HSM de Bare Metal

En esta página, se proporciona una descripción general de la solución de HSM de Bare Metal.

Descripción general

Bare Metal HSM es una oferta de infraestructura como servicio que te permite implementar módulos de seguridad de hardware (HSM) propiedad del cliente junto a tus cargas de trabajo deGoogle Cloud . Tus HSM se implementan en instalaciones que cumplen con los requisitos de la PCI para satisfacer tus necesidades de seguridad, cumplimiento y baja latencia.

Para ayudarte a migrar tus cargas de trabajo a la nube, Google aloja tus HSM, y te proporciona seguridad física y de red, espacio en racks y estantes, energía e integración de red por una tarifa mensual.

Bare Metal HSM te permite contratar directamente con Google la colocación de tus HSM. Los HSM se colocan dentro de las instalaciones de colocación especificadas y se conectan aGoogle Cloud.

La solución de HSM Bare Metal es compatible con las instalaciones de colocación con estructuras de interconexión activas. Estas instalaciones cumplen y superan los estándares de Google para la seguridad de los centros de datos y brindan un servicio de baja latencia y alta disponibilidad.

Comparación con el HSM para bastidor Bare Metal

Tanto el HSM para bastidor Bare Metal como el HSM Bare Metal te permiten alojar tus propios HSM en las instalaciones de Google Cloud . La principal diferencia entre las soluciones de HSM para bastidor Bare Metal y HSM Bare Metal es la escala. En la siguiente tabla, se resumen las diferencias clave entre estas soluciones:

HSM de Bare Metal HSM para bastidor Bare Metal
Google aloja tus HSM por dispositivo. Google aloja tus HSM por rack.
Tienes acceso lógico a tus HSM, pero no tienes acceso físico. Tienes acceso lógico a tus HSM y puedes programar un acceso físico escoltado.
Diseñado para implementaciones pequeñas de entre 10 y 15 HSM Diseñado para implementaciones grandes a nivel de rack de 100 o más HSM

Si no sabes cuál de estas soluciones es la adecuada para tus necesidades, comunícate con tu representante de cuenta.

Modelo operativo

  • Proceso de integración
    • Contrato: Mínimo de 12 meses Se requiere asistencia premium.
    • Adquisición y configuración: Tu organización adquiere, configura y envía los HSM a Google.
    • Instalación y conexión: Google implementa tus HSM y configura la conexión de interconexión de socio.
    • Validación y entrega: Confirma la solución de ingeniería y la accesibilidad a los HSM, prueba la solución y da tu aprobación.
  • Modelo de asistencia
    • Google proporciona asistencia para la instalación y el apilamiento, el alojamiento, las manos inteligentes, el cumplimiento y la conexión de interconexión de socio.
    • Trabaja con tu proveedor de HSM para obtener asistencia sobre el software, las licencias, las herramientas y la solución de problemas del HSM.
  • Proceso de retiro
    • Presentas una solicitud de baja.
    • Debes borrar todos los datos y, luego, inicializar todos los HSM con la configuración predeterminada de fábrica.

Requisitos de cumplimiento

Esta oferta se limita a los HSM que están certificados con FIPS 140-2 nivel 3 o superior, y no es un servicio generalizado de alojamiento o colocación. La solución de HSM de Bare Metal se aloja en instalaciones que cumplen con los estándares PCI DSS, PCI 3DS y SOC 1, 2 y 3. Google admitirá tu AOC para el cumplimiento de PCI-PIN, PCI-P2PE y SOC en todas las regiones.

Separación de responsabilidades

Es tu responsabilidad obtener y aprovisionar los HSM, y enviarlos a las regiones Google Cloud correspondientes. Los HSM que se usan son a tu elección, pero deben cumplir con los requisitos de equipo de HSM.

Google preconfigura los racks, los conmutadores de la parte superior del rack y la conectividad. Los conmutadores son de diferentes proveedores para cada par de bastidores. En el caso de la solución de HSM Bare Metal, tienes tus propios racks y conmutadores dedicados. Google proporciona un servicio de montaje para tus HSM y trabaja contigo para validar la conexión de interconexión de socio. Cada rack tiene fuentes de alimentación redundantes.

Cómo acceder al HSM de Bare Metal

Tienes acceso de administración lógica a tus HSM y eres responsable de su mantenimiento y administración. Mantienes el control total de tus HSM.

Google no tiene acceso lógico a tus HSM, pero proporciona y mantiene los racks, los conmutadores y la conexión. Google no tiene acceso a los datos ni a las claves de tu HSM.

Debes implementar HSM con capacidad de administración remota completa. No puedes acceder físicamente a tus HSM mientras estén en la instalación de colocación.

Google proporciona un servicio de asistencia remota. No se permiten visitas de clientes a las instalaciones. Eres responsable de tus propios requisitos de cumplimiento y auditoría.

Al final de tu contrato o de la vida útil del HSM, envías una solicitud para dar de baja los HSM y borrar todos los datos, o bien restablecer la configuración de fábrica de los HSM. Después de que se borren o restablezcan los HSM y se obtenga la autorización legal, se te devolverán los HSM o se destruirán si no se pueden devolver.

Requisitos del equipo de HSM

En esta sección, se detallan los requisitos físicos de los HSM y los cables asociados para alojar HSM en una instalación de Google.

La cantidad de HSM que puede caber en un bastidor depende de la cantidad de puertos disponibles en el modelo actual del conmutador de la parte superior del bastidor, la cantidad de unidades de bastidor que se usaron en el modelo de HSM y el consumo de energía de los HSM.

  • Alimentación
    • Fuentes de alimentación de CA dobles (16 A como máximo por fuente de alimentación)
  • Distribución de energía
    • Línea a línea de 208 V (para ubicaciones en Estados Unidos)
    • PDU para rack que proporciona receptáculos y tomacorrientes C13 o C19.
  • Cables de alimentación (debe proporcionarlos el usuario)
    • El extremo del cable de la PDU para rack debe tener conectores de tipo C14 o C20.
    • 2 cables de alimentación de 2 metros (longitud preferida).
  • Red
    • Controlador de interfaz de red: NIC de cobre dual de 1 g (si corresponde).
  • Cables de red (debes proporcionarlos tú)
    • 2 cables de parche CAT-5e o mejores de 2 metros (longitud preferida)
  • Dimensiones físicas
    • Profundidad del rack: 106.7 cm (42 in)
    • Espacio entre unidades de rack: Soporte de rack estándar EIA-310 de 19" con soportes de orificio cuadrado. Puedes ocupar hasta 4 unidades de rack por HSM.
  • Seguridad
    • Los HSM no pueden estar equipados con cámaras ni redes inalámbricas, como Bluetooth.
    • El HSM debe estar certificado con el nivel 3 del estándar FIPS 140-2 o un nivel superior.
  • El HSM debe poder administrarse de forma remota por completo.

No hay requisitos de peso ni de enfriamiento.

Descripción general de implementación

Para cumplir con un ANS del 99.99% de tiempo de actividad, debes cumplir con los siguientes requisitos:

  • Implementa HSM en un mínimo de dos zonas, ya sean dos Google Cloud regiones diferentes o, si están disponibles, dos zonas en la misma región.
  • Implementa un mínimo de dos HSM por zona (al menos un HSM por rack en al menos dos racks).

Proporciona a Google la dirección MAC de cada interfaz de red del HSM y su dirección IP asignada. Esta información ayuda a Google a verificar el cableado del servidor al rack superior y facilita la solución de problemas durante el proceso de implementación.

Los requisitos de red se analizarán con más detalle con tu representante de cuenta durante el proceso de integración.

Topología de red

Un par de racks en una sola zona está cubierto por un ANS del 99.9%.

Una implementación completa en dos zonas proporciona un ANS del 99.99%. Esto se puede lograr con dos regiones o, cuando estén disponibles, dos zonas en la misma región.

Las aplicaciones deben diseñarse para aprovechar este modelo de redundancia. Una aplicación debe poder conmutar por error de la zona 1 a la zona 2 dentro de una misma ubicación, de HSM a HSM.

Habilitar la función de enrutamiento global permite que los HSM de cualquier ubicación lleguen a los recursos deGoogle Cloud en cualquier región.

La falla de una sola conexión de interconexión de socio no constituye un incumplimiento del ANS.

En el siguiente diagrama de alto nivel, se muestra la conectividad necesaria para lograr un ANS del 99.99% en el servicio.

Topología de red para HSM de Bare Metal

  • Cada implementación de zona contiene un mínimo de dos racks para tu uso y un conmutador por rack.
  • Google proporciona los conmutadores de la parte superior del rack, que son de diferentes proveedores.
  • Cada conmutador de la parte superior del rack tiene una interconexión de socio de 10 G con adjuntos de VLAN redundantes para la interconexión de socio a Cloud Routers redundantes.
  • Cada HSM debe tener un mínimo de 2 interfaces de red de cobre de 1 GE con conexiones redundantes a ambos interruptores de la parte superior del bastidor. Tanto la interfaz de administración como la de datos deben tener sus propias conexiones redundantes a ambos interruptores de la parte superior del bastidor.
  • Proporcionas las asignaciones de direcciones IP para las redes de HSM.
  • Los interruptores de parte superior de bastidor anuncian sus subredes conectadas localmente al par de Cloud Routers.
  • Habilita el enrutamiento dinámico global en tu nube privada virtual (VPC) para permitir el acceso a los HSM desde cualquier región de Google Cloud en la que hayas implementado recursos. El enrutamiento dinámico global también es necesario para cumplir con los requisitos de disponibilidad del 99.99%.
  • El BGP entre los conmutadores de la parte superior del rack y los Cloud Routers de tu proyecto intercambia información de accesibilidad para enrutar entre los recursos del proyecto Google Cloud y los HSM.

Requisitos de Herramientas de redes

Debes completar los siguientes pasos para cada conjunto de racks en una zona para permitir que Google aloje tus HSM:

  1. Crea un par redundante de Cloud Routers por zona con el ASN 16550. Para obtener instrucciones detalladas, consulta Crea Cloud Routers.

  2. Crea dos pares redundantes de adjuntos de VLAN con interconexión de socio por zona con los Cloud Routers del paso anterior. Crea los archivos adjuntos con la opción de preactivación habilitada. Debe haber un total de cuatro soportes por zona. Si los archivos adjuntos se crearon sin la opción de preactivación habilitada, puedes activar las conexiones de forma manual.

    Para obtener más información sobre la interconexión de socio y las opciones previas a la activación, consulta la descripción general de la interconexión de socio.

  3. Habilita el enrutamiento dinámico global en la red de VPC.

  4. Configura las reglas de firewall según sea necesario para permitir el tráfico entre tus instalaciones y los recursos del proyecto.

Compatibilidad de la ubicación

El HSM de Bare Metal está disponible en las siguientes ubicaciones de Cloud KMS:

Área geográfica Nombre de la ubicación Descripción de la ubicación Zonas por región
América us-central1 Iowa 1
América us-south1 Dallas 1
América us-east4 Virginia del Norte 1
América us-west1 Oregón 1
Europa europe-west4 Países Bajos 1
Europa europe-west3 Fráncfort 1
América southamerica-west1 Santiago 1
América southamerica-east1 São Paulo 1
Oriente Medio me-west1 Tel Aviv 2

Comunicarse con Google

Este producto solo está disponible para los clientes que cumplen con requisitos comerciales y técnicos específicos.

Si te interesa usar el HSM de Bare Metal con Google, comunícate con tu representante de cuenta para obtener asistencia adicional.