Bare Metal HSM

Auf dieser Seite erhalten Sie einen Überblick über die Bare Metal HSM-Lösung.

Übersicht

Bare Metal HSM ist ein Infrastructure-as-a-Service-Angebot, mit dem Sie kundeneigene Hardwaresicherheitsmodule (HSMs) neben IhrenGoogle Cloud -Arbeitslasten bereitstellen können. Ihre HSMs werden in PCI-konformen Einrichtungen bereitgestellt, um Ihre Anforderungen an Sicherheit, Compliance und geringe Latenz zu erfüllen.

Damit Ihre Arbeitslasten in die Cloud verschoben werden können, hostet Google Ihre HSMs und bietet physischen Schutz, Netzwerksicherheit, Rack- und Regalplatz, Stromversorgung und Netzwerkintegration für eine monatliche Gebühr.

Mit Bare Metal HSM können Sie für Ihre HSMs Direktverträge mit Google eingehen. HSMs werden in bestimmten Colocations-Einrichtungen platziert und sind mitGoogle Cloudverbunden.

Die Bare-Metal-HSM-Lösung wird in Colocations-Einrichtungen mit aktiven Peering-Fabrics unterstützt. Diese Einrichtungen erfüllen und übersteigen die Standards von Google für die Sicherheit von Rechenzentren und bieten einen hochverfügbaren Dienst mit niedriger Latenz.

Vergleich mit Bare Metal Rack HSM

Sowohl Bare Metal Rack HSM als auch Bare Metal HSM ermöglichen es Ihnen, Ihre eigenen HSMs in Google Cloud -Einrichtungen zu hosten. Der Hauptunterschied zwischen den Bare Metal Rack HSM- und Bare Metal HSM-Lösungen ist die Skalierbarkeit. In der folgenden Tabelle sind die wichtigsten Unterschiede zwischen diesen Lösungen zusammengefasst:

Bare Metal HSM Bare Metal Rack HSM
Google hostet Ihre HSMs pro Gerät. Google hostet Ihre HSMs pro Rack.
Sie haben logischen Zugriff auf Ihre HSMs, aber keinen physischen Zugriff. Sie haben logischen Zugriff auf Ihre HSMs und können physischen Zugriff mit Begleitung planen.
Für kleine Bereitstellungen von 10 bis 15 HSMs vorgesehen Für große Bereitstellungen auf Rackebene von mindestens 100 HSMs vorgesehen

Wenn Sie sich nicht sicher sind, welche dieser Lösungen für Sie am besten geeignet ist, wenden Sie sich an Ihren Kundenbetreuer.

Betriebsmodell

  • Einrichtungsprozess
    • Vertrag: Mindestens 12 Monate. Premium-Support ist erforderlich.
    • Beschaffung und Konfiguration: Ihre Organisation beschafft und konfiguriert HSMs und sendet sie an Google.
    • Einbauen und verbinden: Google stellt Ihre HSMs bereit und konfiguriert die Partner Interconnect-Verbindung.
    • Validierung und Übergabe: Bestätigen Sie die technische Lösung und den Zugriff auf die HSMs, testen Sie die Lösung und geben Sie sie frei.
  • Supportmodell
    • Google bietet Unterstützung für Rack and Stack, Hosting, Smart Hands, Compliance und Partner Interconnect-Verbindungen.
    • Wenden Sie sich an Ihren HSM-Anbieter, wenn Sie Unterstützung bei HSM-Software, Lizenzierung, Tools und Fehlerbehebung benötigen.
  • Außerbetriebnahme
    • Sie stellen einen Antrag auf Außerbetriebnahme.
    • Sie müssen alle Daten löschen und alle HSMs auf die Werkseinstellungen zurücksetzen.

Compliance-Anforderungen

Dieses Angebot ist auf HSMs beschränkt, die FIPS 140-2 Level 3 oder höher zertifiziert sind, und ist kein allgemeiner Hosting- oder Colocation-Dienst. Die Bare-Metal-HSM-Lösung wird in Einrichtungen gehostet, die vollständig PCI-DSS-, PCI-3DS- sowie SOC 1-, SOC 2- und SOC 3-konform sind. Google unterstützt Sie bei der AOC für PCI-PIN, PCI-P2PE und SOC-Compliance in allen Regionen.

Separate Verantwortlichkeiten

Es unterliegt Ihrer Verantwortung, HSMs abzurufen und bereitzustellen und an die entsprechenden Google Cloud Regionen zu senden. Sie entscheiden, welche HSMs verwendet werden. Sie müssen sich jedoch an die HSM-Geräteanforderungen halten.

Google konfiguriert Racks, Top-of-Rack-Switches und Konnektivität im Voraus. Die Switches stammen pro Rackpaar von verschiedenen Herstellern. Bei der Bare-Metal-HSM-Lösung haben Sie eigene dedizierte Racks und Switches. Google bietet einen Racking-Service für Ihre HSMs und arbeitet mit Ihnen zusammen, um die Partner Interconnect-Verbindung zu validieren. Jedes Rack hat redundante Stromversorgungen.

Auf Bare Metal HSM zugreifen

Sie haben logischen Verwaltungszugriff auf Ihre HSMs und sind für die Wartung und Verwaltung verantwortlich. Sie haben die volle Kontrolle über Ihre HSMs.

Google hat keinen logischen Zugriff auf Ihre HSMs, stellt aber Racks, Switching und Verbindungselemente bereit. Google hat keinen Zugriff auf die Daten oder Schlüssel auf Ihrem HSM.

Sie müssen HSMs mit vollständiger Remote-Verwaltungsfunktion bereitstellen. Sie können nicht physisch auf Ihre HSMs zugreifen, während sie sich in der Colocation-Einrichtung befinden.

Google bietet einen Remote-Handdienst. Kundenbesuche in der Einrichtung sind nicht zulässig. Sie sind für Ihre eigenen Compliance- und Prüfanforderungen verantwortlich.

Am Ende Ihres Vertrags oder am Ende des Produktzyklus stellen Sie einen Antrag, die HSMs außer Betrieb zu nehmen und alle Daten zu löschen oder die HSMs auf die Werkseinstellungen zurückzusetzen. Nachdem die HSMs gelöscht oder zurückgesetzt wurden und die rechtliche Genehmigung vorliegt, werden die HSMs an Sie zurückgesendet oder gelöscht, falls sie nicht zurückgesendet werden können.

Anforderungen an HSM-Geräte

In diesem Abschnitt werden die physischen Anforderungen für HSMs und die zugehörigen Kabel für das Hosting von HSMs in einer Google-Einrichtung beschrieben.

Die Anzahl der HSMs, die in ein Rack passen, hängt von der Anzahl der Ports ab, die im aktuellen Modell des obersten Rack-Switch verfügbar sind, der Anzahl der Rack-Einheiten, die das HSM-Modell belegen, und der Leistung des HSMs.

  • Stromversorgung
    • Duale AC-Geräte (max. 16 A pro Netzteil)
  • Stromverteilung
    • 208 V-Versorgung (für Standorte in den USA).
    • Rack-PDU, die C13- oder C19-Aufnehmer und ‑Ausgänge zur Verfügung stellen.
  • Netzkabel (von Ihnen bereitzustellen)
    • Das Ende des Rack-PDU-Kabels sollte den Anschlusstyp C14 oder C20 haben.
    • 2 Stromkabel mit einer Länge von 2 Metern (bevorzugte Länge).
  • Netzwerk
    • Netzwerkschnittstellen-Controller: Duale 1 g-Kupfer-NICs (falls zutreffend).
  • Netzwerkkabel (von Ihnen bereitzustellen)
    • 2 × 2 Meter/6 Fuß (bevorzugte Länge) CAT‑5e-Patchkabel oder besser.
  • Abmessungen
    • Racktiefe: 42 cm.
    • Rack-Einheitenabstand: Standard EIA-310 19"-Rackhalterung mit Quadratlöchern. Sie können pro HSM bis zu 4 Rack-Einheiten unterbringen.
  • Sicherheit
    • Die HSMs dürfen nicht mit Kameras oder drahtlosen Netzwerken wie Bluetooth ausgestattet sein.
    • Das HSM muss FIPS 140-2 Level 3 oder höher zertifiziert sein.
  • Die HSMs müssen vollständig remote verwaltbar sein.

Es gibt keine Anforderungen in Sachen Gewicht oder Kühlung.

Bereitstellungsübersicht

Damit Sie sich für ein SLA mit 99,99% Betriebszeit qualifizieren, müssen Sie die folgenden Anforderungen erfüllen:

  • HSMs in mindestens zwei Zonen bereitstellen – entweder in zwei verschiedenen Google Cloud Regionen oder, falls verfügbar, in zwei Zonen in derselben Region.
  • Mindestens zwei HSMs pro Zone bereitstellen (mindestens ein HSM pro Rack in mindestens zwei Racks).

Sie informieren Google über die MAC-Adresse jeder HSM-Netzwerkschnittstelle und deren zugewiesene IP-Adresse. Mit diesen Informationen kann Google die Verkabelung zwischen Server und Top-of-Rack prüfen und Fehler bei der Bereitstellung beheben.

Die Netzwerkanforderungen werden während der Einrichtung im Detail mit Ihrem Kundenbetreuer besprochen.

Netzwerktopologie

Ein Rackpaar in einer einzelnen Zone ist durch ein SLA von 99,9% abgedeckt.

Eine vollständige Bereitstellung über zwei Zonen bietet ein SLA von 99,99 %. Dies kann mit zwei Regionen oder, sofern verfügbar, mit zwei Zonen in derselben Region erreicht werden.

Anwendungen sollten so konzipiert werden, dass sie dieses Redundanzmodell nutzen. Eine Anwendung sollte über einen einzigen Standort (z. B. Rack zu Rack) ein Failover von Zone 1 in Zone 2 durchführen können.

Wenn Sie die Funktion für das globale Routing aktivieren, können HSMs an beiden StandortenGoogle Cloud -Ressourcen in einer beliebigen Region erreichen.

Ein einzelner Partner Interconnect-Verbindungsfehler ist kein SLA-Verstoß.

Das folgende Diagramm zeigt die erforderliche Konnektivität zum Erfüllen eines SLA von 99,99% für den Dienst.

Netzwerktopologie für Bare Metal HSM

  • Jede Zonenbereitstellung enthält mindestens zwei Racks für Ihre Verwendung und einen Switch pro Rack.
  • Die von Google bereitgestellten Top-of-Rack-Switches stammen von verschiedenen Herstellern.
  • Jeder Top-of-Rack-Switch hat einen 10G-Partner Interconnect mit redundanten VLAN-Anhängen für Partner Interconnect zu redundanten Cloud Routern.
  • Jedes HSM sollte mindestens zwei 1GE-Kupfernetzwerkschnittstellen mit redundanten Verbindungen zu beiden Top-of-Rack-Switches haben. Sowohl die Verwaltungs- als auch die Datenschnittstellen sollten eigene redundante Verbindungen zu beiden Top-of-Rack-Switches haben.
  • Sie geben die IP-Adressenzuweisungen für die HSM-Netzwerke an.
  • Top-of-Rack-Switches bieten ihre lokal angehängten Subnetze dem Cloud Router-Paar an.
  • Sie aktivieren das globale dynamische Routing in Ihrer VPC (Virtual Private Cloud), um Zugriff auf die HSMs aus allen Google Cloud Regionen, in denen Sie Ressourcen bereitgestellt haben, zuzulassen. Globales dynamisches Routing ist auch erforderlich, um die Anforderungen für eine Verfügbarkeit von 99,99% zu erfüllen.
  • BGP zwischen den Top-of-Rack-Switches und den Cloud Routern in Ihrem Projekt tauschen Informationen zur Erreichbarkeit zwischen Google Cloud Projektressourcen und den HSMs aus.

Netzwerkanforderungen

Sie müssen die folgenden Schritte für jede Gruppe von Racks in einer Zone ausführen, damit Ihre HSMs bei Google gehostet werden können:

  1. Erstellen Sie ein redundantes Paar von Cloud Routern pro Zone mit ASN16550. Eine detaillierte Anleitung finden Sie unter Cloud Router erstellen.

  2. Erstellen Sie mit den Cloud Routern aus dem vorherigen Schritt zwei redundante Paare von VLAN-Anhängen mit Partner Interconnect pro Zone. Erstellen Sie die Anhänge mit der Vorabaktivierungsoption. Es sollten insgesamt vier Anhänge pro Zone vorhanden sein. Wenn die Anhänge ohne die Option für die Vorabaktivierung erstellt wurden, können Sie die Verbindungen manuell aktivieren.

    Weitere Informationen zu Partner Interconnect und den Optionen zur Vorabaktivierung finden Sie unter Partner Interconnect – Übersicht.

  3. Aktivieren Sie das globale dynamische Routing im VPC-Netzwerk.

  4. Konfigurieren Sie bei Bedarf Firewallregeln, um Traffic zwischen Ihrem Standort und den Projektressourcen zuzulassen.

Standortkompatibilität

Bare Metal HSM ist an den folgenden Cloud KMS-Standorten verfügbar:

Geografischer Bereich Standortname Standortbeschreibung Zonen pro Region
Nord- und Südamerika us-central1 Iowa 1
Nord- und Südamerika us-south1 Dallas 1
Nord- und Südamerika us-east4 Northern Virginia 1
Nord- und Südamerika us-west1 Oregon 1
Europa europe-west4 Niederlande 1
Europa europe-west3 Frankfurt 1
Nord- und Südamerika southamerica-west1 Santiago 1
Nord- und Südamerika southamerica-east1 São Paulo 1
Naher Osten me-west1 Tel Aviv 2

Google kontaktieren

Dieses Produkt ist nur für Kunden mit bestimmten geschäftlichen und technischen Anforderungen verfügbar.

Wenn Sie sich für Bare Metal HSM mit Google interessieren, wenden Sie sich an Ihren Kundenbetreuer.