Cette page présente la solution Bare Metal HSM.
Présentation
Bare Metal HSM est une offre d'infrastructure en tant que service qui vous permet de déployer des modules de sécurité matérielle (HSM) appartenant au client à côté de vos charges de travailGoogle Cloud . Vos HSM sont déployés dans des installations conformes à la norme PCI pour répondre à vos exigences en termes de sécurité, de conformité et de faible latence.
Pour faciliter le transfert de vos charges de travail vers le cloud, Google héberge vos HSM, qui fournissent une sécurité physique et réseau, un espace de rack et d'étagère, une alimentation et une intégration réseau moyennant des frais mensuels.
Bare Metal HSM vous permet de conclure un contrat directement avec Google pour l'installation de vos HSM. Les HSM sont placés dans des installations hébergées en colocation spécifiées et se connectent àGoogle Cloud.
La solution HSM Bare Metal est compatible avec les installations hébergées en colocation avec des structures d'appairage actives. Ces installations répondent aux normes de sécurité de Google sur les centres de données et les dépassent, et offrent un service à haute disponibilité et à faible latence.
Comparaison avec le rack HSM Bare Metal
Les racks HSM Bare Metal et les HSM Bare Metal vous permettent d'héberger vos propres HSM dans des installations Google Cloud . La principale différence entre les solutions Rack HSM Bare Metal et HSM Bare Metal réside dans l'échelle. Le tableau suivant récapitule les principales différences entre ces solutions :
| HSM Bare Metal | Rack HSM Bare Metal |
|---|---|
| Google héberge vos HSM par appareil. | Google héberge vos HSM par rack. |
| Vous disposez d'un accès logique à vos HSM, mais pas d'accès physique. | Vous disposez d'un accès logique à vos HSM et pouvez planifier un accès physique accompagné. |
| Conçu pour les petits déploiements de 10 à 15 HSM | Conçu pour les déploiements à grande échelle au niveau du rack de 100 HSM ou plus |
Si vous ne savez pas quelle solution correspond le mieux à vos besoins, contactez votre responsable de compte.
Modèle opérationnel
- Processus d'intégration
- Contrat : 12 mois minimum. L'assistance Premium est requise.
- Achat et configuration : votre organisation acquiert, configure et expédie les HSM à Google.
- Mise en rack, empilement et connexion : Google déploie vos HSM et configure la connexion interconnexion partenaire.
- Validation et transfert : confirmez la solution d'ingénierie et l'accessibilité aux HSM, testez la solution et validez-la.
- Modèle d'assistance
- Google fournit une assistance pour l'installation et l'empilement des racks, l'hébergement, les services de proximité, la conformité et la connexion interconnexion partenaire.
- Contactez votre fournisseur de HSM pour obtenir de l'aide concernant les logiciels, les licences, les outils et le dépannage des HSM.
- Procédure de mise hors service
- Vous envoyez une demande de désactivation.
- Vous devez effacer toutes les données et initialiser tous les HSM pour rétablir la configuration d'usine.
Exigences de conformité
Cette offre est limitée aux HSM certifiés FIPS 140-2 de niveau 3 ou supérieur, et n'est pas un service d'hébergement ou de colocation généralisé. La solution Bare Metal HSM est hébergée dans des installations entièrement conformes aux normes PCI-DSS, PCI-3DS et SOC 1, 2 et 3. Google vous aidera à obtenir votre AOC pour la conformité PCI-PIN, PCI-P2PE et SOC dans toutes les régions.
Séparation des responsabilités
Il vous incombe d'obtenir et de provisionner les HSM, puis de les expédier aux régions Google Cloud appropriées. Les HSM utilisés sont de votre choix, mais ils doivent être conformes aux exigences concernant l'équipement HSM.
Google préconfigure les racks, les commutateur top-of-rack et la connectivité. Les commutateurs proviennent de fournisseurs différents pour chaque paire de racks. Pour la solution HSM Bare Metal, vous disposez de vos propres racks et commutateurs dédiés. Google fournit un service de rack pour vos HSM et vous aide à valider la connexion interconnexion partenaire. Chaque rack dispose d'alimentations redondantes.
Accéder à Bare Metal HSM
Vous disposez d'un accès logique à vos HSM et êtes responsable de leur maintenance et de leur gestion. Vous conservez un contrôle total sur vos HSM.
Google n'a pas d'accès logique à vos HSM, mais fournit et gère les racks, les commutateurs et la connexion. Google n'a pas accès aux données ni aux clés sur votre HSM.
Vous devez déployer des HSM avec une capacité de gestion à distance complète. Vous ne pouvez pas accéder physiquement à vos HSM lorsqu'ils se trouvent dans l'installation de colocation.
Google fournit un service de prise en main à distance. Les visites des clients dans l'établissement ne sont pas autorisées. Vous êtes responsable de vos propres exigences en termes de conformité et d'audit.
À la fin de votre contrat ou à la fin de vie du HSM, vous envoyez une demande de mise hors service des HSM et d'effacement de toutes les données, ou de rétablissement de la configuration d'usine des HSM. Une fois les HSM effacés ou réinitialisés et l'autorisation légale obtenue, ils vous seront renvoyés ou détruits s'ils ne peuvent pas être expédiés.
Exigences concernant l'équipement HSM
Cette section détaille les exigences physiques concernant les HSM et les câbles associés pour l'hébergement des HSM dans une installation Google.
Le nombre de HSM pouvant être intégrés dans un rack dépend du nombre de ports disponibles dans le modèle actuel de commutateurs top-of-rack, du nombre d'unités de rack utilisables par le modèle HSM et de la puissance absorbée par les HSM.
- Alimentation
- 2 adaptateurs secteur (16 A maximum par source d'alimentation).
- Distribution de l'alimentation
- Ligne 208 V (pour les États-Unis).
- Rack PDU permettant d'alimenter des prises/sorties C13 ou C19.
- Câbles d'alimentation (à fournir)
- L'extrémité du câble de rack PDU doit être de type C14 ou C20.
- Câbles d'alimentation de 2 mètres (longueur recommandée).
- Réseau
- Contrôleur d'interface réseau : 2 cartes d'interface réseau en cuivre 1 g (le cas échéant).
- Câbles réseau (à fournir)
- Câbles de raccordement de 5e catégorie ou plus de 2 mètres (longueur recommandée) 2 x 6 pieds (0,61 x 1,83 m) ou plus.
- Dimensions physiques
- Profondeur de rack : 42 pouces (107 mm).
- Espacement des racks : montage standard EIA-310 19" (48,26 cm) avec supports carrés. Vous pouvez occuper jusqu'à quatre unités de rack par HSM.
- Sécurité
- Les HSM ne peuvent pas être équipés de caméras ou de réseaux sans fil tels que Bluetooth.
- Le HSM doit être certifié FIPS 140-2 de niveau 3 ou supérieur.
- Le HSM doit être entièrement gérable.
Aucune pondération n'est requise concernant le poids ou le refroidissement.
Présentation du déploiement
Pour bénéficier d'un contrat de niveau de service assurant une disponibilité de 99,99 %, vous devez remplir les conditions suivantes :
- Déployez des HSM dans au moins deux zones : soit deux régions différentes, soit, si possible, deux zones dans la même région.Google Cloud
- déployer au moins deux HSM par zone (au moins un HSM par rack dans au moins deux racks) ;
Vous fournissez à Google l'adresse MAC de chaque interface réseau HSM et l'adresse IP qui lui est attribuée. Ces informations aident Google à vérifier le câblage serveur à commutateurs top-of-rack et facilitent le dépannage pendant le processus de déploiement.
Les exigences du réseau seront évaluées plus en détail avec votre responsable de compte lors du processus d'intégration.
Topologie du réseau
Une paire de racks dans une seule zone est couverte par un contrat de niveau de service garantissant une disponibilité de 99,9 %.
Un déploiement complet entre deux zones est couvert par un contrat de niveau de service garantissant une disponibilité de 99,99 %. Pour ce faire, vous pouvez utiliser deux régions ou, si possible, deux zones dans la même région.
Les applications doivent être conçues pour exploiter ce modèle de redondance. Une application doit pouvoir basculer de la zone 1 vers la zone 2 au sein d'un emplacement unique, d'un HSM à un autre.
L'activation de la fonctionnalité de routage global permet aux HSM, quel que soit leur emplacement, d'atteindre les ressourcesGoogle Cloud de n'importe quelle région.
Une défaillance d'interconnexion partenaire unique ne constitue pas une violation du contrat de niveau de service.
Le schéma de haut niveau suivant montre la connectivité requise pour obtenir un contrat de niveau de service garantissant une disponibilité de 99,99 % sur le service.
- Chaque déploiement de zone contient au moins deux racks pour votre utilisation et un commutateur par rack.
- Les commutateurs top-of-rack sont fournis par Google et proviennent de différents fournisseurs.
- Chaque commutateur top-of-rack dispose d'une interconnexion partenaire 10G avec des rattachements de VLAN redondants assurant la redondance de l'interconnexion partenaire avec les routeurs cloud.
- Chaque HSM doit disposer d'au moins deux interfaces réseau en cuivre 1GE avec des connexions redondantes aux deux commutateurs top-of-rack. Les interfaces de gestion et de données doivent disposer de leurs propres connexions redondantes aux deux commutateurs top-of-rack.
- Vous fournissez les attributions d'adresses IP pour les réseaux HSM.
- Les commutateurs top-of-rack annoncent leurs sous-réseaux associés localement à la paire de routeurs cloud.
- Vous activez le routage dynamique global dans votre cloud privé virtuel (VPC) pour autoriser l'accès aux HSM depuis n'importe quelle région Google Cloud où vous avez déployé des ressources. Le routage dynamique global est également requis pour bénéficier d'une disponibilité de 99,99 %.
- Le protocole BGP entre les commutateurs top-of-rack et les routeurs cloud de votre projet échange des informations de joignabilité pour le routage entre les ressources du projet Google Cloud et les HSM.
Exigences de mise en réseau
Vous devez effectuer les étapes suivantes pour chaque ensemble de racks dans une zone afin de permettre l'hébergement de vos HSM par Google :
Créez une paire redondante de routeurs cloud par zone avec le numéro ASN16550. Pour obtenir des instructions détaillées, consultez Créer des routeurs Cloud Router.
Créez deux paires redondantes de rattachements de VLAN avec une interconnexion partenaire par zone à l'aide des routeurs cloud de l'étape précédente. Créez les rattachements avec l'option de pré-activation activée. Vous devez créer un total de quatre rattachements par zone. Si les rattachements ont été créés sans l'option de pré-activation activée, vous pouvez activer les connexions manuellement.
Pour en savoir plus sur l'interconnexion partenaire et les options de pré-activation, consultez la page Présentation de l'interconnexion partenaire.
Activez le routage dynamique global dans le réseau VPC.
- Pour obtenir une disponibilité de 99,99 %, suivez les étapes décrites sur la page Établir une disponibilité de 99,99 % pour l'interconnexion partenaire.
- Les déploiements dans une seule zone offrent une disponibilité de 99,9 % jusqu'à ce que la deuxième zone soit disponible. Dans le cas présent, consultez la section Établir une disponibilité de 99,9 % pour l'interconnexion partenaire.
Configurez des règles de pare-feu si nécessaire pour autoriser le trafic entre vos ressources de site et de projet.
Compatibilité des zones géographiques
Bare Metal HSM est disponible dans les emplacements Cloud KMS suivants :
| Zone géographique | Nom du lieu | Description de l'emplacement | Zones par région |
|---|---|---|---|
| Amériques | us-central1 |
Iowa | 1 |
| Amériques | us-south1 |
Dallas | 1 |
| Amériques | us-east4 |
Virginie du Nord | 1 |
| Amériques | us-west1 |
Oregon | 1 |
| Europe | europe-west4 |
Pays-Bas | 1 |
| Europe | europe-west3 |
Francfort | 1 |
| Amériques | southamerica-west1 |
Santiago | 1 |
| Amériques | southamerica-east1 |
São Paulo | 1 |
| Moyen-Orient | me-west1 |
Tel Aviv | 2 |
Contacter Google
Ce produit n'est disponible que pour les clients qui répondent à des exigences commerciales et techniques spécifiques.
Si vous souhaitez utiliser Bare Metal HSM avec Google, contactez votre responsable de compte pour obtenir de l'aide.