Questa pagina fornisce una panoramica della soluzione Bare Metal Rack HSM.
Panoramica
Bare Metal Rack HSM è un'offerta di infrastruttura come servizio che ti consente di eseguire il deployment di rack di moduli di sicurezza hardware (HSM) di proprietà del cliente accanto ai tuoi carichi di lavoro.Google Cloud I tuoi HSM vengono sottoposti a deployment in strutture conformi a PCI per soddisfare i requisiti di sicurezza, conformità e bassa latenza.
Per supportare la migrazione dei carichi di lavoro al cloud, Google ospita i tuoi HSM, fornendo sicurezza fisica e di rete, spazio rack, alimentazione e integrazione di rete a un costo mensile.
Bare Metal Rack HSM ti consente di stipulare un contratto direttamente con Google per il posizionamento dei tuoi HSM. Gli HSM vengono posizionati all'interno di strutture di colocation specificate e si connettono a Google Cloud.
La soluzione Bare Metal Rack HSM è supportata nelle strutture di colocation con fabric di peering attivi. Queste strutture soddisfano e superano gli standard di Google per la sicurezza dei data center e forniscono un servizio a bassa latenza e ad alta disponibilità.
Confronto con Bare Metal HSM
Sia Bare Metal Rack HSM sia Bare Metal HSM ti consentono di ospitare i tuoi HSM nelle Google Cloud strutture. La differenza principale tra le soluzioni Bare Metal Rack HSM e Bare Metal HSM è la scalabilità. La tabella seguente riassume le differenze principali tra queste soluzioni:
| Bare Metal HSM | Bare Metal Rack HSM |
|---|---|
| Google ospita i tuoi HSM per dispositivo. | Google ospita i tuoi HSM per rack. |
| Hai accesso logico ai tuoi HSM, ma non hai accesso fisico. | Hai accesso logico ai tuoi HSM e puoi pianificare l'accesso fisico accompagnato. |
| Destinato a deployment di piccole dimensioni di 10-15 HSM | Destinato a deployment di grandi dimensioni a livello di rack di 100 o più HSM |
Se non sai quale di queste soluzioni è adatta alle tue esigenze, contatta il tuo rappresentante dell'account.
Modello operativo
- Operazioni preliminari
- Contratto: minimo 12 mesi. È richiesto il supporto Premium.
- Acquisto e configurazione: la tua organizzazione acquisisce, configura e spedisce gli HSM a Google.
- Rack, stack e connessione: Google esegue il deployment degli HSM e configura la connessione Partner Interconnect.
- Convalida e trasferimento: conferma la soluzione di progettazione e l'accessibilità agli HSM, testa la soluzione e firma.
- Modello di assistenza
- Google fornisce assistenza per rack e stack, hosting, smart hands, conformità e connessione Partner Interconnect.
- Collabora con il fornitore di HSM per l'assistenza per software, licenze, strumenti e risoluzione dei problemi di HSM.
- Hai accesso fisico ai tuoi rack, se necessario.
- Procedura di dismissione
- Presenta una richiesta di dismissione.
- Devi cancellare tutti i dati e inizializzare tutti gli HSM con le impostazioni predefinite di fabbrica.
Requisiti di conformità
Questa offerta è limitata agli HSM certificati FIPS 140-2 di livello 3 o superiore e non è un servizio di hosting o colocation generalizzato. La soluzione Bare Metal Rack HSM è ospitata in strutture completamente conformi a PCI-DSS, PCI-3DS e SOC 1, 2 e 3. Google supporterà la tua certificazione di conformità per PCI-PIN, PCI-P2PE e SOC in tutte le regioni.
Separazione delle responsabilità
È tua responsabilità ottenere e sottoporre a provisioning gli HSM e spedirli alle regioni Google Cloud appropriate. Gli HSM utilizzati sono a tua scelta, ma devono essere conformi ai requisiti delle apparecchiature HSM.
Google preconfigura i rack, gli switch top-of-rack e la connettività. Gli switch sono di fornitori diversi per ogni coppia di rack. Per la soluzione Bare Metal Rack HSM, hai i tuoi rack e switch dedicati. Google fornisce un servizio di racking per i tuoi HSM e collabora con te per convalidare la connessione Partner Interconnect. Ogni rack è dotato di alimentatori ridondanti.
Accesso agli HSM Bare Metal Rack
Hai accesso logico di gestione ai tuoi HSM e sei responsabile della loro manutenzione e gestione. Mantieni il pieno controllo dei tuoi HSM.
Google non ha accesso logico ai tuoi HSM, ma fornisce e gestisce i rack, lo switching e la connessione. Google non ha accesso ai dati o alle chiavi sui tuoi HSM.
Google fornisce un servizio di assistenza remota. Con un preavviso, puoi programmare una visita accompagnata alla struttura. Sei responsabile dei tuoi requisiti di conformità e audit.
Al termine del contratto o della fine del ciclo di vita dell'HSM, invia una richiesta di dismissione degli HSM e cancella tutti i dati o ripristina le impostazioni di fabbrica degli HSM. Dopo che gli HSM sono stati cancellati o reimpostati e dopo aver ottenuto l'autorizzazione legale, gli HSM ti verranno rispediti o distrutti se non possono essere rispediti.
Requisiti delle apparecchiature HSM
Questa sezione descrive in dettaglio i requisiti fisici per gli HSM e i cavi associati per l'hosting degli HSM in una struttura Google.
Il numero di HSM che possono essere inseriti in un rack dipende dal numero di porte disponibili nel modello attuale dello switch top-of-rack, dal numero di unità rack occupate dal modello HSM e dal consumo di energia degli HSM.
Alimentazione
- Doppi alimentatori CA (16 A max per alimentatore).
Distribuzione elettrica
- Linea da 208 V a linea (per le località con sede negli Stati Uniti).
- PDU rack che fornisce prese e prese C13 o C19.
Cavi di alimentazione (da fornire da te)
- L'estremità del cavo della PDU rack deve essere di tipo connettore C14 o C20.
- 2 cavi di alimentazione da 1,8 m o 2 metri (lunghezza preferita).
Rete
- Controller interfaccia di rete: due NIC in rame da 1 Gb (se applicabile).
Cavi di rete (da fornire da te)
- 2 cavi patch CAT-5e o superiori da 1,8 m o 2 metri (lunghezza preferita).
Dimensioni fisiche
- Profondità del rack: 106,7 cm.
- Spaziatura delle unità rack: montaggio su rack EIA-310 standard da 19" con supporti a foro quadrato. Puoi occupare fino a 4 unità rack per HSM.
Sicurezza
- Gli HSM non devono essere dotati di videocamere o reti wireless come Bluetooth.
- L'HSM deve essere certificato FIPS 140-2 di livello 3 o superiore.
L'HSM deve essere una nuova apparecchiatura.
L'HSM deve essere completamente gestibile da remoto.
Non sono previsti requisiti per il peso o il raffreddamento.
Panoramica del deployment
Per avere l'idoneità per uno SLA con tempo di attività del 99,99%, devi soddisfare i seguenti requisiti:
- Esegui il deployment degli HSM in un minimo di due zone: due regioni diverse Google Cloud o, se disponibili, due zone nella stessa regione.
- Esegui il deployment di un minimo di quattro HSM per zona (almeno due HSM per rack in almeno due rack).
Fornisci a Google l'indirizzo MAC per ogni interfaccia di rete HSM e l'indirizzo IP assegnato. Queste informazioni aiutano Google a verificare il cablaggio da server a top-of-rack e a risolvere i problemi durante la procedura di deployment.
I requisiti di rete verranno discussi in modo più dettagliato con il tuo rappresentante dell'account durante la procedura di onboarding.
Network Topology
Una coppia di rack in una singola località è coperta da uno SLA con tempo di attività del 99,9%.
Un deployment completo in due località fornisce uno SLA con tempo di attività del 99,99%.
Le applicazioni devono essere progettate per sfruttare questo modello di ridondanza. Un'applicazione deve essere in grado di eseguire il failover dalla zona 1 alla zona 2 all'interno di una singola località, da HSM a HSM o da rack a rack.
L'attivazione della funzionalità di routing globale consente agli HSM in entrambe le località di raggiungere Google Cloud le risorse in qualsiasi regione.
Un singolo errore di connessione Partner Interconnect non costituisce una violazione dello SLA.
Il seguente diagramma di alto livello mostra la connettività richiesta per ottenere uno SLA del 99,99% sul servizio.
- Ogni deployment di zona contiene un minimo di due rack per il tuo utilizzo e uno switch per rack.
- Gli switch top-of-rack sono forniti da Google e sono di fornitori diversi.
- Ogni switch top-of-rack ha un Partner Interconnect da 10 G Partner Interconnect con collegamenti VLAN ridondanti per Partner Interconnect a router Cloud ridondanti.
- Ogni HSM deve avere un minimo di 2 interfacce di rete in rame da 1 GE con connessioni ridondanti a entrambi gli switch top-of-rack. Sia le interfacce di gestione sia quelle dei dati devono avere le proprie connessioni ridondanti a entrambi gli switch top-of-rack.
- Fornisci le allocazioni degli indirizzi IP per le reti HSM.
- Gli switch top-of-rack annunciano le subnet collegate localmente alla coppia di router Cloud.
- Abilita il routing dinamico globale nel tuo virtual private cloud (VPC) per consentire l'accesso agli HSM da qualsiasi Google Cloud regione in cui hai eseguito il deployment delle risorse. Il routing dinamico globale è necessario anche per avere l'idoneità per una disponibilità del 99,99%.
- Il BGP tra gli switch top-of-rack e i router Cloud nel tuo progetto scambia informazioni di raggiungibilità per il routing tra Google Cloud le risorse del progetto e gli HSM.
Requisiti di networking
Devi completare i seguenti passaggi per ogni set di rack in una zona per consentire l'hosting degli HSM con Google:
Crea una coppia ridondante di router Cloud per zona utilizzando ASN16550. Per istruzioni dettagliate, vedi Creazione di router Cloud.
Crea due coppie ridondanti di collegamenti VLAN con Partner Interconnect per zona utilizzando i router Cloud del passaggio precedente. Crea i collegamenti con l'opzione di pre-attivazione abilitata. Dovrebbero essere presenti un totale di quattro collegamenti per zona. Se i collegamenti sono stati creati senza l'opzione di pre-attivazione abilitata, puoi attivare le connessioni manualmente.
Per ulteriori informazioni su Partner Interconnect e sulle opzioni di pre-attivazione, vedi Panoramica di Partner Interconnect.
Abilita il routing dinamico globale nella rete VPC.
- Per ottenere una disponibilità del 99,99%, segui i passaggi descritti in Definizione di una disponibilità del 99,99% per Partner Interconnect.
- I deployment in una singola zona hanno una disponibilità del 99,9% finché non è disponibile la seconda zona. In questo caso, vedi Definizione di una disponibilità del 99,9% per Partner Interconnect.
Configura le regole firewall in base alle esigenze per consentire il traffico tra le risorse on-premise e quelle del progetto.
Compatibilità delle località
Bare Metal Rack HSM è disponibile nelle seguenti località Cloud KMS:
| Regione geografica | Nome della località | Descrizione della località | Zone per regione |
|---|---|---|---|
| Americhe | us-central1 |
Iowa | 1 |
| Americhe | us-south1 |
Dallas | 1 |
| Americhe | us-east4 |
Virginia del Nord | 1 |
| Americhe | us-west1 |
Oregon | 1 |
| Europa | europe-west4 |
Paesi Bassi | 1 |
| Europa | europe-west3 |
Francoforte | 1 |
| Americhe | southamerica-west1 |
Santiago | 1 |
| Americhe | southamerica-east1 |
San Paolo | 1 |
| Asia Pacifico | australia-southeast1 |
Sydney | 2 |
| Asia Pacifico | australia-southeast2 |
Melbourne | 1 |
| Medio Oriente | me-west1 |
Tel Aviv | 2 |
Contatta Google
Questo prodotto è disponibile solo per i clienti con requisiti aziendali e tecnici specifici.
Se ti interessa Bare Metal Rack HSM con Google, contatta il tuo rappresentante dell'account per ulteriore assistenza.