En esta página, se proporciona una descripción general de la solución de HSM de Bare Metal.
Descripción general
Bare Metal HSM es una oferta de infraestructura como servicio que te permite implementar módulos de seguridad de hardware (HSM) propiedad del cliente junto a tus cargas de trabajo deGoogle Cloud . Tus HSM se implementan en instalaciones que cumplen con los requisitos de la PCI para satisfacer tus necesidades de seguridad, cumplimiento y baja latencia.
Para ayudarte a migrar tus cargas de trabajo a la nube, Google aloja tus HSM, y te proporciona seguridad física y de red, espacio en racks y estantes, energía e integración de red por una tarifa mensual.
Bare Metal HSM te permite contratar directamente con Google la colocación de tus HSM. Los HSM se colocan dentro de las instalaciones de colocación especificadas y se conectan aGoogle Cloud.
La solución de HSM Bare Metal es compatible con las instalaciones de colocación con estructuras de interconexión activas. Estas instalaciones cumplen y superan los estándares de Google para la seguridad de los centros de datos y brindan un servicio de baja latencia y alta disponibilidad.
Comparación con el HSM para bastidor Bare Metal
Tanto el HSM para bastidor Bare Metal como el HSM Bare Metal te permiten alojar tus propios HSM en las instalaciones de Google Cloud . La principal diferencia entre las soluciones de HSM para bastidor Bare Metal y HSM Bare Metal es la escala. En la siguiente tabla, se resumen las diferencias clave entre estas soluciones:
| HSM de Bare Metal | HSM para bastidor Bare Metal |
|---|---|
| Google aloja tus HSM por dispositivo. | Google aloja tus HSM por rack. |
| Tienes acceso lógico a tus HSM, pero no tienes acceso físico. | Tienes acceso lógico a tus HSM y puedes programar un acceso físico escoltado. |
| Diseñado para implementaciones pequeñas de entre 10 y 15 HSM | Diseñado para implementaciones grandes a nivel de rack de 100 o más HSM |
Si no sabes cuál de estas soluciones es la adecuada para tus necesidades, comunícate con tu representante de cuenta.
Modelo operativo
- Proceso de integración
- Contrato: Mínimo de 12 meses Se requiere asistencia premium.
- Adquisición y configuración: Tu organización adquiere, configura y envía los HSM a Google.
- Instalación y conexión: Google implementa tus HSM y configura la conexión de interconexión de socio.
- Validación y entrega: Confirma la solución de ingeniería y la accesibilidad a los HSM, prueba la solución y da tu aprobación.
- Modelo de asistencia
- Google proporciona asistencia para la instalación y el apilamiento, el alojamiento, las manos inteligentes, el cumplimiento y la conexión de interconexión de socio.
- Trabaja con tu proveedor de HSM para obtener asistencia sobre el software, las licencias, las herramientas y la solución de problemas del HSM.
- Proceso de retiro
- Presentas una solicitud de baja.
- Debes borrar todos los datos y, luego, inicializar todos los HSM con la configuración predeterminada de fábrica.
Requisitos de cumplimiento
Esta oferta se limita a los HSM que están certificados con FIPS 140-2 nivel 3 o superior, y no es un servicio generalizado de alojamiento o colocación. La solución de HSM de Bare Metal se aloja en instalaciones que cumplen con los estándares PCI DSS, PCI 3DS y SOC 1, 2 y 3. Google admitirá tu AOC para el cumplimiento de PCI-PIN, PCI-P2PE y SOC en todas las regiones.
Separación de responsabilidades
Es tu responsabilidad obtener y aprovisionar los HSM, y enviarlos a las regiones Google Cloud correspondientes. Los HSM que se usan son a tu elección, pero deben cumplir con los requisitos de equipo de HSM.
Google preconfigura los racks, los conmutadores de la parte superior del rack y la conectividad. Los conmutadores son de diferentes proveedores para cada par de bastidores. En el caso de la solución de HSM Bare Metal, tienes tus propios racks y conmutadores dedicados. Google proporciona un servicio de montaje para tus HSM y trabaja contigo para validar la conexión de interconexión de socio. Cada rack tiene fuentes de alimentación redundantes.
Cómo acceder al HSM de Bare Metal
Tienes acceso de administración lógica a tus HSM y eres responsable de su mantenimiento y administración. Mantienes el control total de tus HSM.
Google no tiene acceso lógico a tus HSM, pero proporciona y mantiene los racks, los conmutadores y la conexión. Google no tiene acceso a los datos ni a las claves de tu HSM.
Debes implementar HSM con capacidad de administración remota completa. No puedes acceder físicamente a tus HSM mientras estén en la instalación de colocación.
Google proporciona un servicio de asistencia remota. No se permiten visitas de clientes a las instalaciones. Eres responsable de tus propios requisitos de cumplimiento y auditoría.
Al final de tu contrato o de la vida útil del HSM, envías una solicitud para dar de baja los HSM y borrar todos los datos, o bien restablecer la configuración de fábrica de los HSM. Después de que se borren o restablezcan los HSM y se obtenga la autorización legal, se te devolverán los HSM o se destruirán si no se pueden devolver.
Requisitos del equipo de HSM
En esta sección, se detallan los requisitos físicos de los HSM y los cables asociados para alojar HSM en una instalación de Google.
La cantidad de HSM que puede caber en un bastidor depende de la cantidad de puertos disponibles en el modelo actual del conmutador de la parte superior del bastidor, la cantidad de unidades de bastidor que se usaron en el modelo de HSM y el consumo de energía de los HSM.
- Alimentación
- Fuentes de alimentación de CA dobles (16 A como máximo por fuente de alimentación)
- Distribución de energía
- Línea a línea de 208 V (para ubicaciones en Estados Unidos)
- PDU para rack que proporciona receptáculos y tomacorrientes C13 o C19.
- Cables de alimentación (debe proporcionarlos el usuario)
- El extremo del cable de la PDU para rack debe tener conectores de tipo C14 o C20.
- 2 cables de alimentación de 2 metros (longitud preferida).
- Red
- Controlador de interfaz de red: NIC de cobre dual de 1 g (si corresponde).
- Cables de red (debes proporcionarlos tú)
- 2 cables de parche CAT-5e o mejores de 2 metros (longitud preferida)
- Dimensiones físicas
- Profundidad del rack: 106.7 cm (42 in)
- Espacio entre unidades de rack: Soporte de rack estándar EIA-310 de 19" con soportes de orificio cuadrado. Puedes ocupar hasta 4 unidades de rack por HSM.
- Seguridad
- Los HSM no pueden estar equipados con cámaras ni redes inalámbricas, como Bluetooth.
- El HSM debe estar certificado con el nivel 3 del estándar FIPS 140-2 o un nivel superior.
- El HSM debe poder administrarse de forma remota por completo.
No hay requisitos de peso ni de enfriamiento.
Descripción general de implementación
Para cumplir con un ANS del 99.99% de tiempo de actividad, debes cumplir con los siguientes requisitos:
- Implementa HSM en un mínimo de dos zonas, ya sean dos Google Cloud regiones diferentes o, si están disponibles, dos zonas en la misma región.
- Implementa un mínimo de dos HSM por zona (al menos un HSM por rack en al menos dos racks).
Proporciona a Google la dirección MAC de cada interfaz de red del HSM y su dirección IP asignada. Esta información ayuda a Google a verificar el cableado del servidor al rack superior y facilita la solución de problemas durante el proceso de implementación.
Los requisitos de red se analizarán con más detalle con tu representante de cuenta durante el proceso de integración.
Topología de red
Un par de racks en una sola zona está cubierto por un ANS del 99.9%.
Una implementación completa en dos zonas proporciona un ANS del 99.99%. Esto se puede lograr con dos regiones o, cuando estén disponibles, dos zonas en la misma región.
Las aplicaciones deben diseñarse para aprovechar este modelo de redundancia. Una aplicación debe poder conmutar por error de la zona 1 a la zona 2 dentro de una misma ubicación, de HSM a HSM.
Habilitar la función de enrutamiento global permite que los HSM de cualquier ubicación lleguen a los recursos deGoogle Cloud en cualquier región.
La falla de una sola conexión de interconexión de socio no constituye un incumplimiento del ANS.
En el siguiente diagrama de alto nivel, se muestra la conectividad necesaria para lograr un ANS del 99.99% en el servicio.
- Cada implementación de zona contiene un mínimo de dos racks para tu uso y un conmutador por rack.
- Google proporciona los conmutadores de la parte superior del rack, que son de diferentes proveedores.
- Cada conmutador de la parte superior del rack tiene una interconexión de socio de 10 G con adjuntos de VLAN redundantes para la interconexión de socio a Cloud Routers redundantes.
- Cada HSM debe tener un mínimo de 2 interfaces de red de cobre de 1 GE con conexiones redundantes a ambos interruptores de la parte superior del bastidor. Tanto la interfaz de administración como la de datos deben tener sus propias conexiones redundantes a ambos interruptores de la parte superior del bastidor.
- Proporcionas las asignaciones de direcciones IP para las redes de HSM.
- Los interruptores de parte superior de bastidor anuncian sus subredes conectadas localmente al par de Cloud Routers.
- Habilita el enrutamiento dinámico global en tu nube privada virtual (VPC) para permitir el acceso a los HSM desde cualquier región de Google Cloud en la que hayas implementado recursos. El enrutamiento dinámico global también es necesario para cumplir con los requisitos de disponibilidad del 99.99%.
- El BGP entre los conmutadores de la parte superior del rack y los Cloud Routers de tu proyecto intercambia información de accesibilidad para enrutar entre los recursos del proyecto Google Cloud y los HSM.
Requisitos de Herramientas de redes
Debes completar los siguientes pasos para cada conjunto de racks en una zona para permitir que Google aloje tus HSM:
Crea un par redundante de Cloud Routers por zona con el ASN 16550. Para obtener instrucciones detalladas, consulta Crea Cloud Routers.
Crea dos pares redundantes de adjuntos de VLAN con interconexión de socio por zona con los Cloud Routers del paso anterior. Crea los archivos adjuntos con la opción de preactivación habilitada. Debe haber un total de cuatro soportes por zona. Si los archivos adjuntos se crearon sin la opción de preactivación habilitada, puedes activar las conexiones de forma manual.
Para obtener más información sobre la interconexión de socio y las opciones previas a la activación, consulta la descripción general de la interconexión de socio.
Habilita el enrutamiento dinámico global en la red de VPC.
- Para lograr una disponibilidad del 99.99%, sigue los pasos que se indican en Cómo establecer un 99.99% de disponibilidad para la interconexión de socio.
- Las implementaciones en una sola zona tienen una disponibilidad del 99.9% hasta que la segunda zona esté disponible. En este caso, consulta Establece el 99.9% de disponibilidad para la interconexión de socio.
Configura las reglas de firewall según sea necesario para permitir el tráfico entre tus instalaciones y los recursos del proyecto.
Compatibilidad de la ubicación
El HSM de Bare Metal está disponible en las siguientes ubicaciones de Cloud KMS:
| Área geográfica | Nombre de la ubicación | Descripción de la ubicación | Zonas por región |
|---|---|---|---|
| América | us-central1 |
Iowa | 1 |
| América | us-south1 |
Dallas | 1 |
| América | us-east4 |
Virginia del Norte | 1 |
| América | us-west1 |
Oregón | 1 |
| Europa | europe-west4 |
Países Bajos | 1 |
| Europa | europe-west3 |
Fráncfort | 1 |
| América | southamerica-west1 |
Santiago | 1 |
| América | southamerica-east1 |
São Paulo | 1 |
| Oriente Medio | me-west1 |
Tel Aviv | 2 |
Comunicarse con Google
Este producto solo está disponible para los clientes que cumplen con requisitos comerciales y técnicos específicos.
Si te interesa usar el HSM de Bare Metal con Google, comunícate con tu representante de cuenta para obtener asistencia adicional.