Esta página oferece uma visão geral da solução Bare Metal HSM.
Visão geral
O Bare Metal HSM é uma oferta de infraestrutura como serviço que permite implantar módulos de segurança de hardware (HSMs) de propriedade do cliente ao lado das Google Cloud cargas de trabalho. Os HSMs são implantados em instalações compatíveis com PCI para atender aos requisitos de segurança, conformidade e baixa latência.
Para oferecer suporte à migração das cargas de trabalho para a nuvem, o Google hospeda os HSMs, oferecendo segurança física e de rede, espaço em rack e prateleira, energia e integração de rede por uma taxa mensal.
O Bare Metal HSM permite que você contrate diretamente com o Google para a colocação dos HSMs. Os HSMs são colocados dentro das instalações de colocation especificadas e se conectam ao Google Cloud.
A solução Bare Metal HSM é compatível com instalações de colocation com temas de peering ativos. Essas instalações atendem e excedem os padrões do Google para segurança de data center e fornecem serviço altamente disponível e de baixa latência.
Comparação com o Rack Bare Metal HSM
O Rack Bare Metal HSM e o Bare Metal HSM permitem hospedar seus próprios HSMs em Google Cloud instalações. A principal diferença entre as soluções Rack Bare Metal HSM e Bare Metal HSM é a escala. A tabela a seguir resume as principais diferenças entre essas soluções:
| Bare Metal HSM | Rack Bare Metal HSM |
|---|---|
| O Google hospeda seus HSMs por dispositivo. | O Google hospeda seus HSMs por rack. |
| Você tem acesso lógico aos HSMs, mas não tem acesso físico. | Você tem acesso lógico aos HSMs e pode agendar acesso físico acompanhado. |
| Destinado a pequenas implantações de 10 a 15 HSMs | Destinado a grandes implantações no nível do rack de 100 ou mais HSMs |
Se você não tiver certeza de qual dessas soluções é adequada às suas necessidades, entre em contato com seu representante de conta.
Modelo operacional
- Processo de integração
- Contrato: mínimo de 12 meses. O suporte Premium é obrigatório.
- Aquisição e configuração: sua organização adquire, configura e envia HSMs para o Google.
- Rack, pilha e conexão: o Google implanta seus HSMs e configura a conexão da Interconexão por parceiro.
- Validação e transferência: confirme a solução de engenharia e a acessibilidade aos HSMs, teste a solução e faça o sign-off.
- Modelo de suporte
- O Google oferece suporte para rack e pilha, hospedagem, mãos inteligentes, conformidade e conexão da Interconexão por parceiro.
- Trabalhe com o fornecedor do HSM para receber suporte para software, licenciamento, ferramentas e solução de problemas do HSM.
- Processo de desativação
- Você envia uma solicitação de desativação.
- É necessário apagar todos os dados e inicializar todos os HSMs para a configuração original.
Requisitos de conformidade
Esta oferta é limitada a HSMs com certificação FIPS 140-2 de nível 3 ou mais recente e não é um serviço generalizado de hospedagem ou colocation. A solução Bare Metal HSM é hospedada em instalações totalmente compatíveis com PCI-DSS, PCI-3DS e SOC 1, 2 e 3. O Google vai oferecer suporte ao seu AOC para conformidade com PCI-PIN, PCI-P2PE e SOC em todas as regiões.
Separação de responsabilidades
Você é responsável por receber e provisionar os HSMs e enviá-los às regiões adequadas Google Cloud . Os HSMs usados são de sua escolha, mas precisam atender aos requisitos de equipamento HSM.
O Google pré-configura os racks, os interruptores na parte superior do rack e a conectividade. As chaves são de diferentes fornecedores para cada par de racks. Para a solução Bare Metal HSM, você tem seus próprios racks e interruptores dedicados. O Google fornece um serviço de rack para seus HSMs e trabalha com você para validar a conexão da Interconexão por parceiro. Cada rack tem fontes de alimentação redundantes.
Como acessar o Bare Metal HSM
Você tem acesso de gerenciamento lógico aos HSMs e é responsável pela manutenção e pelo gerenciamento deles. Você mantém o controle total dos HSMs.
O Google não tem acesso lógico aos HSMs, mas fornece e mantém os racks, a alternância e a conexão. O Google não tem acesso aos dados ou chaves no HSM.
É necessário implantar HSMs com capacidade completa de gerenciamento remoto. Não é possível acessar fisicamente os HSMs enquanto eles estiverem na instalação de colocation.
O Google oferece um serviço de mãos remotas. Não são permitidas visitas de clientes à instalação. Você é responsável pelos seus próprios requisitos de conformidade e auditoria.
No final do contrato ou do fim da vida útil do HSM, envie uma solicitação para desativar os HSMs e apagar todos os dados ou restaurar os HSMs para as configurações originais. Depois que os HSMs forem apagados ou redefinidos e a autorização legal for obtida, eles serão enviados de volta a você ou destruídos se não puderem ser reenviados.
Requisitos de equipamento do HSM
Nesta seção, detalhamos os requisitos físicos para HSMs e cabos associados para hospedagem de HSMs em uma instalação do Google.
O número de HSMs que podem caber em um rack depende do número de portas disponíveis no modelo atual do switch de topo de rack, do número de unidades de rack ocupadas pelo modelo do HSM e do consumo de energia dos HSMs.
- Energia
- Fontes de alimentação CA duplas (máximo de 16 A por fonte de alimentação).
- Distribuição de energia
- Linha 208V linha a linha (para locais nos Estados Unidos).
- PDU de rack fornecendo contêineres e saídas C13 ou C19.
- Cabos de alimentação (fornecidos por você)
- O cabo do PDU para rack precisa ser do tipo C14 ou C20.
- Cabos de alimentação de 2 x 6 pés ou 2 metros (comprimento preferido).
- Rede
- Controlador da interface de rede: placas de rede (NICs) de cobre duplas de 1G (se aplicável).
- Cabos de rede (fornecidos por você)
- 2 x 6 pés ou 2 metros (comprimento preferencial) CAT-5e ou cabos patch melhores.
- Dimensões físicas
- Profundidade do rack: 100 cm de profundidade.
- Espaçamento do rack: montagem de rack EIA-310 padrão de 19 polegadas com montagens de orifício quadrado. Ocupa até quatro unidades de rack por HSM.
- Segurança
- Os HSMs não podem ser equipados com câmeras ou redes sem fio, como Bluetooth.
- O HSM precisa ter a certificação FIPS 140-2 Nível 3 ou mais recente.
- O HSM precisa ser totalmente gerenciável remotamente.
Não há requisitos para peso ou resfriamento.
Visão geral da implantação
Para se qualificar para um SLA de tempo de atividade de 99,99%, é necessário atender aos seguintes requisitos:
- Implante HSMs em pelo menos duas zonas: duas regiões diferentes Google Cloud ou, quando disponível, duas zonas na mesma região.
- Implante no mínimo dois HSMs por zona (pelo menos um HSM por rack em pelo menos dois racks).
Forneça ao Google o endereço MAC de cada interface de rede HSM e o endereço IP atribuído a ele. Essas informações ajudam o Google a verificar o cabeamento de servidor a topo do rack e ajudam a resolver problemas durante o processo de implantação.
Os requisitos de rede serão discutidos com mais detalhes com seu representante de conta durante o processo de integração.
Topologia de rede
Um par de racks em uma única zona é coberto por um SLA de 99,9%.
Uma implantação completa em duas zonas oferece um SLA de 99,99%. Isso pode ser feito usando duas regiões ou, quando disponível, duas zonas na mesma região.
Os aplicativos precisam ser projetados para aproveitar esse modelo de redundância. Um aplicativo precisa fazer failover da zona 1 para a zona 2 em um único local, de HSM para HSM.
A ativação do recurso "Roteamento global" permite que os HSMs em qualquer local alcancem Google Cloud recursos em qualquer região.
Uma única falha de conexão da Interconexão por parceiro não é uma violação de SLA.
O diagrama de alto nível a seguir mostra a conectividade necessária para alcançar um SLA de 99,99% no serviço.
- Cada implantação de zona contém no mínimo dois racks para seu uso e um interruptor por rack.
- Essas chaves são fornecidas pelo Google e são de diferentes fornecedores.
- Cada chave de alto-rack tem uma Interconexão por parceiro de 10G Interconexão por parceiro com anexos da VLAN redundantes para Interconexão por parceiro para Cloud Routers redundantes.
- Cada HSM precisa ter no mínimo 2 interfaces de rede de cobre 1GE com conexões redundantes para comutadores na parte superior do rack. As interfaces de gerenciamento e dados precisam ter conexões redundantes próprias para comutadores na parte superior do rack.
- Você fornece as alocações de endereço IP para as redes HSM.
- As chaves mais avançadas divulgam as sub-redes conectadas localmente ao par de Cloud Routers.
- Ative o roteamento dinâmico global na sua nuvem privada virtual (VPC, na sigla em inglês) para permitir o acesso aos HSMs de qualquer Google Cloud região em que você implantou recursos. O roteamento dinâmico global também é necessário para se qualificar para 99,99% de disponibilidade.
- O BGP entre as chaves do topo do rack e os Cloud Routers nas informações de acessibilidade do projeto troca para rotear entre Google Cloud recursos do projeto e os HSMs.
Requisitos de rede
É necessário concluir as etapas a seguir para cada conjunto de racks em uma zona para permitir que seus HSMs sejam hospedados no Google:
Crie um par redundante de Cloud Routers por zona usando ASN16550. Para instruções detalhadas, consulte Como criar Cloud Routers.
Crie dois pares redundantes de anexos da VLAN com a Interconexão por parceiro por zona usando os Cloud Routers da etapa anterior. Crie os anexos com a opção de pré-ativação ativada. É preciso que haja um total de quatro anexos por zona. Se os anexos foram criados sem a opção de pré-ativação ativada, é possível ativar as conexões manualmente.
Para mais informações sobre a Interconexão por parceiro e as opções de pré-ativação, consulte Visão geral da Interconexão por parceiro.
Ative o roteamento dinâmico global na rede VPC.
- Para alcançar 99,99% de disponibilidade, use as etapas em Como estabelecer 99,99% de disponibilidade na Interconexão por parceiro.
- As implantações em uma única zona têm 99,9% de disponibilidade até que a segunda zona esteja disponível. Para este caso, consulte Como estabelecer 99,9% de disponibilidade na Interconexão por parceiro
Configure as regras de firewall conforme necessário para permitir o tráfego entre os recursos das instalações e do projeto.
Compatibilidade de local
O Bare Metal HSM está disponível nos seguintes locais do Cloud KMS:
| Área geográfica | Nome do local | Descrição do local | Zonas por região |
|---|---|---|---|
| Américas | us-central1 |
Iowa | 1 |
| Américas | us-south1 |
Dallas | 1 |
| Américas | us-east4 |
Norte da Virgínia | 1 |
| Américas | us-west1 |
Oregon | 1 |
| Europa | europe-west4 |
Países Baixos | 1 |
| Europa | europe-west3 |
Frankfurt | 1 |
| Américas | southamerica-west1 |
Santiago | 1 |
| Américas | southamerica-east1 |
São Paulo | 1 |
| Ásia-Pacífico | australia-southeast1 |
Sydney | 2 |
| Ásia-Pacífico | australia-southeast2 |
Melbourne | 2 |
| Oriente Médio | me-west1 |
Tel Aviv | 2 |
Entrar em contato com o Google
Este produto está disponível apenas para clientes com requisitos comerciais e técnicos específicos.
Se você tiver interesse no Bare Metal HSM com o Google, entre em contato com seu representante de conta para receber mais ajuda.