Cette page a été traduite par l'API Cloud Translation.

Rack HSM Bare Metal

Cette page présente la solution HSM Bare Metal Rack.

Présentation

Le HSM en rack bare metal est une offre d'infrastructure en tant que service qui vous permet de déployer des racks de modules de sécurité matériels (HSM) appartenant au client à côté de vos charges de travail Google Cloud. Vos HSM sont déployés dans des installations conformes à la norme PCI pour répondre à vos exigences de sécurité, de conformité et de faible latence.

Pour faciliter le transfert de vos charges de travail vers le cloud, Google héberge vos HSM, qui fournissent une sécurité physique et réseau, un espace de rack, une alimentation et une intégration réseau moyennant des frais mensuels.

Le rack HSM Bare Metal vous permet de conclure un contrat directement avec Google pour l'installation de vos HSM. Les HSM sont placés dans des installations hébergées en colocation spécifiées et se connectent à Google Cloud.

La solution HSM Bare Metal Rack est compatible avec les installations hébergées en colocation avec des structures d'appairage actives. Ces installations répondent aux normes de sécurité de Google sur les centres de données et les dépassent, et offrent un service à haute disponibilité et à faible latence.

Comparaison avec le HSM Bare Metal

Le Bare Metal Rack HSM et le Bare Metal HSM vous permettent d'héberger vos propres HSM dans les installations Google Cloud. La principale différence entre les solutions Bare Metal Rack HSM et Bare Metal HSM réside dans l'échelle. Le tableau suivant récapitule les principales différences entre ces solutions:

HSM Bare Metal	Rack HSM Bare Metal
Google héberge vos HSM sur une base par appareil.	Google héberge vos HSM sur une base par rack.
Vous disposez d'un accès logique à vos HSM, mais pas d'accès physique.	Vous disposez d'un accès logique à vos HSM et pouvez planifier un accès physique avec escorte.
Conçu pour les petits déploiements de 10 à 15 HSM	Conçu pour les grands déploiements au niveau du rack de 100 HSM ou plus

Si vous ne savez pas quelle solution convient à vos besoins, contactez votre responsable de compte.

Modèle opérationnel

Processus d'intégration
- Contrat: 12 mois minimum. L'assistance Premium est requise.
- Approvisionnement et configuration: votre organisation acquiert, configure et expédie les HSM à Google.
- Installez, empilez et connectez: Google déploie vos HSM et configure la connexion interconnexion partenaire.
- Validation et transfert: confirmez la solution d'ingénierie et l'accessibilité aux HSM, testez la solution et signez.
Modèle d'assistance
- Google propose une assistance pour le rack et la pile, l'hébergement, les mains intelligentes, la conformité et la connexion interconnexion partenaire.
- Contactez votre fournisseur de HSM pour obtenir de l'aide concernant les logiciels, les licences, les outils et le dépannage des HSM.
- Vous avez accès physiquement à vos racks si nécessaire.
Processus de mise hors service
- Vous envoyez une demande de mise hors service.
- Vous devez effacer toutes les données et rétablir la configuration d'usine de tous les HSM.

Exigences de conformité

Cette offre est limitée aux HSM certifiés FIPS 140-2 de niveau 3 (ou supérieur) et n'est pas un service d'hébergement ou de colocation généralisé. La solution HSM Bare Metal Rack est hébergée dans des installations entièrement conformes aux normes PCI-DSS, PCI-3DS et SOC 1, 2 et 3. Google prend en charge votre AOC pour la conformité PCI-PIN, PCI-P2PE et SOC dans toutes les régions.

Séparation des responsabilités

Il vous incombe d'obtenir et de provisionner les HSM, puis de les expédier aux régions Google Cloud appropriées. Les HSM utilisés sont de votre choix, mais ils doivent être conformes aux exigences concernant l'équipement HSM.

Google préconfigure les racks, les commutateur top-of-rack et la connectivité. Les commutateurs proviennent de fournisseurs différents pour chaque paire de racks. Pour la solution HSM Bare Metal Rack, vous disposez de vos propres racks et commutateurs dédiés. Google fournit un service de rack pour vos HSM et vous aide à valider la connexion interconnexion partenaire. Chaque rack dispose d'alimentations redondantes.

Accéder aux HSM Bare Metal Rack

Vous disposez d'un accès logique à vos HSM et êtes responsable de leur maintenance et de leur gestion. Vous conservez un contrôle total sur vos HSM.

Google n'a pas d'accès logique à vos HSM, mais fournit et gère les racks, les commutateurs et la connexion. Google n'a pas accès aux données ni aux clés de vos HSM.

Google fournit un service de prise en main à distance. Si vous le souhaitez, vous pouvez planifier une visite guidée de l'installation. Vous êtes responsable de vos propres exigences en termes de conformité et d'audit.

À la fin de votre contrat ou à la fin de vie des HSM, vous envoyez une demande de mise hors service des HSM et de suppression de toutes les données ou de restauration des paramètres d'usine des HSM. Une fois les HSM effacés ou réinitialisés et l'autorisation légale obtenue, ils vous seront renvoyés ou détruits s'ils ne peuvent pas être expédiés.

Exigences concernant l'équipement HSM

Cette section détaille les exigences physiques concernant les HSM et les câbles associés pour l'hébergement des HSM dans une installation Google.

Le nombre de HSM pouvant être intégrés dans un rack dépend du nombre de ports disponibles dans le modèle actuel de commutateurs top-of-rack, du nombre d'unités de rack utilisables par le modèle HSM et de la puissance absorbée par les HSM.

Alimentation
- 2 adaptateurs secteur (16 A maximum par source d'alimentation).
Distribution électrique
- Ligne 208 V (pour les États-Unis).
- PDU rack fournissant des prises et des sorties C13 ou C19.
Câbles d'alimentation (à fournir).
- L'extrémité du câble de rack PDU doit être de type C14 ou C20.
- Câbles d'alimentation de 2 mètres (longueur recommandée).
Réseau
- Contrôleur d'interface réseau : 2 cartes d'interface réseau en cuivre 1 g (le cas échéant).
Câbles réseau (à fournir).
- Câbles de raccordement de 5e catégorie ou plus de 2 mètres (longueur recommandée) 2 x 6 pieds (0,61 x 1,83 m) ou plus.
Dimensions physiques
- Profondeur de rack : 42 pouces (107 mm).
- Espacement des racks: montage standard EIA-310 19' (48,26 cm) avec supports carrés. Vous pouvez occuper jusqu'à quatre unités de rack par HSM.
Sécurité
- Les HSM ne doivent pas être équipés de caméras ni de réseaux sans fil tels que Bluetooth.
- Le HSM doit être certifié FIPS 140-2 de niveau 3 (ou supérieur).
Le HSM doit être un nouvel équipement.
Le HSM doit être entièrement gérable.

Aucune pondération n'est requise concernant le poids ou le refroidissement.

Présentation du déploiement

Pour bénéficier d'un contrat de niveau de service garantissant une disponibilité de 99,99 %, vous devez remplir les conditions suivantes:

Déployez des HSM dans au moins deux régions Google Cloud.
déployer au moins quatre HSM par région (au moins deux HSM par rack dans au moins deux racks).

Vous fournissez à Google l'adresse MAC de chaque interface réseau HSM et l'adresse IP qui lui est attribuée. Ces informations aident Google à vérifier le câblage serveur à commutateurs top-of-rack et facilitent le dépannage pendant le processus de déploiement.

Les exigences du réseau seront évaluées plus en détail avec votre responsable de compte lors du processus d'intégration.

Topologie du réseau

Une paire de racks à un seul emplacement est couverte par un contrat de niveau de service garantissant une disponibilité de 99,9 %.

Un déploiement complet entre deux emplacements est couvert par un contrat de niveau service garantissant une disponibilité de 99,99 %.

Les applications doivent être conçues pour exploiter ce modèle de redondance. Une application doit pouvoir basculer de la zone 1 vers la zone 2 au sein d'un emplacement unique, d'un HSM à un autre ou d'un rack à un autre.

L'activation de la fonctionnalité de routage global permet aux HSM, quel que soit leur emplacement, d'atteindre les ressources Google Cloud de n'importe quelle région.

Une défaillance de connexion interconnexion partenaire unique ne constitue pas une violation du contrat de niveau de service.

Le schéma de haut niveau suivant montre la connectivité requise pour obtenir un contrat de niveau de service garantissant une disponibilité de 99,99 %.

Topologie de réseau pour les HSM Bare Metal en rack

Chaque déploiement régional contient au moins deux racks pour votre utilisation et un commutateur par rack.
Les commutateurs top-of-rack sont fournis par Google et proviennent de différents fournisseurs.
Chaque commutateur top-of-rack dispose d'une interconnexion partenaire 10G avec des rattachements de VLAN redondants assurant la redondance de l'interconnexion partenaire avec les routeurs cloud.
Chaque HSM doit disposer d'au moins deux interfaces réseau en cuivre 1GE avec des connexions redondantes aux deux commutateurs top-of-rack. Les interfaces de gestion et de données doivent disposer de leurs propres connexions redondantes aux deux commutateurs top-of-rack.
Vous fournissez les attributions d'adresses IP pour les réseaux HSM.
Les commutateurs top-of-rack annoncent leurs sous-réseaux associés localement à la paire de routeurs cloud.
Vous activez le routage dynamique global dans votre cloud privé virtuel (VPC) pour autoriser l'accès aux HSM depuis n'importe quelle région Google Cloud où vous avez déployé des ressources. Le routage dynamique global est également requis pour bénéficier d'une disponibilité de 99,99 %.
Le protocole BGP entre les commutateurs top-of-rack et les routeurs cloud de votre projet échange des informations de joignabilité pour le routage entre les ressources du projet Google Cloud et les HSM.

Exigences de mise en réseau

Pour permettre l'hébergement de vos HSM par Google, vous devez suivre les étapes suivantes pour chaque ensemble de racks d'une région:

Créez une paire redondante de routeurs cloud par région avec le numéro ASN16550. Pour obtenir des instructions détaillées, consultez la section Créer des Cloud Routers.
Créez deux paires redondantes de rattachements de VLAN avec une interconnexion partenaire par région à l'aide des routeurs cloud de l'étape précédente. Créez les pièces jointes avec l'option de pré-activation activée. Vous devez créer un total de quatre pièces jointes par région. Si les rattachements ont été créés sans l'option de pré-activation activée, vous pouvez activer les connexions manuellement.

Pour en savoir plus sur l'interconnexion partenaire et les options de pré-activation, consultez la page Présentation de l'interconnexion partenaire.
Activez le routage dynamique global dans le réseau VPC.
- Pour obtenir une disponibilité de 99,99 %, suivez les étapes décrites dans la section Établir une disponibilité de 99,99 % pour l'interconnexion partenaire.
- Les déploiements dans une seule région offrent une disponibilité de 99,9 % jusqu'à ce que la deuxième région soit disponible. Dans ce cas, consultez la section Établir une disponibilité de 99,9% pour l'interconnexion partenaire.
  
  Remarque :Les régions Mexico, Montréal et Osaka comportent trois zones dans un ou deux centres de données physiques. Ces régions sont en cours d'extension à au moins trois centres de données physiques. Pour en savoir plus, consultez les pages Zones Cloud et Contrats de niveau de service Google Cloud Platform. Pour améliorer la fiabilité de vos charges de travail, envisagez un déploiement multirégional.
Configurez des règles de pare-feu si nécessaire pour autoriser le trafic entre vos ressources de site et de projet.

Contacter Google

Ce produit n'est disponible que pour les clients ayant des exigences commerciales et techniques spécifiques. Ce produit n'est disponible que dans certaines régions du monde.

Si vous souhaitez utiliser un HSM Bare Metal en rack avec Google, contactez votre responsable de compte pour obtenir de l'aide.