Diese Seite bietet einen Überblick über die Bare-Metal-HSM-Lösung.
Überblick
Bare-Metal-HSM ist ein Infrastructure-as-a-Service-Angebot, mit dem Sie kundeneigene Hardwaresicherheitsmodule (HSMs) neben Ihren Google Cloud-Arbeitslasten bereitstellen können. Ihre HSMs werden in PCI-konformen Einrichtungen bereitgestellt, um Ihre Anforderungen an Sicherheit, Compliance und niedrige Latenz zu erfüllen.
Um das Verschieben Ihrer Arbeitslasten in die Cloud zu unterstützen, hostet Google Ihre HSMs und bietet gegen eine monatliche Gebühr physische und Netzwerksicherheit, Rack- und Shelf-Speicherplatz, Strom und Netzwerkintegration.
Mit Bare-Metal-HSMs können Sie die Platzierung Ihrer HSMs direkt mit Google beauftragen. HSMs werden in bestimmten Colocations-Einrichtungen platziert und sind mit der Google Cloud verbunden.
Die Bare-Metal-HSM-Lösung wird in Colocations-Einrichtungen mit aktiven Peering-Strukturen unterstützt. Diese Einrichtungen erfüllen und übersteigen die Standards von Google für die Sicherheit von Rechenzentren und bieten einen hochverfügbaren Dienst mit niedriger Latenz.
Vergleich mit Bare-Metal-Rack-HSM
Sie können sowohl Bare-Metal-Rack-HSMs als auch Bare-Metal-HSMs in Google Cloud-Einrichtungen hosten. Der Hauptunterschied zwischen den Bare-Metal-Rack-HSM- und Bare-Metal-HSM-Lösungen ist die Skalierung. In der folgenden Tabelle sind die wichtigsten Unterschiede zwischen diesen Lösungen zusammengefasst:
Bare-Metal-HSM | Bare-Metal-Rack HSM |
---|---|
Google hostet Ihre HSMs pro Gerät. | Google hostet Ihre HSMs pro Rack. |
Sie haben logischen Zugriff auf Ihre HSMs, aber keinen physischen Zugriff. | Sie haben logischen Zugriff auf Ihre HSMs und können einen escorierten physischen Zugriff planen. |
Vorgesehen für kleine Bereitstellungen von 10–15 HSMs | Vorgesehen für große Bereitstellungen auf Rack-Ebene mit 100 oder mehr HSMs. |
Wenn Sie nicht sicher sind, welche dieser Lösungen für Ihre Anforderungen geeignet ist, wenden Sie sich an Ihren Kundenbetreuer.
Operatives Modell
- Einrichtung
- Vertrag: mindestens 12 Monate Premium-Support ist erforderlich.
- Beschaffung und Konfiguration: Ihre Organisation erwirbt, konfiguriert und sendet HSMs an Google.
- Rack-and-Stack-and-Connect: Google stellt Ihre HSMs bereit und konfiguriert die Partner Interconnect-Verbindung.
- Validierung und Übergabe: Bestätigen Sie die technische Lösung und die Barrierefreiheit zu den HSMs, testen Sie die Lösung und genehmigen Sie sie.
- Unterstützungsmodell
- Google bietet Support für Rack-and-Stack, Hosting, Smart Hands, Compliance und Partner Interconnect-Verbindungen.
- Arbeiten Sie mit Ihrem HSM-Anbieter zusammen, um Unterstützung für HSM-Software, Lizenzierung, Tools und Fehlerbehebung zu erhalten.
- Außerbetriebnahme
- Sie beantragen die Außerbetriebnahme.
- Sie müssen alle Daten löschen und alle HSM auf die Werkseinstellungen zurücksetzen.
Compliance-Anforderungen
Dieses Angebot ist auf HSMs beschränkt, die gemäß FIPS 140-2 Level 3 oder besser zertifiziert sind und kein generalisierter Hosting- oder Colocation-Dienst sind. Die Bare-Metal-HSM-Lösung wird in Einrichtungen gehostet, die vollständig mit PCI-DSS, PCI-3DS und SOC 1, 2 und 3 kompatibel sind. Google unterstützt Ihr AOC für PCI-PIN-, PCI-P2PE- und SOC-Compliance in allen Regionen.
Separate Verantwortlichkeiten
Es liegt in Ihrer Verantwortung, HSMs zu beschaffen, bereitzustellen und an die entsprechenden Google Cloud-Regionen zu senden. Sie können die verwendeten HSMs wählen, sie müssen jedoch den HSM-Geräteanforderungen entsprechen.
Google konfiguriert Racks, Top-of-Rack-Switches und Konnektivität im Voraus. Die Switches stammen pro Rackpaar von verschiedenen Herstellern. Für die Bare-Metal-HSM-Lösung haben Sie Ihre eigenen dedizierten Racks und Switches. Google bietet einen Racking-Dienst für Ihre HSMs und arbeitet mit Ihnen zusammen, um die Partner Interconnect-Verbindung zu validieren. Jedes Rack verfügt über redundante Netzteile.
Auf Bare-Metal-HSM zugreifen
Sie haben logischen Verwaltungszugriff auf Ihre HSMs und sind für die Wartung und Verwaltung verantwortlich. Sie haben die volle Kontrolle über Ihre HSMs.
Google hat keinen logischen Zugriff auf Ihre HSMs, stellt aber die Racks, Switches und die Verbindung bereit und verwaltet sie. Google hat keinen Zugriff auf die Daten oder Schlüssel auf Ihrem HSM.
Sie müssen HSMs mit umfassenden Funktionen für die Remote-Verwaltung bereitstellen. Der physische Zugriff auf Ihre HSMs ist nicht möglich, während sie sich in der Colocations-Einrichtung befinden.
Google bietet einen Remote-Handdienst. Kundenbesuche sind nicht gestattet. Für Ihre eigenen Compliance- und Auditanforderungen sind Sie selbst verantwortlich.
Am Ende Ihres Vertrags oder des Endes der Produktlebensdauer des HSM stellen Sie eine Anfrage zur Außerbetriebnahme und zum Löschen aller Daten oder zum Wiederherstellen der HSMs auf die Werkseinstellungen. Nachdem die HSMs gelöscht oder zurückgesetzt wurden und die gesetzliche Freigabe vorliegt, werden die HSMs an Sie zurückgeschickt oder zerstört, wenn sie nicht zurückgeschickt werden können.
Anforderungen an HSM-Geräte
In diesem Abschnitt werden die physischen Anforderungen für HSMs und die zugehörigen Kabel für das Hosting von HSMs in einer Google-Einrichtung beschrieben.
Die Anzahl der HSMs, die in ein Rack passen können, hängt von der Anzahl der im aktuellen Modell des Top-of-Rack-Switches verfügbaren Ports, der Anzahl der im HSM-Modell verwendeten Rack-Einheiten und der Leistungsaufnahme der HSMs ab.
- Ein/Aus
- Duale AC-Geräte (max. 16 A pro Netzteil)
- Stromverteilung
- 208 V-Versorgung (für Standorte in den USA).
- Rack-PDU mit C13- oder C19-Steckdosen und -Steckdosen.
- Stromkabel (von Ihnen zur Verfügung gestellt)
- Das Rack-PDU-Kabelende sollte ein C14- oder C20-Anschluss sein.
- 2 x 2 m lange Netzkabel (bevorzugte Länge)
- Netzwerk
- Netzwerkschnittstellen-Controller: Duale 1 g-Kupfer-NICs (falls zutreffend).
- Netzwerkkabel (von Ihnen zur Verfügung gestellt)
- 2 x 2 m lange CAT-5e-Patchkabel (oder besser)
- Abmessungen
- Racktiefe: 42 cm.
- Abstand der Rack-Einheiten: 19"-Standard-Rackmontage nach EIA-310 mit quadratischen Löchern. Sie können pro HSM bis zu 4 Rack-Einheiten unterbringen.
- Sicherheit
- Die HSMs dürfen nicht mit Kameras oder drahtlosen Netzwerken wie Bluetooth ausgestattet sein.
- Das HSM muss gemäß FIPS 140-2 Level 3 oder höher zertifiziert sein.
- Die HSMs müssen vollständig remote verwaltbar sein.
Es gibt keine Anforderungen in Sachen Gewicht oder Kühlung.
Bereitstellungsübersicht
Um ein SLA mit einer Verfügbarkeit von 99,99% zu erhalten, müssen Sie die folgenden Anforderungen erfüllen:
- HSMs in mindestens zwei Google Cloud-Regionen bereitstellen.
- Stellen Sie mindestens zwei HSMs pro Region bereit (mindestens ein HSM pro Rack in mindestens zwei Racks).
Sie informieren Google über die MAC-Adresse jeder HSM-Netzwerkschnittstelle und deren zugewiesene IP-Adresse. Mit diesen Informationen kann Google die Verkabelung zwischen Server und Top-of-Rack prüfen und Fehler bei der Bereitstellung beheben.
Die Netzwerkanforderungen werden während der Einrichtung im Detail mit Ihrem Kundenbetreuer besprochen.
Netzwerktopologie
Ein Rackpaar an einem einzelnen Standort ist durch ein SLA von 99,9 % abgedeckt.
Eine vollständige Bereitstellung über zwei Standorte bietet ein SLA von 99,99 %.
Anwendungen sollten so konzipiert werden, dass sie dieses Redundanzmodell nutzen. Eine Anwendung sollte in der Lage sein, innerhalb eines einzigen Standorts von Zone 1 auf Zone 2 von HSM zu Zone 2 umzuschalten.
Wenn Sie das globale Routing aktivieren, können HSMs an beiden Standorten Google Cloud-Ressourcen in jeder Region erreichen.
Ein einzelner Partner Interconnect-Verbindungsfehler ist kein SLA-Verstoß.
Das folgende Diagramm zeigt die erforderliche Verbindung, um ein SLA von 99,99% für den Dienst zu erreichen.
- Jede regionale Bereitstellung enthält mindestens zwei Racks für Ihre Verwendung und einen Switch pro Rack.
- Die Top-of-Rack-Switches werden von Google bereitgestellt und stammen von verschiedenen Anbietern.
- Jeder Top-of-Rack-Switch hat eine 10G-Partner Interconnect-Verbindung mit redundanten VLAN-Anhängen für Partner Interconnect zu redundanten Cloud Routern.
- Jedes HSM sollte mindestens 2 1GE-Kupfer-Netzwerkschnittstellen mit redundanten Verbindungen zu beiden Top-of-Rack-Switches haben. Sowohl die Verwaltungs- als auch die Datenschnittstelle sollten jeweils eigene redundante Verbindungen zu beiden Top-of-Rack-Switches haben.
- Sie geben die IP-Adresszuweisungen für die HSM-Netzwerke an.
- Top-of-Rack-Switches bieten ihre lokal angehängten Subnetze dem Cloud Router-Paar an.
- Sie aktivieren globales dynamisches Routing in Ihrer Virtual Private Cloud (VPC), um den Zugriff auf die HSMs aus jeder Google Cloud-Region zu ermöglichen, in der Sie Ressourcen bereitgestellt haben. Globales dynamisches Routing ist ebenfalls erforderlich, um eine Verfügbarkeit von 99,99% zu erhalten.
- BGP zwischen den Top-of-Rack-Switches und den Cloud Routern in Ihrem Projekt tauschen Informationen zur Erreichbarkeit zwischen Google Cloud-Projektressourcen und den HSMs aus.
Netzwerkanforderungen
Sie müssen die folgenden Schritte für jede Racksgruppe in einer Region ausführen, damit Ihre HSMs mit Google gehostet werden können:
Erstellen Sie ein redundantes Paar von Cloud Routern pro Region mit ASN16550. Eine ausführliche Anleitung finden Sie unter Cloud Router erstellen.
Erstellen Sie mit den Cloud Routern aus dem vorherigen Schritt zwei redundante Paare von VLAN-Anhängen mit Partner Interconnect pro Region. Erstellen Sie die Anhänge mit der Vorabaktivierungsoption. Es sollten insgesamt vier Anhänge pro Region vorhanden sein. Wenn die Anhänge ohne aktivierte Voraktivierungsoption erstellt wurden, können Sie die Verbindungen manuell aktivieren.
Weitere Informationen zu Partner Interconnect und den Optionen zur Vorabaktivierung finden Sie unter Partner Interconnect – Übersicht.
Aktivieren Sie globales dynamisches Routing im VPC-Netzwerk.
- Führen Sie die Schritte unter 99,99% Verfügbarkeit für Partner Interconnect einrichten aus, um eine Verfügbarkeit von 99,99% zu erreichen.
- Bereitstellungen in einer einzelnen Region haben eine Verfügbarkeit von 99,9 %, bis die zweite Region verfügbar ist. Informationen zu diesem Fall finden Sie unter 99, 9% Verfügbarkeit für Partner Interconnect einrichten.
Konfigurieren Sie bei Bedarf Firewallregeln, um Traffic zwischen Ihrem Standort und den Projektressourcen zuzulassen.
Google kontaktieren
Dieses Produkt ist nur für Kunden mit bestimmten geschäftlichen und technischen Anforderungen verfügbar. Dieses Produkt ist in ausgewählten Regionen weltweit verfügbar.
Wenn Sie an Bare-Metal-HSM von Google interessiert sind, wenden Sie sich an Ihren Kundenbetreuer.