En esta página, se proporciona una descripción general de la solución de HSM Bare Metal.
Descripción general
Bare Metal HSM es una oferta de infraestructura como servicio que te permite implementar módulos de seguridad de hardware (HSM) del cliente junto a tus cargas de trabajo de Google Cloud. Tus HSM se implementan en instalaciones que cumplen con la PCI para satisfacer tus requisitos de seguridad, cumplimiento y latencia baja.
Para admitir el traslado de tus cargas de trabajo a la nube, Google aloja tus HSM y proporciona seguridad física y de red, espacio en bastidores y estantes, energía e integración de red por una tarifa mensual.
Bare Metal HSM te permite contratar directamente a Google para la colocación de los HSM. Los HSM se colocan dentro de instalaciones de colocación especificadas y se conectan a Google Cloud.
La solución Bare Metal HSM es compatible con instalaciones de colocación con estructuras de intercambio de tráfico activas. Estas instalaciones cumplen y superan los estándares de seguridad de los centros de datos de Google y proporcionan un servicio de baja latencia y alta disponibilidad.
Comparación con Bare Metal Rack HSM
Tanto Bare Metal Rack HSM como Bare Metal te permiten alojar tus propios HSM en las instalaciones de Google Cloud. La diferencia principal entre las soluciones de HSM de Bare Metal Rack y Bare Metal HSM es el escalamiento. En la siguiente tabla, se resumen las diferencias clave entre estas soluciones:
HSM físico de Bare Metal | HSM para bastidor Bare Metal |
---|---|
Google aloja tus HSM por dispositivo. | Google aloja tus HSM por bastidor. |
Tienes acceso lógico a tus HSM, pero no tienes acceso físico. | Tienes acceso lógico a tus HSM y puedes programar el acceso físico acompañado. |
Pensado para implementaciones pequeñas de 10-15 HSM | Diseñada para implementaciones grandes a nivel de bastidor de 100 o más HSM |
Si no estás seguro de cuál de estas soluciones es la adecuada para tus necesidades, comunícate con tu representante de cuenta.
Modelo operativo
- Proceso de integración
- Contrato: mínimo de 12 meses. Se requiere Asistencia premium.
- Adquisición y configuración: tu organización adquiere, configura y envía HSM a Google.
- Rastrear, apilar y conectarse: Google implementa tus HSM y configura la conexión de interconexión de socio.
- Validación y traspaso: Confirma la solución de ingeniería y la accesibilidad a los HSM, prueba la solución y pruébala.
- Modelo de asistencia
- Google proporciona asistencia para bastidores y pilas, hosting, manos inteligentes, cumplimiento y conexión de interconexión de socio.
- Trabaja con tu proveedor de HSM para obtener compatibilidad con el software, las licencias, las herramientas y la solución de problemas de HSM.
- Proceso de retiro
- Envías una solicitud de retiro de servicio.
- Debes borrar todos los datos y, luego, inicializar todos los HSM a la configuración predeterminada de fábrica.
Requisitos de cumplimiento
Esta oferta se limita a los HSM certificados con el nivel 3 del estándar FIPS 140‐2 o superior, y no es un servicio de hosting o colocación generalizado. La solución Bare Metal HSM se aloja en instalaciones que cumplen en su totalidad con PCI-DSS, PCI-3DS y SOC 1, 2 y 3. Google admitirá el cumplimiento de tu AOC para el cumplimiento de PCI-PIN, PCI-P2PE y SOC en todas las regiones.
Separación de responsabilidades
Es tu responsabilidad obtener y aprovisionar los HSM, y enviarlos a las regiones adecuadas de Google Cloud. Los HSM usados son tu elección, pero deben cumplir con los requisitos de equipo de HSM.
Google preconfigura los bastidores, los interruptores de la parte superior del bastidor y la conectividad. Los conmutadores son de diferentes proveedores para cada par de bastidores. Para la solución Bare Metal HSM, tienes tus propios interruptores y bastidores dedicados. Google proporciona un servicio de bastidores para tus HSM y trabaja contigo para validar la conexión de interconexión de socio. Cada bastidor tiene fuentes de alimentación redundantes.
Cómo acceder al HSM de Bare Metal
Tienes acceso de administración lógica a tus HSM y eres responsable de su mantenimiento y administración. Mantienes el control total de tus HSM.
Google no tiene acceso lógico a tus HSM, pero proporciona y mantiene los bastidores, el cambio y la conexión. Google no tiene acceso a los datos ni a las claves de tu HSM.
Debes implementar HSM con capacidad completa de administración remota. No puedes acceder físicamente a tus HSM mientras se encuentran en la instalación de colocación.
Google ofrece un servicio de manos remotas. No se permiten las visitas de los clientes a las instalaciones. Eres responsable de tus propios requisitos de cumplimiento y auditoría.
Al final de tu contrato o del final del ciclo de vida del HSM, envías una solicitud para retirar los HSM y borrar todos los datos o restablecerlos a la configuración de fábrica. Una vez que se borran o restablecen los HSM y se obtiene la autorización legal, se te enviarán de vuelta o se destruirán si no se pueden devolver.
Requisitos del equipo de HSM
En esta sección, se detallan los requisitos físicos de los HSM y los cables asociados para alojar HSM en una instalación de Google.
La cantidad de HSM que pueden caber en un bastidor depende de la cantidad de puertos disponibles en el modelo actual del interruptor de la parte superior del bastidor, la cantidad de unidades de bastidor que ocupa el modelo HSM y la consumo de energía de los HSM.
- Alimentación
- Fuentes de alimentación de CA dobles (16 A como máximo por fuente de alimentación).
- Distribución de energía
- Línea a línea de 208 V (para ubicaciones de Estados Unidos).
- Rack PDU con receptáculos y tomacorrientes C13 o C19
- Cables de alimentación (que debes proporcionar)
- El extremo del cable de la PDU del bastidor debe ser del tipo C14 o C20.
- 2 cables de alimentación de 6 pies o 2 metros (longitud preferida).
- Red
- Controlador de interfaz de red: NIC de cobre dobles de 1g (si corresponde).
- Cables de red (que debes proporcionar)
- Cables de conexión Cat-5e de 2 x 6 pies o 2 metros (longitud preferida).
- Dimensiones físicas
- Profundidad del rack: 104 cm de profundidad.
- Distancia de la unidad de bastidor: Soporte de bastidor estándar EIA-310 de 19" con monturas para orificios cuadrados. Puedes ocupar hasta 4 unidades de bastidor por HSM.
- Seguridad
- Los HSM no pueden equiparse con cámaras ni redes inalámbricas, como Bluetooth.
- El HSM debe contar con certificación FIPS 140‐2 de Nivel 3 o uno superior.
- El HSM debe ser completamente administrable de forma remota.
No hay requisitos de peso ni de enfriamiento.
Descripción general de implementación
Si quieres calificar para un ANS de tiempo de actividad del 99.99%, debes cumplir con los siguientes requisitos:
- Implementa los HSM en un mínimo de dos regiones de Google Cloud.
- Implementa un mínimo de dos HSM por región (al menos un HSM por bastidor en al menos dos bastidores).
Le proporcionas a Google la dirección MAC para cada interfaz de red de HSM y su dirección IP asignada. Esta información ayuda a Google a verificar el cableado de servidor a bastidor y facilita la solución de problemas durante el proceso de implementación.
Los requisitos de red se analizarán con más detalle con el representante de tu cuenta durante el proceso de integración.
Topología de la red
Un par de bastidores en una sola ubicación está cubierto por un ANS del 99.9%.
Una implementación completa en dos ubicaciones proporciona un ANS del 99.99%.
Las aplicaciones deben diseñarse para aprovechar este modelo de redundancia. Una aplicación debería poder conmutar por error de la zona 1 a la zona 2 en una sola ubicación, de HSM a HSM.
Habilitar la función de enrutamiento global permite que los HSM de cualquier ubicación lleguen a los recursos de Google Cloud de cualquier región.
Una sola falla de conexión de interconexión de socio no constituye un incumplimiento del ANS.
En el siguiente diagrama de alto nivel, se muestra la conectividad necesaria para lograr un ANS del 99.99% en el servicio.
- Cada implementación de región contiene un mínimo de dos bastidores para tu uso y un interruptor por bastidor.
- Google proporciona los interruptores de la parte superior del bastidor y provienen de diferentes proveedores.
- Cada interruptor de la parte superior del bastidor tiene una interconexión de socio de 10 G con adjuntos de VLAN redundantes para la interconexión de socio a Cloud Routers redundantes.
- Cada HSM debe tener un mínimo de 2 interfaces de red de cobre 1GE con conexiones redundantes a ambos interruptores de la parte superior del bastidor. Las interfaces de datos y de administración deben tener sus propias conexiones redundantes a los interruptores de la parte superior del bastidor.
- Debes proporcionar las asignaciones de direcciones IP para las redes de HSM.
- Los interruptores de parte superior de bastidor anuncian sus subredes conectadas localmente al par de Cloud Routers.
- Habilita el enrutamiento dinámico global en tu nube privada virtual (VPC) para permitir el acceso a los HSM desde cualquier región de Google Cloud en la que implementaste recursos. El enrutamiento dinámico global también es necesario para calificar para la disponibilidad del 99.99%.
- BGP entre los conmutadores de la parte superior del bastidor y los Cloud Routers de tu proyecto intercambian información de accesibilidad para enrutar entre los recursos del proyecto de Google Cloud y los HSM.
Requisitos de Herramientas de redes
Debes completar los siguientes pasos para cada conjunto de bastidores en una región a fin de permitir que tus HSM se alojen en Google:
Crea un par redundante de Cloud Routers por región con ASN16550. Para obtener instrucciones detalladas, consulta Crea Cloud Routers.
Crea dos pares redundantes de adjuntos de VLAN con interconexión de socio por región mediante los Cloud Routers del paso anterior. Crea los adjuntos con la opción de activación previa habilitada. Debe haber un total de cuatro adjuntos por región. Si los adjuntos se crearon sin la opción de activación previa habilitada, puedes activar las conexiones de forma manual.
Para obtener más información sobre la interconexión de socio y las opciones de activación previa, consulta Descripción general de la interconexión de socio.
Habilitar el enrutamiento dinámico global en la red de VPC
- Si deseas que se alcance una disponibilidad del 99.99%, sigue los pasos que se indican en Cómo establecer la disponibilidad del 99.99% para la interconexión de socio.
- Las implementaciones en una sola región tienen una disponibilidad del 99.9% hasta que esté disponible la segunda región. Para este caso, consulta Cómo establecer un 99.9% de disponibilidad para la interconexión de socio.
Configura reglas de firewall según sea necesario para permitir el tráfico entre los recursos locales y los del proyecto.
Comunicarse con Google
Este producto solo está disponible para clientes con requisitos comerciales y técnicos específicos. Este producto solo está disponible en algunas regiones de todo el mundo.
Si te interesa Bare Metal HSM con Google, comunícate con tu representante de cuenta para obtener asistencia adicional.