Bare Metal Rack HSM

Questa pagina fornisce una panoramica della soluzione Bare Metal Rack HSM.

Panoramica

Bare Metal Rack HSM è un'offerta Infrastructure as a Service che consente di eseguire il deployment di rack di moduli di sicurezza hardware (HSM) di proprietà del cliente accanto ai carichi di lavoro Google Cloud. Gli HSM vengono implementati in strutture conformi allo standard PCI per soddisfare i requisiti di sicurezza, conformità e bassa latenza.

Per supportare lo spostamento dei tuoi carichi di lavoro sul cloud, Google ospita i tuoi HSM, fornendo sicurezza fisica e di rete, spazio in rack, alimentazione e integrazione di rete a un costo mensile.

Bare Metal Rack HSM ti consente di stipulare un contratto direttamente con Google per il posizionamento dei tuoi HSM. Gli HSM vengono posizionati in strutture di colocation specifiche e si connettono a Google Cloud.

La soluzione Bare Metal Rack HSM è supportata nelle strutture di colocation con reti di peering attive. Queste strutture soddisfano e superano gli standard di Google per la sicurezza dei data center e offrono un servizio ad alta disponibilità e bassa latenza.

Confronto con Bare Metal HSM

Sia Bare Metal Rack HSM che Bare Metal HSM ti consentono di ospitare i tuoi HSM nelle strutture di Google Cloud. La differenza principale tra le soluzioni Bare Metal Rack HSM e Bare Metal HSM è la scalabilità. La seguente tabella riassume le principali differenze tra queste soluzioni:

Bare Metal HSM Bare Metal Rack HSM
Google ospita i tuoi HSM su base di dispositivo. Google ospita i tuoi HSM su base rack.
Hai accesso logico ai tuoi HSM, ma nessun accesso fisico. Hai accesso logico ai tuoi HSM e puoi pianificare l'accesso fisico con scorta.
Destinato a piccoli deployment di 10-15 HSM Progettato per implementazioni su larga scala a livello di rack di almeno 100 moduli HSM

Se hai dubbi su quale di queste soluzioni sia adatta alle tue esigenze, contatta il rappresentante del tuo account.

Modello operativo

  • Procedura di onboarding
    • Contratto: minimo 12 mesi. È richiesta l'assistenza Premium.
    • Acquisto e configurazione: la tua organizzazione acquisisce, configura e spedisce gli HSM a Google.
    • Installazione in rack, accatastamento e connessione: Google esegue il deployment degli HSM e configura la connessione Partner Interconnect.
    • Convalida e trasferimento: verifica la soluzione tecnica e l'accessibilità agli HSM, testa la soluzione e firma.
  • Modello di assistenza
    • Google fornisce assistenza per rack e stack, hosting, smart hands, conformità e connessione Partner Interconnect.
    • Rivolgiti al tuo fornitore di HSM per ricevere assistenza per il software, le licenze, gli strumenti e la risoluzione dei problemi relativi agli HSM.
    • Devi avere accesso fisico ai rack in base alle esigenze.
  • Procedura di disattivazione
    • Invii una richiesta di disattivazione.
    • Devi cancellare tutti i dati e inizializzare tutti gli HSM con i valori predefiniti di fabbrica.

Requisiti di conformità

Questa offerta è limitata agli HSM con certificazione FIPS 140-2 di livello 3 o superiore e non è un servizio di hosting o colocation generalizzato. La soluzione HSM rack Bare Metal è ospitata in strutture completamente conformi a PCI-DSS, PCI-3DS e SOC 1, 2 e 3. Google supporterà la tua certificazione di conformità (AOC) per la conformità a PCI-PIN, PCI-P2PE e SOC in tutte le regioni.

Separazione delle responsabilità

È tua responsabilità ottenere e eseguire il provisioning degli HSM e spedirli alle regioni Google Cloud appropriate. Puoi scegliere gli HSM da utilizzare, ma devono essere conformi ai requisiti dell'attrezzatura HSM.

Google preconfigura i rack, gli switch top-of-rack e la connettività. Gli switch provengono da fornitori diversi per ogni coppia di rack. Per la soluzione Bare Metal Rack HSM, hai rack e switch dedicati. Google fornisce un servizio di rack per i tuoi HSM e collabora con te per verificare la connessione Partner Interconnect. Ogni rack ha alimentatori ridondanti.

Accesso agli HSM Bare Metal Rack

Hai accesso di gestione logica ai tuoi HSM e sei responsabile della loro manutenzione e gestione. Mantieni il controllo totale dei tuoi HSM.

Google non ha accesso logico ai tuoi HSM, ma fornisce e gestisce i rack, la commutazione e la connessione. Google non ha accesso ai dati o alle chiavi sui tuoi HSM.

Google fornisce un servizio di Remote Hands. Con preavviso, puoi pianificare una visita accompagnata alla struttura. Sei responsabile dei tuoi requisiti di conformità e di controllo.

Al termine del contratto o del fine del ciclo di vita dell'HSM, invii una richiesta per ritirare gli HSM e cancellare tutti i dati o ripristinare le impostazioni di fabbrica degli HSM. Dopo che gli HSM sono stati cancellati o reimpostati e che è stata ottenuta l'autorizzazione legale, gli HSM ti verranno rispediti o distrutti se non è possibile rispedirli.

Requisiti dell'attrezzatura HSM

Questa sezione descrive in dettaglio i requisiti fisici per gli HSM e i cavi associati per l'hosting degli HSM in una struttura di Google.

Il numero di HSM che possono essere installati in un rack dipende dal numero di porte disponibili nel modello attuale dello switch top-of-rack, dal numero di unità rack occupate dal modello di HSM e dal consumo di energia degli HSM.

  • Alimentazione

    • Due alimentatori CA (massimo 16 A per alimentatore).
  • Distribuzione dell'alimentazione

    • 208 V da linea a linea (per le sedi negli Stati Uniti).
    • PDU da rack che fornisce prese e connettori C13 o C19.
  • Cavi di alimentazione (da fornire dall'utente)

    • L'estremità del cavo della PDU da rack deve essere di tipo C14 o C20.
    • 2 cavi di alimentazione da 2 x 6 piedi o 2 metri (lunghezza preferita).
  • Rete

    • Controller interfaccia di rete: due NIC in rame da 1 Gbps (se applicabile).
  • Cavi di rete (da fornire dall'utente)

    • Cavi patch CAT-5e o superiori di 2 x 6 piedi o 2 metri (lunghezza preferita).
  • Dimensioni fisiche

    • Profondità del rack: 106,7 cm.
    • Distanza tra le unità di rack: supporto per rack standard EIA-310 da 19" con supporti con fori quadrati. Puoi occupare fino a 4 unità di rack per HSM.
  • Sicurezza

    • Gli HSM non devono essere dotati di videocamere o reti wireless come il Bluetooth.
    • L'HSM deve essere certificato FIPS 140-2 di livello 3 o superiore.
  • L'HSM deve essere una nuova apparecchiatura.

  • L'HSM deve essere completamente gestibile da remoto.

Non sono previsti requisiti per il peso o il raffreddamento.

Panoramica del deployment

Per ottenere un SLA (accordo sul livello del servizio) con un tempo di attività del 99,99%, devi soddisfare i seguenti requisiti:

  • Esegui il deployment degli HSM in almeno due regioni Google Cloud.
  • Esegui il deployment di almeno quattro HSM per regione (almeno due HSM per rack in almeno due rack).

Fornisci a Google l'indirizzo MAC di ogni interfaccia di rete dell'HSM e il relativo indirizzo IP assegnato. Queste informazioni aiutano Google a verificare il cablaggio del server al rack e a risolvere i problemi durante la procedura di deployment.

I requisiti di rete verranno discussi più nel dettaglio con il rappresentante dell'account durante la procedura di onboarding.

Topologia di rete

Una coppia di rack in un'unica località è coperta da uno SLA (accordo sul livello del servizio) con tempo di attività del 99,9%.

Un deployment completo in due località offre uno SLA con uptime del 99,99%.

Le applicazioni devono essere progettate per sfruttare questo modello di ridondanza. Un'applicazione deve essere in grado di eseguire il failover dalla zona 1 alla zona 2 all'interno di un'unica sede, da un HSM all'altro o da un rack all'altro.

L'attivazione della funzionalità di routing globale consente agli HSM in entrambe le sedi di raggiungere le risorse Google Cloud in qualsiasi regione.

Un singolo errore di connessione Partner Interconnect non costituisce una violazione dello SLA.

Il seguente diagramma di alto livello mostra la connettività richiesta per ottenere un SLA del 99,99% per il servizio.

Topologia di rete per gli HSM Bare Metal Rack

  • Ogni implementazione della regione contiene almeno due rack per il tuo utilizzo e un switch per rack.
  • Gli switch top-of-rack sono forniti da Google e provengono da diversi fornitori.
  • Ogni switch top-of-rack dispone di un'Partner Interconnect da 10 Gbps con collegamenti VLAN ridondanti per l'Partner Interconnect ai router cloud ridondanti.
  • Ogni HSM deve avere almeno due interfacce di rete in rame 1 GE con connessioni ridondanti a entrambi gli switch top-of-rack. Sia le interfacce di gestione sia quelle di dati devono avere connessioni ridondanti a entrambi gli switch top-of-rack.
  • Fornisci le allocazioni degli indirizzi IP per le reti HSM.
  • Gli switch top-of-rack pubblicizzano le loro sottoreti collegate localmente alla coppia di router Cloud.
  • Attiva il routing dinamico globale nel tuo Virtual Private Cloud (VPC) per consentire l'accesso agli HSM da qualsiasi regione Google Cloud in cui hai eseguito il deployment delle risorse. Per poter usufruire della disponibilità del 99,99% è necessario anche il routing dinamico globale.
  • Il protocollo BGP tra gli switch top-of-rack e i router Cloud nel tuo progetto scambia informazioni sulla raggiungibilità per il routing tra le risorse del progetto Google Cloud e gli HSM.

Requisiti di networking

Per consentire l'hosting dei tuoi HSM con Google, devi completare i seguenti passaggi per ogni serie di rack in una regione:

  1. Crea una coppia ridondante di router Cloud per regione utilizzando l'ASN 16550. Per istruzioni dettagliate, consulta Creare router Cloud.

  2. Crea due coppie ridondanti di collegamenti VLAN con Partner Interconnect per regione utilizzando i router cloud del passaggio precedente. Crea gli allegati con l'opzione di preattivazione abilitata. Dovresti avere un totale di quattro allegati per regione. Se gli allegati sono stati creati senza attivare l'opzione di preattivazione, puoi attivare le connessioni manualmente.

    Per ulteriori informazioni su Partner Interconnect e sulle opzioni di preattivazione, consulta la panoramica di Partner Interconnect.

  3. Attiva il routing dinamico globale nella rete VPC.

  4. Configura le regole del firewall in base alle esigenze per consentire il traffico tra le tue sedi e le risorse del progetto.

Contatta Google

Questo prodotto è disponibile solo per i clienti con requisiti aziendali e tecnici specifici. Questo prodotto è disponibile in regioni limitate a livello globale.

Se ti interessa l'HSM bare metal rack con Google, contatta il rappresentante del tuo account per ulteriore assistenza.