Halaman ini memberikan ringkasan solusi Bare Metal Rack HSM.
Ringkasan
Bare Metal Rack HSM adalah penawaran infrastructure-as-a-service yang memungkinkan Anda men-deploy rak modul keamanan hardware (HSM) milik pelanggan di samping workloadGoogle Cloud Anda. HSM Anda di-deploy di fasilitas yang mematuhi PCI untuk memenuhi persyaratan keamanan, kepatuhan, dan latensi rendah Anda.
Untuk mendukung pemindahan workload Anda ke cloud, Google menghosting HSM Anda, dengan menyediakan keamanan fisik dan jaringan, ruang rak, daya, dan integrasi jaringan dengan biaya bulanan.
Bare Metal Rack HSM memungkinkan Anda membuat kontrak langsung dengan Google untuk penempatan HSM Anda. HSM ditempatkan dalam fasilitas kolokasi tertentu dan terhubung ke Google Cloud.
Solusi Bare Metal Rack HSM didukung di fasilitas kolokasi dengan fabric peering aktif. Fasilitas ini memenuhi dan melampaui standar Google untuk keamanan pusat data dan menyediakan layanan berlatensi rendah dan sangat tersedia.
Perbandingan dengan Bare Metal HSM
Bare Metal Rack HSM dan Bare Metal HSM memungkinkan Anda menghosting HSM sendiri di fasilitas Google Cloud . Perbedaan utama antara solusi Bare Metal Rack HSM dan Bare Metal HSM adalah skala. Tabel berikut merangkum perbedaan utama antara solusi ini:
| Bare Metal HSM | Bare Metal Rack HSM |
|---|---|
| Google menghosting HSM Anda berdasarkan perangkat. | Google menghosting HSM Anda per rak. |
| Anda memiliki akses logis ke HSM, tetapi tidak memiliki akses fisik. | Anda memiliki akses logis ke HSM dan dapat menjadwalkan akses fisik yang dikawal. |
| Ditujukan untuk deployment kecil 10-15 HSM | Ditujukan untuk deployment tingkat rak besar yang terdiri dari 100 HSM atau lebih |
Jika Anda tidak yakin solusi mana yang tepat untuk kebutuhan Anda, hubungi perwakilan akun Anda.
Model operasional
- Proses aktivasi
- Kontrak: Minimal 12 bulan. Dukungan Premium diperlukan.
- Pengadaan dan konfigurasi: Organisasi Anda memperoleh, mengonfigurasi, dan mengirimkan HSM ke Google.
- Pasang dan hubungkan: Google men-deploy HSM Anda dan mengonfigurasi koneksi Partner Interconnect.
- Validasi dan penyerahan: Mengonfirmasi solusi engineering dan aksesibilitas ke HSM, menguji solusi, dan menyetujui.
- Model dukungan
- Google memberikan dukungan untuk pemasangan dan penataan rak, hosting, teknisi lapangan, kepatuhan, dan koneksi Partner Interconnect.
- Bekerja samalah dengan vendor HSM Anda untuk mendapatkan dukungan terkait software, pemberian lisensi, alat, dan pemecahan masalah HSM.
- Anda memiliki akses fisik ke rak sesuai kebutuhan.
- Proses penonaktifan
- Anda mengajukan permintaan untuk menonaktifkan.
- Anda harus menghapus semua data dan menginisialisasi semua HSM ke setelan default pabrik.
Persyaratan kepatuhan
Penawaran ini terbatas pada HSM yang bersertifikasi FIPS 140-2 Level 3 atau lebih tinggi, dan bukan layanan hosting atau kolokasi umum. Solusi HSM Rak Bare Metal dihosting di fasilitas yang sepenuhnya mematuhi PCI-DSS, PCI-3DS, dan SOC 1, 2, dan 3. Google akan mendukung AOC Anda untuk kepatuhan PCI-PIN, PCI-P2PE, dan SOC di semua region.
Pemisahan tanggung jawab
Anda bertanggung jawab untuk mendapatkan dan menyediakan HSM serta mengirimkannya ke region Google Cloud yang sesuai. HSM yang digunakan adalah pilihan Anda, tetapi HSM tersebut harus mematuhi persyaratan peralatan HSM.
Google telah mengonfigurasi rak, switch top-of-rack, dan konektivitas. Switch berasal dari vendor yang berbeda untuk setiap pasangan rak. Untuk solusi Bare Metal Rack HSM, Anda memiliki rak dan switch khusus Anda sendiri. Google menyediakan layanan pemasangan rak untuk HSM Anda dan bekerja sama dengan Anda untuk memvalidasi koneksi Partner Interconnect. Setiap rak memiliki catu daya redundan.
Mengakses Bare Metal Rack HSM
Anda memiliki akses pengelolaan logis ke HSM dan bertanggung jawab atas pemeliharaan dan pengelolaannya. Anda tetap memiliki kontrol penuh atas HSM Anda.
Google tidak memiliki akses logis ke HSM Anda, tetapi menyediakan dan memelihara rak, switching, dan koneksi. Google tidak memiliki akses ke data atau kunci di HSM Anda.
Google menyediakan layanan remote hands. Dengan pemberitahuan, Anda dapat menjadwalkan kunjungan ke fasilitas dengan pendamping. Anda bertanggung jawab atas kepatuhan dan persyaratan audit Anda sendiri.
Di akhir kontrak atau akhir masa pakai HSM, Anda mengirimkan permintaan untuk menonaktifkan HSM dan menghapus semua data atau memulihkan HSM ke setelan pabrik. Setelah HSM dihapus atau direset dan izin hukum diperoleh, HSM akan dikirim kembali kepada Anda atau dihancurkan jika tidak dapat dikirim kembali.
Persyaratan peralatan HSM
Bagian ini menjelaskan persyaratan fisik untuk HSM dan kabel terkait untuk menghosting HSM di fasilitas Google.
Jumlah HSM yang dapat dimuat dalam rak bergantung pada jumlah port yang tersedia dalam model switch top-of-rack saat ini, jumlah unit rak yang digunakan oleh model HSM, dan daya yang dibutuhkan HSM.
Daya
- Catu daya AC ganda (maks. 16 A per catu daya).
Distribusi daya
- 208 V antar-jalur (untuk lokasi yang berbasis di Amerika Serikat).
- PDU rak yang menyediakan soket dan outlet C13 atau C19.
Kabel daya (disediakan oleh Anda)
- Ujung kabel PDU rak harus berjenis konektor C14 atau C20.
- 2 x kabel daya 6 kaki atau 2 meter (panjang yang disarankan).
Jaringan
- Pengontrol antarmuka jaringan: NIC tembaga 1G ganda (jika berlaku).
Kabel jaringan (harus disediakan oleh Anda)
- Kabel patch CAT-5e atau yang lebih baik berukuran 2 x 6 kaki atau 2 meter (panjang yang disarankan).
Dimensi fisik
- Kedalaman rak: 42 inci.
- Jarak unit rak: Dudukan rak 19" EIA-310 standar dengan dudukan lubang persegi. Anda dapat menggunakan hingga 4 unit rak per HSM.
Keamanan
- HSM tidak boleh dilengkapi dengan kamera atau jaringan nirkabel seperti Bluetooth.
- HSM harus tersertifikasi FIPS 140-2 Level 3 atau yang lebih baik.
HSM harus berupa peralatan baru.
HSM harus dapat dikelola sepenuhnya dari jarak jauh.
Tidak ada persyaratan untuk berat atau pendinginan.
Ringkasan deployment
Agar memenuhi syarat untuk SLA waktu aktif 99,99%, Anda harus memenuhi persyaratan berikut:
- Deploy HSM di minimal dua zona—baik dua Google Cloud region yang berbeda atau, jika tersedia, dua zona di region yang sama.
- Deploy minimal empat HSM per zona (setidaknya dua HSM per rak di setidaknya dua rak).
Anda memberikan alamat MAC untuk setiap antarmuka jaringan HSM dan alamat IP yang ditetapkan kepadanya kepada Google. Informasi ini membantu Google memverifikasi pengkabelan server-ke-atas-rak dan membantu pemecahan masalah selama proses deployment.
Persyaratan jaringan akan dibahas lebih mendetail dengan perwakilan akun Anda selama proses orientasi.
Topologi jaringan
Dua rak di satu lokasi dicakup oleh SLA waktu beroperasi 99,9%.
Deployment penuh di dua lokasi memberikan SLA waktu aktif 99,99%.
Aplikasi harus didesain untuk memanfaatkan model redundansi ini. Aplikasi harus dapat melakukan failover dari zona 1 ke zona 2 dalam satu lokasi, dari HSM ke HSM atau dari rak ke rak.
Mengaktifkan fitur Perutean Global memungkinkan HSM di kedua lokasi menjangkauGoogle Cloud resource di region mana pun.
Kegagalan koneksi Partner Interconnect tunggal bukan merupakan pelanggaran SLA.
Diagram tingkat tinggi berikut menunjukkan konektivitas yang diperlukan untuk mencapai SLA 99,99% pada layanan.
- Setiap deployment zona berisi minimal dua rak untuk Anda gunakan, dan satu switch per rak.
- Switch top-of-rack disediakan oleh Google dan berasal dari vendor yang berbeda.
- Setiap switch top-of-rack memiliki Partner Interconnect 10G dengan lampiran VLAN redundan untuk Partner Interconnect ke Cloud Router redundan.
- Setiap HSM harus memiliki minimal 2 antarmuka jaringan tembaga 1GE dengan koneksi redundan ke kedua switch top-of-rack. Antarmuka pengelolaan dan data harus memiliki koneksi redundan sendiri ke kedua switch top-of-rack.
- Anda memberikan alokasi alamat IP untuk jaringan HSM.
- Switch top-of-rack mengiklankan subnet yang terhubung secara lokal ke sepasang Cloud Router.
- Anda mengaktifkan perutean dinamis global di virtual private cloud (VPC) untuk mengizinkan akses ke HSM dari region mana pun tempat Anda men-deploy resource. Google Cloud Perutean dinamis global juga diperlukan untuk memenuhi syarat ketersediaan 99,99%.
- BGP antara switch top-of-rack dan Cloud Router di project Anda bertukar informasi keterjangkauan untuk merutekan antara resource projectGoogle Cloud dan HSM.
Persyaratan jaringan
Anda harus menyelesaikan langkah-langkah berikut untuk setiap set rak di zona agar HSM Anda dapat dihosting dengan Google:
Buat pasangan Cloud Router redundan per zona menggunakan ASN16550. Untuk mendapatkan petunjuk terperinci, lihat Membuat Cloud Router.
Buat dua pasangan lampiran VLAN redundan dengan Partner Interconnect per zona menggunakan Cloud Router dari langkah sebelumnya. Buat lampiran dengan opsi pra-aktivasi diaktifkan. Total harus ada empat lampiran per zona. Jika lampiran dibuat tanpa mengaktifkan opsi pra-aktivasi, Anda dapat mengaktifkan koneksi secara manual.
Untuk mengetahui informasi selengkapnya tentang Partner Interconnect dan opsi pra-aktivasi, lihat Ringkasan Partner Interconnect.
Aktifkan perutean dinamis global di jaringan VPC.
- Untuk mencapai ketersediaan 99,99%, gunakan langkah-langkah dalam Menetapkan Ketersediaan 99,99% untuk Partner Interconnect.
- Deployment di satu zona memiliki ketersediaan 99,9% hingga zona kedua tersedia. Untuk kasus ini, lihat Menetapkan Ketersediaan 99,9% untuk Partner Interconnect
Konfigurasi aturan firewall sesuai kebutuhan untuk mengizinkan traffic antara lokasi Anda dan resource project.
Kompatibilitas lokasi
HSM Rack Bare Metal tersedia di lokasi Cloud KMS berikut:
| Area geografis | Nama lokasi | Deskripsi lokasi | Zona per region |
|---|---|---|---|
| Amerika | us-central1 |
Iowa | 1 |
| Amerika | us-south1 |
Dallas | 1 |
| Amerika | us-east4 |
Northern Virginia | 1 |
| Amerika | us-west1 |
Oregon | 1 |
| Eropa | europe-west4 |
Belanda | 1 |
| Eropa | europe-west3 |
Frankfurt | 1 |
| Amerika | southamerica-west1 |
Santiago | 1 |
| Amerika | southamerica-east1 |
Sao Paulo | 1 |
| Asia-Pasifik | australia-southeast1 |
Sydney | 2 |
| Asia-Pasifik | australia-southeast2 |
Melbourne | 1 |
| Timur Tengah | me-west1 |
Tel Aviv | 2 |
Hubungi Google
Produk ini hanya tersedia untuk pelanggan dengan persyaratan bisnis dan teknis tertentu.
Jika Anda tertarik dengan HSM Bare Metal Rack dengan Google, hubungi perwakilan akun Anda untuk mendapatkan bantuan tambahan.