Cette page présente la solution HSM Bare Metal.
Présentation
HSM Bare Metal est une offre d'infrastructure en tant que service qui vous permet de déployer des modules de sécurité matériels (HSM) appartenant au client à côté de vos Google Cloud charges de travail. Vos HSM sont déployés dans des installations conformes à la norme PCI pour répondre à vos exigences de sécurité, de conformité et de faible latence.
Pour faciliter le transfert de vos charges de travail vers le cloud, Google héberge vos HSM, qui fournissent une sécurité physique et réseau, un espace de rack et d'étagère, une alimentation et une intégration réseau moyennant des frais mensuels.
HSM Bare Metal vous permet de conclure un contrat directement avec Google pour l'installation de vos HSM. Les HSM sont placés dans des installations hébergées en colocation spécifiées et se connectent à Google Cloud.
La solution HSM Bare Metal est compatible avec les installations hébergées en colocation avec des structures d'appairage actives. Ces installations répondent aux normes de sécurité de Google sur les centres de données et les dépassent, et offrent un service à disponibilité élevée et à faible latence.
Comparaison avec le rack HSM Bare Metal
Le rack HSM Bare Metal et le HSM Bare Metal vous permettent d'héberger vos propres HSM dans Google Cloud desinstallations. La principale différence entre les solutions de rack HSM Bare Metal et de HSM Bare Metal est l'échelle. Le tableau suivant récapitule les principales différences entre ces solutions :
| HSM Bare Metal | Rack HSM Bare Metal |
|---|---|
| Google héberge vos HSM par appareil. | Google héberge vos HSM par rack. |
| Vous disposez d'un accès logique à vos HSM, mais pas d'accès physique. | Vous disposez d'un accès logique à vos HSM et pouvez planifier un accès physique accompagné. |
| Conçu pour les petits déploiements de 10 à 15 HSM | Conçu pour les déploiements à grande échelle au niveau du rack de 100 HSM ou plus |
Si vous ne savez pas quelle solution correspond le mieux à vos besoins, contactez votre responsable de compte.
Modèle opérationnel
- Processus d'intégration
- Contrat : 12 mois minimum. L'assistance Premium est requise.
- Achat et configuration : votre organisation acquiert, configure et expédie les HSM à Google.
- Rack, empilage et connexion : Google déploie vos HSM et configure la connexion interconnexion partenaire.
- Validation et transfert : confirmez la solution d'ingénierie et l'accessibilité aux HSM, testez la solution et validez-la.
- Modèle d'assistance
- Google fournit une assistance pour le rack et l'empilage, l'hébergement, les mains intelligentes, la conformité et la connexion interconnexion partenaire.
- Collaborez avec votre fournisseur de HSM pour obtenir de l'aide concernant les logiciels, les licences, les outils et le dépannage des HSM.
- Processus de mise hors service
- Vous envoyez une demande de mise hors service.
- Vous devez effacer toutes les données et rétablir la configuration d'usine de tous les HSM.
Exigences de conformité
Cette offre est limitée aux HSM certifiés FIPS 140-2 de niveau 3 ou supérieur et n'est pas un service d'hébergement ou de colocation généralisé. La solution HSM Bare Metal est hébergée dans des installations entièrement conformes aux normes PCI DSS, PCI-3DS et SOC 1, 2 et 3. Google prendra en charge votre attestation de conformité pour les normes PCI-PIN, PCI-P2PE et SOC dans toutes les régions.
Séparation des responsabilités
Il vous incombe d'obtenir et de provisionner les HSM, puis de les expédier aux régions Google Cloud appropriées. Vous choisissez les HSM utilisés, mais ils doivent être conformes aux exigences concernant l'équipement HSM.
Google préconfigure les racks, les commutateur top-of-rack et la connectivité. Les commutateurs proviennent de fournisseurs différents pour chaque paire de racks. Pour la solution HSM Bare Metal, vous disposez de vos propres racks et commutateurs dédiés. Google fournit un service de rack pour vos HSM et vous aide à valider la connexion interconnexion partenaire. Chaque rack dispose d'alimentations redondantes.
Accéder au HSM Bare Metal
Vous disposez d'un accès logique à vos HSM et êtes responsable de leur maintenance et de leur gestion. Vous conservez un contrôle total sur vos HSM.
Google n'a pas d'accès logique à vos HSM, mais fournit et gère les racks, les commutateurs et la connexion. Google n'a pas accès aux données ni aux clés de votre HSM.
Vous devez déployer des HSM avec une fonctionnalité de gestion à distance complète. Vous ne pouvez pas accéder physiquement à vos HSM lorsqu'ils se trouvent dans l'installation hébergée en colocation.
Google fournit un service de prise en main à distance. Les visites des clients dans l'installation ne sont pas autorisées. Vous êtes responsable de vos propres exigences en matière de conformité et d'audit.
À la fin de votre contrat ou à la fin de vie du HSM, vous envoyez une demande de mise hors service des HSM et d'effacement de toutes les données, ou de rétablissement de la configuration d'usine des HSM. Une fois les HSM effacés ou réinitialisés et l'autorisation légale obtenue, ils vous seront renvoyés ou détruits s'ils ne peuvent pas être expédiés.
Exigences concernant l'équipement HSM
Cette section détaille les exigences physiques concernant les HSM et les câbles associés pour l'hébergement des HSM dans une installation Google.
Le nombre de HSM pouvant être intégrés dans un rack dépend du nombre de ports disponibles dans le modèle actuel de commutateurs top-of-rack, du nombre d'unités de rack utilisables par le modèle HSM et de la puissance absorbée par les HSM.
- Alimentation
- 2 adaptateurs secteur (16 A maximum par source d'alimentation).
- Distribution électrique
- Ligne 208 V (pour les États-Unis).
- Rack PDU permettant d'alimenter des prises/sortie C13 ou C19.
- Câbles d'alimentation (à fournir par vos soins)
- L'extrémité du câble de rack PDU doit être de type C14 ou C20.
- Câbles d'alimentation de 2 mètres (longueur recommandée).
- Réseau
- Contrôleur d'interface réseau : 2 cartes d'interface réseau en cuivre 1 g (le cas échéant).
- Câbles réseau (à fournir par vos soins)
- Câbles de raccordement de 5e catégorie ou plus de 2 mètres (longueur recommandée) 2 x 6 pieds (0,61 x 1,83 m) ou plus.
- Dimensions physiques
- Profondeur de rack : 42 pouces (107 mm).
- Espacement des racks : montage standard EIA-310 19' (48,26 cm) avec supports carrés. Vous pouvez occuper jusqu'à quatre unités de rack par HSM.
- Sécurité
- Les HSM ne peuvent pas être équipés de caméras ou de réseaux sans fil tels que Bluetooth.
- Le HSM doit être certifié FIPS 140-2 de niveau 3 ou supérieur.
- Le HSM doit être entièrement gérable.
Aucune pondération n'est requise concernant le poids ou le refroidissement.
Présentation du déploiement
Pour bénéficier d'un contrat de niveau de service garantissant une disponibilité de 99,99 %, vous devez répondre aux exigences suivantes :
- Déployez des HSM dans au moins deux zones : deux régions différentes Google Cloud ou, le cas échéant, deux zones dans la même région.
- Déployez au moins deux HSM par zone (au moins un HSM par rack dans au moins deux racks).
Vous fournissez à Google l'adresse MAC de chaque interface réseau HSM et l'adresse IP qui lui est attribuée. Ces informations aident Google à vérifier le câblage serveur à commutateurs top-of-rack et facilitent le dépannage pendant le processus de déploiement.
Les exigences du réseau seront évaluées plus en détail avec votre responsable de compte lors du processus d'intégration.
Topologie du réseau
Une paire de racks dans une seule zone est couverte par un contrat de niveau de service garantissant une disponibilité de 99,9 %.
Un déploiement complet entre deux zones est couvert par un contrat de niveau service garantissant une disponibilité de 99,99 %. Vous pouvez y parvenir en utilisant deux régions ou, le cas échéant, deux zones dans la même région.
Les applications doivent être conçues pour exploiter ce modèle de redondance. Une application doit pouvoir basculer de la zone 1 vers la zone 2 au sein d'un même emplacement, d'un HSM à un autre.
L'activation de la fonctionnalité de routage global permet aux HSM, quel que soit leur emplacement, d'atteindre Google Cloud les ressources de n'importe quelle région.
Une défaillance d'interconnexion partenaire unique ne constitue pas une violation du contrat de niveau de service.
Le schéma de haut niveau suivant montre la connectivité requise pour obtenir un SLA de 99,99 % sur le service.
- Chaque déploiement de zone contient au moins deux racks à votre disposition et un commutateur par rack.
- Les commutateurs top-of-rack sont fournis par Google et proviennent de différents fournisseurs.
- Chaque commutateur top-of-rack dispose d'une interconnexion partenaire 10G Partner Interconnect avec des rattachements de VLAN redondants assurant la redondance de l'interconnexion partenaire avec les routeurs cloud.
- Chaque HSM doit disposer d'au moins deux interfaces réseau en cuivre 1GE avec des connexions redondantes aux deux commutateurs top-of-rack. Les interfaces de gestion et de données doivent avoir leurs propres connexions redondantes aux deux commutateurs top-of-rack.
- Vous fournissez les attributions d'adresses IP pour les réseaux HSM.
- Les commutateurs top-of-rack annoncent leurs sous-réseaux associés localement à la paire de routeurs cloud.
- Vous activez le routage dynamique global dans votre cloud privé virtuel (VPC) pour autoriser l’accès aux HSM depuis n’importe quelle Google Cloud région où vous avez déployé des ressources. Le routage dynamique global est également requis pour bénéficier d'une disponibilité de 99,99 %.
- Le protocole BGP entre les commutateurs top-of-rack et les routeurs cloud de votre projet échange des informations de joignabilité pour le routage entre Google Cloud les ressources du projet et les HSM.
Exigences de mise en réseau
Vous devez suivre les étapes ci-dessous pour chaque ensemble de racks d'une zone afin d'héberger vos HSM avec Google :
Créez une paire redondante de routeurs cloud par zone avec le numéro ASN16550. Pour obtenir des instructions détaillées, consultez la section Créer des routeurs Cloud Router.
Créez deux paires redondantes de rattachements de VLAN avec Partner Interconnect par zone à l'aide des routeurs cloud de l'étape précédente. Créez les rattachements avec l'option de pré-activation activée. Il doit y avoir un total de quatre rattachements par zone. Si les rattachements ont été créés sans l'option de pré-activation activée, vous pouvez activer les connexions manuellement.
Pour en savoir plus sur l'interconnexion partenaire et les options de pré-activation, consultez la page Présentation de l'interconnexion partenaire.
Activez le routage dynamique global dans le réseau VPC.
- Pour obtenir une disponibilité de 99,99 %, suivez les étapes décrites sur la page Établir une disponibilité de 99,99 % pour Partner Interconnect.
- Les déploiements dans une seule zone ont une disponibilité de 99,9 % jusqu'à ce que la deuxième zone soit disponible. Dans le cas présent, consultez la section Établir une disponibilité de 99,9 % pour l' interconnexion partenaire.
Configurez des règles de pare-feu si nécessaire pour autoriser le trafic entre vos ressources de site et de projet.
Compatibilité de l'emplacement
Le HSM Bare Metal est disponible dans les emplacements Cloud KMS suivants :
| Zone géographique | Nom du lieu | Description de l'emplacement | Zones par région |
|---|---|---|---|
| Amériques | us-central1 |
Iowa | 1 |
| Amériques | us-south1 |
Dallas | 1 |
| Amériques | us-east4 |
Virginie du Nord | 1 |
| Amériques | us-west1 |
Oregon | 1 |
| Europe | europe-west4 |
Pays-Bas | 1 |
| Europe | europe-west3 |
Francfort | 1 |
| Amériques | southamerica-west1 |
Santiago | 1 |
| Amériques | southamerica-east1 |
São Paulo | 1 |
| Asie-Pacifique | australia-southeast1 |
Sydney | 2 |
| Asie-Pacifique | australia-southeast2 |
Melbourne | 2 |
| Moyen-Orient | me-west1 |
Tel Aviv | 2 |
Contacter Google
Ce produit n'est disponible que pour les clients ayant des exigences commerciales et techniques spécifiques.
Si vous êtes intéressé par le HSM Bare Metal avec Google, contactez votre responsable de compte pour obtenir de l'aide.