Esta página oferece uma vista geral da solução HSM Bare Metal.
Vista geral
O HSM Bare Metal é uma oferta de infraestrutura como serviço que lhe permite implementar módulos de segurança de hardware (HSMs) pertencentes ao cliente junto às suasGoogle Cloud cargas de trabalho. Os HSMs são implementados em instalações em conformidade com a norma PCI para cumprir os seus requisitos de segurança, conformidade e baixa latência.
Para suportar a transferência das suas cargas de trabalho para a nuvem, a Google aloja os seus HSMs, oferecendo segurança física e de rede, espaço em racks e prateleiras, energia e integração de rede por uma taxa mensal.
O HSM de hardware dedicado permite-lhe celebrar um contrato diretamente com a Google para o posicionamento dos seus HSMs. Os HSMs são colocados em instalações de partilha de espaço especificadas e ligam-se a Google Cloud.
A solução HSM Bare Metal é suportada em instalações de alojamento conjunto com tecidos de intercâmbio de tráfego ativos. Estas instalações cumprem e excedem as normas da Google para a segurança dos centros de dados e oferecem um serviço de baixa latência e elevada disponibilidade.
Comparação com o HSM de rack de metal exposto
O HSM de rack de metal exposto e o HSM de metal exposto permitem-lhe alojar os seus próprios HSMs em instalações. Google Cloud A principal diferença entre as soluções de HSM de rack de metal não revestido e de HSM de metal não revestido é a escala. A tabela seguinte resume as principais diferenças entre estas soluções:
| HSM Bare Metal | HSM de rack bare metal |
|---|---|
| A Google aloja os seus HSMs por dispositivo. | A Google aloja os seus HSMs por rack. |
| Tem acesso lógico aos seus HSMs, mas não tem acesso físico. | Tem acesso lógico aos HSMs e pode agendar acesso físico acompanhado. |
| Destinado a implementações pequenas de 10 a 15 HSMs | Destinado a implementações ao nível do rack de grande escala de 100 ou mais HSMs |
Se não tiver a certeza de qual destas soluções é adequada para as suas necessidades, contacte o seu representante da conta.
Modelo operacional
- Processo de integração
- Contrato: mínimo de 12 meses. O apoio técnico Premium é necessário.
- Aprovisionamento e configuração: a sua organização adquire, configura e envia HSMs para a Google.
- Instalação e ligação: a Google implementa os HSMs e configura a ligação do Partner Interconnect.
- Validação e transferência: confirme a solução de engenharia e a acessibilidade aos HSMs, teste a solução e aprove-a.
- Modelo de apoio técnico
- A Google oferece apoio técnico para instalação e configuração, alojamento, smart hands, conformidade e ligação do Partner Interconnect.
- Trabalhe com o fornecedor do HSM para receber apoio técnico para software, licenciamento, ferramentas e resolução de problemas do HSM.
- Processo de desativação
- Apresenta uma solicitação de desativação.
- Tem de apagar todos os dados e inicializar todos os HSMs para as predefinições de fábrica.
Requisitos de conformidade
Esta oferta está limitada a HSMs com certificação FIPS 140-2 Nível 3 ou superior e não é um serviço de alojamento ou colocação generalizado. A solução HSM de hardware dedicado é alojada em instalações totalmente em conformidade com as normas PCI-DSS, PCI-3DS e SOC 1, 2 e 3. A Google vai suportar o seu AOC para a conformidade com PCI-PIN, PCI-P2PE e SOC em todas as regiões.
Separação de responsabilidades
É da sua responsabilidade obter e aprovisionar HSMs e enviá-los para as regiões Google Cloud adequadas. Os HSMs usados são da sua escolha, mas têm de estar em conformidade com os requisitos de equipamento de HSM.
A Google pré-configura os racks, os comutadores de topo de rack e a conetividade. Os comutadores são de fornecedores diferentes para cada par de racks. Para a solução HSM Bare Metal, tem os seus próprios racks e comutadores dedicados. A Google fornece um serviço de instalação em racks para os seus HSMs e trabalha consigo para validar a ligação do Partner Interconnect. Cada rack tem fontes de alimentação redundantes.
Aceder ao HSM Bare Metal
Tem acesso de gestão lógica aos seus HSMs e é responsável pela respetiva manutenção e gestão. Mantém o controlo total dos seus HSMs.
A Google não tem acesso lógico aos seus HSMs, mas fornece e mantém os racks, a comutação e a ligação. A Google não tem acesso aos dados nem às chaves no seu HSM.
Tem de implementar HSMs com capacidade de gestão remota completa. Não pode aceder fisicamente aos HSMs enquanto estiverem na instalação de colocation.
A Google oferece um serviço de assistência remota. As visitas de clientes às instalações não são permitidas. É responsável pela sua própria conformidade e requisitos de auditoria.
No final do contrato ou do fim de vida do HSM, envia um pedido para desativar os HSMs e apagar todos os dados ou restaurar as definições de fábrica dos HSMs. Depois de os HSMs serem apagados ou repostos e de ser obtida a autorização legal, os HSMs são enviados de volta para si ou destruídos se não for possível enviá-los de volta.
Requisitos de equipamento de HSM
Esta secção detalha os requisitos físicos para HSMs e cabos associados para alojar HSMs numa instalação da Google.
O número de HSMs que podem caber num rack depende do número de portas disponíveis no modelo atual do comutador de topo de rack, do número de unidades de rack ocupadas pelo modelo de HSM e do consumo de energia dos HSMs.
- Energia
- Duas fontes de alimentação CA (máximo de 16 A por fonte de alimentação).
- Distribuição elétrica
- 208 V entre fases (para estabelecimentos sediados nos Estados Unidos).
- PDU de rack que fornece tomadas e saídas C13 ou C19.
- Cabos de alimentação (a serem fornecidos por si)
- A extremidade do cabo da PDU de rack deve ser do tipo de conetor C14 ou C20.
- 2 cabos de alimentação de 1,8 m ou 2 m (comprimento preferencial).
- Rede
- Controlador de interface de rede: placas NICs de cobre de 1 g duplas (se aplicável).
- Cabos de rede (fornecidos por si)
- 2 cabos de ligação CAT-5e ou superior de 2 x 1,8 m ou 2 metros (comprimento preferencial).
- Dimensões físicas
- Profundidade do rack: 106,68 cm.
- Espaçamento da unidade de rack: montagem em rack EIA-310 padrão de 19" com suportes de orifícios quadrados. Pode ocupar até 4 unidades de rack por HSM.
- Segurança
- Os HSMs não podem estar equipados com câmaras nem redes sem fios, como o Bluetooth.
- O HSM tem de ter a certificação FIPS 140-2 Nível 3 ou superior.
- O HSM tem de ser totalmente gerível remotamente.
Não existem requisitos de peso nem de arrefecimento.
Vista geral da implementação
Para ser elegível para um SLA de tempo de atividade de 99,99%, tem de cumprir os seguintes requisitos:
- Implemente HSMs num mínimo de duas zonas, ou seja, duas Google Cloud regiões diferentes ou, quando disponíveis, duas zonas na mesma região.
- Implemente um mínimo de dois HSMs por zona (pelo menos, um HSM por rack em, pelo menos, dois racks).
Fornece à Google o endereço MAC de cada interface de rede do HSM e o respetivo endereço IP atribuído. Estas informações ajudam a Google a validar a cablagem do servidor para a parte superior do rack e facilitam a resolução de problemas durante o processo de implementação.
.Os requisitos de rede vão ser abordados mais detalhadamente com o seu representante da conta durante o processo de integração.
Topologia de rede
Um par de racks numa única zona é coberto por um SLA de 99,9%.
Uma implementação completa em duas zonas oferece um SLA de 99,99%. Isto pode ser conseguido usando duas regiões ou, quando disponíveis, duas zonas na mesma região.
As aplicações devem ser concebidas para tirar partido deste modelo de redundância. Uma aplicação deve poder comutar por falha da zona 1 para a zona 2 numa única localização, do HSM para o HSM.
A ativação da funcionalidade de encaminhamento global permite que os HSMs em qualquer localização alcancem Google Cloud recursos em qualquer região.
Uma única falha de ligação do Partner Interconnect não constitui uma violação do SLA.
O diagrama de alto nível seguinte mostra a conetividade necessária para alcançar um ANS de 99,99% no serviço.
- Cada implementação de zona contém um mínimo de dois racks para sua utilização e um comutador por rack.
- Os comutadores de topo de rack são fornecidos pela Google e são de diferentes fornecedores.
- Cada comutador de topo de rack tem uma interligação de parceiros de 10 G com anexos de VLAN redundantes para a interligação de parceiros a routers na nuvem redundantes.
- Cada HSM deve ter, no mínimo, 2 interfaces de rede de cobre de 1 GE com ligações redundantes a ambos os comutadores de topo de rack. As interfaces de gestão e de dados devem ter as suas próprias ligações redundantes a ambos os comutadores de topo de rack.
- Fornece as atribuições de endereços IP para as redes de HSM.
- Os comutadores de topo de rack anunciam as respetivas sub-redes anexadas localmente ao par de Cloud Routers.
- Ativa o encaminhamento dinâmico global na sua nuvem privada virtual (VPC) para permitir o acesso aos HSMs a partir de qualquer Google Cloud região onde implementou recursos. O encaminhamento dinâmico global também é necessário para ser elegível para uma disponibilidade de 99,99%.
- O BGP entre os comutadores de topo de rack e os routers na nuvem no seu projeto troca informações de acessibilidade para encaminhar entre os recursos do Google Cloud projeto e os HSMs.
Requisitos de rede
Tem de concluir os passos seguintes para cada conjunto de racks numa zona para permitir que os seus HSMs sejam alojados com a Google:
Crie um par redundante de Cloud Routers por zona com o ASN16550. Para ver instruções detalhadas, consulte o artigo Criar routers na nuvem.
Crie dois pares redundantes de anexos de VLAN com o Partner Interconnect por zona através dos Cloud Routers do passo anterior. Crie os anexos com a opção de pré-ativação ativada. Deve haver um total de quatro anexos por zona. Se os anexos foram criados sem a opção de pré-ativação ativada, pode ativar as associações manualmente.
Para mais informações sobre o Partner Interconnect e as opções de pré-ativação, consulte a vista geral do Partner Interconnect.
Ative o encaminhamento dinâmico global na rede VPC.
- Para alcançar uma disponibilidade de 99,99%, siga os passos descritos no artigo Estabelecer uma disponibilidade de 99,99% para o Partner Interconnect.
- As implementações numa única zona têm uma disponibilidade de 99,9% até que a segunda zona esteja disponível. Para este caso, consulte o artigo Estabelecer uma disponibilidade de 99,9% para o Partner Interconnect
Configure as regras de firewall conforme necessário para permitir o tráfego entre as suas instalações e os recursos do projeto.
Compatibilidade de localizações
O HSM Bare Metal está disponível nas seguintes localizações do Cloud KMS:
| Área geográfica | Nome da localização | Descrição da localização | Zonas por região |
|---|---|---|---|
| Américas | us-central1 |
Iowa | 1 |
| Américas | us-south1 |
Dallas | 1 |
| Américas | us-east4 |
Virgínia do Norte | 1 |
| Américas | us-west1 |
Oregon | 1 |
| Europa | europe-west4 |
Países Baixos | 1 |
| Europa | europe-west3 |
Frankfurt | 1 |
| Américas | southamerica-west1 |
Santiago | 1 |
| Américas | southamerica-east1 |
São Paulo | 1 |
| Médio Oriente | me-west1 |
Telavive | 2 |
Contactar a Google
Este produto só está disponível para clientes com requisitos empresariais e técnicos específicos.
Se tiver interesse no HSM Bare Metal com a Google, contacte o seu representante de conta para receber assistência adicional.