Cette page présente la solution HSM Bare Metal.
Présentation
Bare Metal HSM est une offre Infrastructure as a Service qui vous permet de déployer des modules de sécurité matériels appartenant au client (HSM) à côté de vos charges de travail Google Cloud. Vos HSM sont déployés dans des installations conformes à la norme PCI pour répondre à vos exigences de sécurité, de conformité et de faible latence.
Pour vous aider à migrer vos charges de travail vers le cloud, Google héberge vos HSM. Des frais mensuels permettent d'assurer la sécurité physique et le réseau, l'espace disponible sur les racks et les étagères, l'alimentation et l'intégration réseau.
Le HSM Bare Metal vous permet de passer directement par Google pour l'emplacement de vos HSM. Les HSM sont placés dans des installations hébergées en colocation spécifiées et se connectent à Google Cloud.
La solution HSM Bare Metal est compatible avec les installations hébergées en colocation dotées de plates-formes d'appairage actives. Ces installations répondent aux normes de sécurité de Google sur les centres de données et les dépassent, et offrent un service à haute disponibilité et à faible latence.
Comparaison avec le HSM pour rack Bare Metal
Vous pouvez héberger vos propres HSM dans des installations Google Cloud. La principale différence entre les solutions HSM pour rack Bare Metal et HSM Bare Metal est l'évolutivité. Le tableau suivant récapitule les principales différences entre ces solutions:
HSM Bare Metal | HSM pour rack Bare Metal |
---|---|
Google héberge vos HSM par appareil. | Google héberge vos HSM par rack. |
Vous disposez d'un accès logique à vos HSM, mais aucun accès physique. | Vous disposez d'un accès logique à vos HSM et pouvez programmer un accès physique accompagné d'une escorte. |
Destiné aux petits déploiements de 10 à 15 HSM | Destiné aux déploiements de 100 HSM ou plus au niveau du rack. |
Si vous ne savez pas laquelle de ces solutions répond le mieux à vos besoins, contactez votre responsable de compte.
Modèle opérationnel
- Processus d'intégration
- Contrat: au moins 12 mois. L'assistance Premium est requise.
- Approvisionnement et configuration: votre entreprise acquiert, configure et envoie des HSM.
- Montage en rack et empilement et connexion: Google déploie vos HSM et configure l'interconnexion partenaire.
- Validation et transfert: confirmer la solution d'ingénierie et l'accessibilité aux HSM, tester la solution et approuver.
- Modèle d'assistance
- Google propose une assistance pour les racks et la pile, l'hébergement, les mains intelligentes, la conformité et la connexion par interconnexion partenaire.
- Contactez votre fournisseur HSM pour obtenir de l'aide concernant les logiciels HSM, les licences, les outils et le dépannage.
- Processus de mise hors service
- Vous envoyez une demande de mise hors service.
- Vous devez effacer toutes les données et initialiser tous les HSM à leurs paramètres d'usine.
Exigences de conformité
Cette offre est limitée aux HSM certifiés FIPS 140-2 de niveau 3 ou mieux. Elle ne constitue pas un service d'hébergement généralisé ou de colocation. La solution Bare Metal HSM est hébergée dans des installations entièrement conformes aux normes PCI-DSS, PCI-3DS et SOC 1, 2 et 3. Google vous assistera pour la conformité PCI-PIN, PCI-P2PE et SOC dans toutes les régions.
Séparation des responsabilités
Il vous incombe d'obtenir et de provisionner les HSM, puis de les expédier vers les régions Google Cloud appropriées. Vous êtes libre d'utiliser les HSM, mais ils doivent respecter les exigences en termes d'équipement HSM.
Google préconfigure les racks, les commutateur top-of-rack et la connectivité. Les commutateurs proviennent de fournisseurs différents pour chaque paire de racks. Pour la solution Bare Metal HSM, vous disposez de vos propres racks et commutateurs dédiés. Google fournit un service de rack pour vos HSM et vous aide à valider l'interconnexion partenaire. Chaque rack a une alimentation électrique redondante.
Accéder à Bare Metal HSM
Vous disposez d'un accès logique à vos HSM et êtes responsable de leur maintenance et de leur gestion. Vous conservez un contrôle total sur vos HSM.
Google ne dispose pas d'un accès logique à vos HSM, mais fournit et gère les racks, le commutateur et la connexion. Google n'a pas accès aux données ni aux clés stockées sur votre HSM.
Vous devez déployer des HSM dotés de fonctionnalités de gestion à distance complètes. Vous ne pouvez pas accéder physiquement à vos HSM lorsqu'ils se trouvent dans l'installation hébergée en colocation.
Google fournit un service de prise en main à distance. Les clients ne sont pas autorisés à se rendre dans les locaux. Vous êtes responsable de vos propres exigences de conformité et d'audit.
À la fin de votre contrat ou de la fin de vie du HSM, vous envoyez une demande de mise hors service des HSM, et d'effacement de toutes les données ou de restauration des HSM. Une fois que les HSM ont été effacés ou réinitialisés et obtenu l'autorisation légale, ils vous sont renvoyés ou détruits s'ils ne peuvent pas être retournés.
Exigences concernant l'équipement HSM
Cette section détaille les exigences physiques concernant les HSM et les câbles associés pour l'hébergement des HSM dans une installation Google.
Le nombre de HSM pouvant tenir dans un rack dépend du nombre de ports disponibles dans le modèle actuel du commutateur top-of-rack, du nombre d'unités de rack occupées par le modèle HSM et de la puissance électrique des HSM.
- Alimentation
- 2 adaptateurs secteur (16 A maximum par source d'alimentation).
- Distribution électrique
- Ligne 208 V (pour les États-Unis).
- PDU en rack fournissant des réceptacles et des prises C13 ou C19
- Câbles d'alimentation (à fournir)
- L'extrémité du câble de l'unité de distribution d'alimentation en rack doit être de type C14 ou C20.
- Câbles d'alimentation de 2 m ou 2 mètres (longueur recommandée).
- Réseau
- Contrôleur d'interface réseau : 2 cartes d'interface réseau en cuivre 1 g (le cas échéant).
- Câbles réseau (que vous devrez fournir)
- Des câbles de raccordement CAT-5e de 2 x 15 mètres ou de 2 mètres (longueur recommandée) ou de meilleure qualité.
- Dimensions physiques
- Profondeur de rack : 42 pouces (107 mm).
- Espacement des unités de rack: fixation de rack de 19 pouces standard EIA-310 avec fixations carrées Vous pouvez occuper jusqu'à quatre unités de rack par HSM.
- Sécurité
- Les HSM ne peuvent pas être équipés de caméras ou de réseaux sans fil tels que Bluetooth.
- Le HSM doit être certifié FIPS 140-2 de niveau 3 au minimum.
- Le HSM doit être entièrement gérable.
Aucune pondération n'est requise concernant le poids ou le refroidissement.
Présentation du déploiement
Pour bénéficier d'un contrat de niveau de service garantissant une disponibilité de 99,99 %, vous devez remplir les conditions suivantes:
- déployer des HSM dans au moins deux régions Google Cloud ;
- Déployez au moins deux HSM par région (au moins un HSM par rack dans au moins deux racks).
Vous fournissez à Google l'adresse MAC de chaque interface réseau HSM et l'adresse IP qui lui est attribuée. Ces informations aident Google à vérifier le câblage serveur à commutateurs top-of-rack et facilitent le dépannage pendant le processus de déploiement.
Les exigences du réseau seront évaluées plus en détail avec votre responsable de compte lors du processus d'intégration.
Topologie du réseau
Une paire de racks à un seul emplacement est couverte par un contrat de niveau de service garantissant une disponibilité de 99,9 %.
Un déploiement complet entre deux emplacements est couvert par un contrat de niveau service garantissant une disponibilité de 99,99 %.
Les applications doivent être conçues pour exploiter ce modèle de redondance. Une application doit pouvoir basculer de la zone 1 à la zone 2 au sein d'un même emplacement, de HSM à HSM.
L'activation de la fonctionnalité de routage global permet aux HSM de l'un ou l'autre emplacement d'atteindre les ressources Google Cloud de n'importe quelle région.
Un échec de connexion par interconnexion partenaire unique n'est pas une violation du contrat de niveau de service.
Le schéma général suivant illustre la connectivité requise pour obtenir un contrat de niveau de service de 99,99% sur le service.
- Chaque déploiement régional contient au moins deux racks pour votre utilisation et un commutateur par rack.
- Les commutateurs haut de gamme sont fournis par Google et proviennent de différents fournisseurs.
- Chaque commutateur top-of-rack dispose d'une interconnexion partenaire 10G avec des rattachements de VLAN redondants pour l'interconnexion partenaire avec les routeurs cloud redondants.
- Chaque HSM doit comporter au moins deux interfaces réseau en cuivre 1GE avec des connexions redondantes aux deux commutateurs haut du rack. Les interfaces de gestion et de données doivent avoir leurs propres connexions redondantes aux deux commutateurs haut de gamme.
- Vous indiquez les adresses IP allouées aux réseaux HSM.
- Les commutateurs top-of-rack annoncent leurs sous-réseaux associés localement à la paire de routeurs cloud.
- Vous activez le routage dynamique mondial dans votre cloud privé virtuel (VPC) pour autoriser l'accès aux HSM à partir de n'importe quelle région Google Cloud dans laquelle vous avez déployé des ressources. Le routage dynamique mondial est également requis pour bénéficier d'une disponibilité de 99,99 %.
- Le protocole BGP entre les commutateurs top-of-rack et les routeurs cloud de votre projet échange des informations de joignabilité pour le routage entre les ressources du projet Google Cloud et les HSM.
Exigences de mise en réseau
Procédez comme suit pour chaque ensemble de racks d'une région afin de permettre l'hébergement de vos HSM avec Google:
Créez une paire redondante de routeurs cloud par région avec le numéro ASN16550. Pour obtenir des instructions détaillées, consultez la page Créer des routeurs Cloud Router.
Créez deux paires redondantes de rattachements de VLAN avec une interconnexion partenaire par région à l'aide des routeurs cloud de l'étape précédente. Créez les rattachements avec l'option de pré-activation activée. Vous devez créer un total de quatre rattachements par région. Si les rattachements ont été créés sans que l'option de pré-activation n'ait été activée, vous pouvez activer les connexions manuellement.
Pour en savoir plus sur l'interconnexion partenaire et les options de préactivation, consultez la page Présentation de l'interconnexion partenaire.
activer le routage dynamique global dans le réseau VPC ;
- Pour obtenir une disponibilité de 99,99 %, suivez la procédure décrite dans la section Établir une disponibilité de 99,99% pour l'interconnexion partenaire.
- Les déploiements dans une seule région offrent une disponibilité de 99,9 % jusqu'à ce que la deuxième région soit disponible. Pour ce cas, consultez la section Établir une disponibilité de 99,9% pour l'interconnexion partenaire.
Configurez des règles de pare-feu si nécessaire pour autoriser le trafic entre vos ressources de site et de projet.
Contacter Google
Ce produit n'est disponible que pour les clients ayant des exigences commerciales et techniques spécifiques. Ce produit n'est disponible que dans un nombre limité de régions.
Si vous souhaitez bénéficier de la solution Bare Metal HSM avec Google, contactez votre responsable de compte pour obtenir de l'aide.