En esta página, se proporciona una descripción general de la solución Bare Metal HSM.
Descripción general
Bare Metal HSM es una oferta de infraestructura como servicio que te permite implementar módulos de seguridad de hardware (HSM) propiedad del cliente junto a tus Google Cloud cargas de trabajo. Tus HSM se implementan en instalaciones que cumplen con PCI para satisfacer tus requisitos de seguridad, cumplimiento y baja latencia.
Para admitir la migración de tus cargas de trabajo a la nube, Google aloja tus HSM, lo que proporciona seguridad física y de red, espacio para bastidores y estantes, energía e integración de red por una tarifa mensual.
Bare Metal HSM te permite contratar directamente con Google para la colocación de tus HSM. Los HSM se colocan dentro de las instalaciones de colocación especificadas y se conectan a Google Cloud.
La solución Bare Metal HSM es compatible con las instalaciones de colocación con estructuras de intercambio de tráfico activas. Estas instalaciones cumplen y superan los estándares de Google para la seguridad de los centros de datos y proporcionan un servicio de baja latencia y alta disponibilidad.
Comparación con HSM para bastidor Bare Metal
Tanto el HSM para bastidor Bare Metal como el HSM de Bare Metal te permiten alojar tus propios HSM en Google Cloud instalaciones. La diferencia principal entre las soluciones de HSM para bastidor Bare Metal y HSM de Bare Metal es la escala. En la siguiente tabla, se resumen las diferencias clave entre estas soluciones:
| HSM de Bare Metal | HSM para bastidor Bare Metal |
|---|---|
| Google aloja tus HSM por dispositivo. | Google aloja tus HSM por bastidor. |
| Tienes acceso lógico a tus HSM, pero no acceso físico. | Tienes acceso lógico a tus HSM y puedes programar el acceso físico acompañado. |
| Diseñado para implementaciones pequeñas de 10 a 15 HSM | Diseñado para implementaciones grandes a nivel de bastidor de 100 o más HSM |
Si no estás seguro de cuál de estas soluciones es adecuada para tus necesidades, comunícate con tu representante de cuenta.
Modelo operativo
- Proceso de integración
- Contrato: Mínimo de 12 meses. Se requiere asistencia premium.
- Adquisición y configuración: Tu organización adquiere, configura y envía HSM a Google.
- Colocación y conexión: Google implementa tus HSM y configura la conexión de interconexión de socio.
- Validación y entrega: Confirma la solución de ingeniería y la accesibilidad a los HSM, prueba la solución y da tu aprobación.
- Modelo de asistencia
- Google proporciona asistencia para la colocación y conexión, el alojamiento, la asistencia remota, el cumplimiento y la conexión de interconexión de socio.
- Trabaja con tu proveedor de HSM para obtener asistencia para el software, las licencias, las herramientas y la solución de problemas de HSM.
- Proceso de retiro
- Presentas una solicitud de retiro.
- Debes borrar todos los datos e inicializar todos los HSM a la configuración predeterminada de fábrica.
Requisitos de cumplimiento
Esta oferta se limita a los HSM que están certificados con el nivel 3 del estándar FIPS 140-2 o superior, y no es un servicio generalizado de alojamiento o colocación. La solución Bare Metal HSM se aloja en instalaciones que cumplen por completo con PCI-DSS, PCI-3DS y SOC 1, 2 y 3. Google admitirá tu AOC para el cumplimiento de PCI-PIN, PCI-P2PE y SOC en todas las regiones.
División de responsabilidades
Es tu responsabilidad obtener y aprovisionar HSM y enviarlos a las regiones Google Cloud adecuadas. Los HSM que se usan son tu elección, pero deben cumplir con los requisitos del equipo de HSM.
Google preconfigura los bastidores, los interruptores de la parte superior del bastidor y la conectividad. Los interruptores son de diferentes proveedores para cada par de bastidores. Para la solución Bare Metal HSM, tienes tus propios bastidores y conmutadores dedicados. Google proporciona un servicio de colocación en bastidor para tus HSM y trabaja contigo para validar la conexión de interconexión de socio. Cada bastidor tiene fuentes de alimentación redundantes.
Accede a HSM de Bare Metal
Tienes acceso lógico de administración a tus HSM y eres responsable de su mantenimiento y administración. Mantienes el control total de tus HSM.
Google no tiene acceso lógico a tus HSM, pero proporciona y mantiene los bastidores, la conmutación y la conexión. Google no tiene acceso a los datos ni a las claves de tu HSM.
Debes implementar HSM con capacidad completa de administración remota. No puedes acceder físicamente a tus HSM mientras estén en la instalación de colocación.
Google proporciona un servicio de asistencia remota. No se permiten visitas de clientes a la instalación. Eres responsable de tus propios requisitos de cumplimiento y auditoría.
Al final de tu contrato o del final del ciclo de vida del HSM, envías una solicitud para retirar los HSM y borrar todos los datos o restablecer la configuración de fábrica de los HSM. Después de que se borren o restablezcan los HSM y se obtenga la autorización legal, se te enviarán de vuelta o se destruirán si no se pueden enviar.
Requisitos del equipo de HSM
En esta sección, se detallan los requisitos físicos para los HSM y los cables asociados para alojar HSM en una instalación de Google.
La cantidad de HSM que puede caber en un bastidor dependerá de la cantidad de puertos disponibles en el modelo actual del interruptor de la parte superior del bastidor, la cantidad de unidades de bastidor que se usaron en el modelo de HSM y el consumo de energía de los HSM.
- Alimentación
- Fuentes de alimentación de CA duales (16 A como máximo por fuente de alimentación)
- Distribución de energía
- Línea de 208 V a línea (para ubicaciones en Estados Unidos)
- PDU de bastidor que proporciona receptáculos y tomacorrientes C13 o C19
- Cables de alimentación (que debes proporcionar)
- El extremo del cable de la PDU del bastidor debe ser de tipo conector C14 o C20.
- 2 cables de alimentación de 2 metros (longitud preferida)
- Red
- Controlador de interfaz de red: NIC de cobre de 1 g duales (si corresponde)
- Cables de red (que debes proporcionar)
- 2 x 6 pies (2 metros) (longitud preferida) CAT-5e o mejores cables de parche
- Dimensiones físicas
- Profundidad del bastidor: 42 pulgadas de profundidad
- Espacio entre unidades de bastidor: Montaje en bastidor estándar EIA-310 de 19" con montajes de orificios cuadrados Puedes ocupar hasta 4 unidades de bastidor por HSM.
- Seguridad
- Los HSM no se pueden equipar con cámaras ni redes inalámbricas, como Bluetooth.
- El HSM debe estar certificado con el nivel 3 del estándar FIPS 140-2 o superior.
- El HSM debe ser completamente administrable de forma remota.
No hay requisitos de peso ni enfriamiento.
Descripción general de Deployment
Para cumplir con un ANS del 99.99% de tiempo de actividad, debes cumplir con los siguientes requisitos:
- Implementa HSM en un mínimo de dos zonas, ya sean dos regiones diferentes Google Cloud o, si están disponibles, dos zonas en la misma región.
- Implementa un mínimo de dos HSM por zona (al menos un HSM por bastidor en al menos dos bastidores).
Proporciona a Google la dirección MAC de cada interfaz de red de HSM y su dirección IP asignada. Esta información ayuda a Google a verificar el cableado del servidor a la parte superior del bastidor y a solucionar problemas durante el proceso de implementación.
Los requisitos de red se analizarán con más detalle con tu representante de cuenta durante el proceso de integración.
Topología de red
Un par de bastidores en una sola zona está cubierto por un ANS del 99.9%.
Una implementación completa en dos zonas proporciona un ANS del 99.99%. Esto se puede lograr con dos regiones o, si están disponibles, dos zonas en la misma región.
Las aplicaciones deben diseñarse para aprovechar este modelo de redundancia. Una aplicación debe poder conmutar por error de la zona 1 a la zona 2 dentro de una sola ubicación, de HSM a HSM.
Si habilitas la función de enrutamiento global, los HSM de cualquier ubicación pueden llegar a los Google Cloud recursos de cualquier región.
Una sola falla de conexión de interconexión de socio no es una violación del ANS.
En el siguiente diagrama de alto nivel, se muestra la conectividad necesaria para lograr un ANS del 99.99% en el servicio.
- Cada implementación de zona contiene un mínimo de dos bastidores para tu uso y un interruptor por bastidor.
- Google proporciona los interruptores de la parte superior del bastidor, que son de diferentes proveedores.
- Cada interruptor de la parte superior del bastidor tiene una interconexión de socio de 10 G Partner Interconnect con adjuntos de VLAN redundantes para la interconexión de socio a Cloud Routers redundantes.
- Cada HSM debe tener un mínimo de 2 interfaces de red de cobre de 1 GE con conexiones redundantes a los interruptores de la parte superior del bastidor. Tanto las interfaces de administración como las de datos deben tener sus propias conexiones redundantes a los interruptores de la parte superior del bastidor.
- Proporcionas las asignaciones de direcciones IP para las redes de HSM.
- Los interruptores de parte superior de bastidor anuncian sus subredes conectadas localmente al par de Cloud Routers.
- Habilita el enrutamiento dinámico global en tu nube privada virtual (VPC) para permitir el acceso a los HSM desde cualquier Google Cloud región en la que hayas implementado recursos. También se requiere el enrutamiento dinámico global para cumplir con los requisitos de disponibilidad del 99.99%.
- El BGP entre los interruptores de la parte superior del bastidor y los Cloud Routers de tu proyecto intercambian información de accesibilidad para enrutar entre los Google Cloud recursos del proyecto y los HSM.
Requisitos de Herramientas de redes
Debes completar los siguientes pasos para cada conjunto de bastidores en una zona para permitir que tus HSM se alojen con Google:
Crea un par redundante de Cloud Routers por zona con ASN16550. Para obtener instrucciones detalladas, consulta Crea Cloud Routers.
Crea dos pares redundantes de adjuntos de VLAN con interconexión de socio por zona con los Cloud Routers del paso anterior. Crea los adjuntos con la opción de preactivación habilitada. Debe haber un total de cuatro adjuntos por zona. Si los adjuntos se crearon sin la opción de preactivación habilitada, puedes activar las conexiones de forma manual.
Para obtener más información sobre la interconexión de socio y las opciones de preactivación, consulta la Descripción general de la interconexión de socio.
Habilita el enrutamiento dinámico global en la red de VPC.
- Para lograr una disponibilidad del 99.99%, sigue los pasos que se indican en Establece la disponibilidad del 99.99% para la interconexión de socios.
- Las implementaciones en una sola zona tienen una disponibilidad del 99.9% hasta que la segunda zona esté disponible. En este caso, consulta Establece el 99.9% de disponibilidad para la interconexión de socio.
Configura las reglas de firewall según sea necesario para permitir el tráfico entre tus instalaciones y los recursos del proyecto.
Compatibilidad de ubicaciones
Bare Metal HSM está disponible en las siguientes ubicaciones de Cloud KMS:
| Área geográfica | Nombre de la ubicación | Descripción de la ubicación | Zonas por región |
|---|---|---|---|
| América | us-central1 |
Iowa | 1 |
| América | us-south1 |
Dallas | 1 |
| América | us-east4 |
Virginia del Norte | 1 |
| América | us-west1 |
Oregón | 1 |
| Europa | europe-west4 |
Países Bajos | 1 |
| Europa | europe-west3 |
Fráncfort | 1 |
| América | southamerica-west1 |
Santiago | 1 |
| América | southamerica-east1 |
São Paulo | 1 |
| Asia-Pacífico | australia-southeast1 |
Sídney | 2 |
| Asia-Pacífico | australia-southeast2 |
Melbourne | 2 |
| Oriente Medio | me-west1 |
Tel Aviv | 2 |
Comunicarse con Google
Este producto solo está disponible para clientes con requisitos comerciales y técnicos específicos.
Si te interesa el HSM de Bare Metal con Google, comunícate con tu representante de cuenta para obtener asistencia adicional.