• 停用程序
  • 您提出停用要求。
  • 您必須清除所有資料，並將所有 HSM 初始化為原廠預設狀態。

法規遵循規定

這項服務僅適用於通過 FIPS 140-2 第 3 級認證的 HSM，並非一般主機代管或共置服務。Bare Metal HSM 解決方案託管於完全符合 PCI-DSS、PCI-3DS 和 SOC 1、2 和 3 規範的設施。Google 會在所有區域支援您的 PCI-PIN、PCI-P2PE 和 SOC 法規遵循 AOC。

責任分離

您必須負責取得及佈建 HSM，並將其運送至適當的 Google Cloud 區域。您可以選擇使用的 HSM，但必須符合 HSM 設備需求。

Google 會預先設定機架、機架頂端交換器和連線。每對機架的交換器來自不同供應商。如果是 Bare Metal HSM 解決方案，您會有專屬機架和交換器。Google 會為 HSM 提供機架服務，並與您合作驗證合作夥伴互連網路連線。每個機架都有備援電源供應器。

存取 Bare Metal HSM

您擁有 HSM 的邏輯管理存取權，並負責維護及管理 HSM。您可以完全掌控 HSM。

Google 無法以邏輯方式存取 HSM，但會提供並維護機架、交換器和連線。Google 無法存取 HSM 中的資料或金鑰。

您必須部署具備完整遠端管理功能的 HSM。HSM 位於主機代管設施時，您無法實際存取。

Google 提供遠端支援服務。顧客不得前往該設施。您必須自行負責遵守法規及稽核要求。

在合約到期或 HSM 停用時，您需要提交要求，停用 HSM 並清除所有資料，或將 HSM 恢復原廠設定。HSM 經過清除或重設並取得法律許可後，我們會將 HSM 寄回給您，或在無法寄回的情況下銷毀。

HSM 設備需求

本節詳細說明在 Google 設施中託管 HSM 時，HSM 和相關纜線的實體需求。

機架可容納的 HSM 數量取決於機架頂端交換器目前型號的可用連接埠數量、HSM 型號占用的機架單元數量，以及 HSM 的耗電量。

• 電源
  • 雙 AC 電源供應器 (每個電源供應器最大 16 安培)。
• 配電
  • 208V 線對線 (適用於美國境內地點)。
  • 機架 PDU，提供 C13 或 C19 插座和插孔。
• 電源線 (由你提供)
  • 機架 PDU 電源線的接頭應為 C14 或 C20 類型。
  • 2 條 6 英尺或 2 公尺 (建議長度) 的電源線。
• 網路
  • 網路介面控制器：雙 1g 銅質 NIC (如適用)。
• 網路線 (由你提供)
  • 2 條 6 英尺或 2 公尺 (建議長度) 的 CAT-5e 以上規格跳線。
• 實體尺寸
  • 機架深度：42 吋。
  • 機架單元間距：標準 EIA-310 19 吋機架，搭配方孔支架。每個 HSM 最多可佔用 4 個機架單元。
• 安全性
  • HSM 無法配備攝影機或無線網路，例如藍牙。
  • HSM 必須通過 FIPS 140-2 第 3 級認證或更高。
• HSM 必須可從遠端完整管理。

重量或冷卻沒有相關規定。

部署作業總覽

如要符合 99.99% 正常運作時間服務水準協議的資格，您必須符合下列條件：

• 在至少兩個區域中部署 HSM，可以是兩個不同的Google Cloud 區域，也可以是同一區域中的兩個區域 (如有)。
• 每個可用區至少部署兩個 HSM (至少兩個機架，每個機架至少一個 HSM)。

您需要提供每個 HSM 網路介面的 MAC 位址和指派的 IP 位址給 Google。這項資訊可協助 Google 驗證伺服器到機架頂端的纜線，並在部署過程中協助排解問題。

新手上路期間，帳戶代表會與您詳細討論網路需求。

網路拓撲

單一可用區中的一對機架可享有 99.9% 的服務水準協議。

在兩個可用區全面部署可提供 99.99% 的服務水準協議。這項作業可透過兩個區域達成，或在可用的情況下，透過同一個區域中的兩個可用區達成。

應用程式的設計應能善用這項備援模型。應用程式應能從單一位置的區域 1 容錯移轉至區域 2，並從 HSM 容錯移轉至 HSM。

啟用全域轉送功能後，任一位置的 HSM 都能連線至Google Cloud 任何區域的資源。

單一合作夥伴互連網路連線故障不會違反服務水準協議。

下圖顯示服務必須具備的連線能力，才能達到 99.99% 的服務水準協議。

• 每個區域部署作業至少包含兩個機架供您使用，每個機架各有一個交換器。
• 機架頂端交換器由 Google 提供，來自不同供應商。
• 每個機架頂端交換器都有一個 10G 合作夥伴互連網路，並具備合作夥伴互連網路的備援 VLAN 連結，可連至備援 Cloud Router。
• 每個 HSM 至少應有 2 個 1GE 銅質網路介面，並與兩個機架頂端交換器建立備援連線。管理和資料介面都應各自與機架頂端交換器建立備援連線。
• 您要提供 HSM 網路的 IP 位址分配。
• 機架頂端交換器會向這對 Cloud Router 通告本機連線的子網路。
• 在虛擬私有雲 (VPC) 中啟用全域動態轉送，即可從部署資源的任何 Google Cloud 區域存取 HSM。如要達到 99.99% 的可用性，也必須使用全域動態轉送。
• 機架頂端交換器與專案中的 Cloud Router 之間的 BGP 會交換可連線資訊，以便在 Google Cloud 專案資源和 HSM 之間轉送。

網路需求

如要讓 Google 代管 HSM，您必須為每個區域的每組機架完成下列步驟：

1. 使用 ASN16550，為每個區域建立一對備援 Cloud Router。如需詳細操作說明，請參閱「建立 Cloud Router」。

2. 使用上一步中的 Cloud Router，為每個區域建立兩組備援的合作夥伴互連網路 VLAN 連結。建立附件時，請啟用預先啟動選項。每個區域應有四個附件。如果是在未啟用預先啟動選項的情況下建立附件，可以手動啟用連結。

   如要進一步瞭解合作夥伴互連網路和啟用前選項，請參閱合作夥伴互連網路總覽。

3. 在 VPC 網路中啟用全域動態轉送。

   • 如要達到 99.99% 的可用性，請按照「為合作夥伴互連網路建立 99.99% 的可用性」一文中的步驟操作。
   • 在第二個可用區上線前，單一可用區的部署作業可用性為 99.9%。如要瞭解如何達成這個目標，請參閱「為合作夥伴互連網路建立 99.9% 的可用性」一文。

4. 視需要設定防火牆規則，允許內部部署環境與專案資源之間的流量。

地點相容性

Bare Metal HSM 適用於下列 Cloud KMS 位置：

與 Google 聯絡

這項產品僅適用於符合特定業務和技術需求的客戶。

如要瞭解如何透過 Google 使用 Bare Metal HSM，請與您的帳戶代表聯絡，取得進一步協助。