HSM Bare Metal

Halaman ini menyediakan ringkasan solusi HSM Bare Metal.

Ringkasan

Bare Metal HSM adalah penawaran Infrastructure-as-a-Service yang memungkinkan Anda men-deploy modul keamanan hardware (HSM) milik pelanggan di samping workload Google Cloud Anda. HSM Anda di-deploy di fasilitas yang mematuhi PCI untuk memenuhi persyaratan keamanan, kepatuhan, dan latensi rendah Anda.

Untuk mendukung pemindahan beban kerja Anda ke cloud, Google menghosting HSM Anda, yang menyediakan keamanan fisik dan jaringan, ruang rak dan rak, daya, serta integrasi jaringan dengan biaya bulanan.

HSM Bare Metal memungkinkan Anda mengadakan kontrak langsung dengan Google untuk penempatan HSM. HSM ditempatkan di dalam fasilitas kolokasi yang ditentukan dan terhubung ke Google Cloud.

Solusi HSM Bare Metal didukung di fasilitas kolokasi dengan peering fabric aktif. Fasilitas ini memenuhi dan melampaui standar Google untuk keamanan pusat data serta menyediakan layanan berlatensi rendah dan sangat tersedia.

Perbandingan dengan Bare Metal Rack HSM

Bare Metal Rack HSM dan Bare Metal HSM memungkinkan Anda menghosting HSM Anda sendiri di fasilitas Google Cloud. Perbedaan utama antara solusi Bare Metal Rack HSM dan Bare Metal HSM adalah skala. Tabel berikut merangkum perbedaan utama di antara solusi tersebut:

HSM Bare Metal Rak Bare Metal HSM
Google menghosting HSM Anda per perangkat. Google menghosting HSM Anda secara per rak.
Anda memiliki akses logis ke HSM, tetapi tidak ada akses fisik. Anda memiliki akses logis ke HSM dan dapat menjadwalkan akses fisik yang didampingi.
Ditujukan untuk deployment kecil untuk 10-15 HSM Ditujukan untuk deployment tingkat rak besar dari 100 HSM atau lebih

Jika tidak yakin mana dari solusi ini yang tepat untuk kebutuhan Anda, hubungi perwakilan akun Anda.

Model operasional

  • Proses orientasi
    • Kontrak: Minimal 12 bulan. Dukungan Premium diperlukan.
    • Pengadaan dan konfigurasi: Organisasi Anda memperoleh, mengonfigurasi, dan mengirim HSM ke Google.
    • Rack and stack and connect: Google men-deploy HSM Anda dan mengonfigurasi koneksi Partner Interconnect.
    • Validasi dan penyerahan: Konfirmasi solusi engineering dan aksesibilitas ke HSM, uji solusi, lalu lakukan penandatanganan.
  • Model dukungan
    • Google memberikan dukungan untuk rack and stack, hosting, smart hands, kepatuhan, dan koneksi Partner Interconnect.
    • Bekerja samalah dengan vendor HSM Anda untuk mendapatkan dukungan bagi software HSM, pemberian lisensi, alat, dan pemecahan masalah.
  • Proses penghentian
    • Anda mengajukan permintaan untuk penghentian.
    • Anda harus menghapus semua data dan melakukan inisialisasi semua HSM ke setelan default pabrik.

Persyaratan kepatuhan

Penawaran ini terbatas untuk HSM yang tersertifikasi FIPS 140-2 Level 3 atau lebih baik, dan bukan layanan hosting atau kolokasi umum. Solusi Bare Metal HSM dihosting di fasilitas yang sepenuhnya mematuhi PCI-DSS, PCI-3DS, serta SOC 1, 2, dan 3. Google akan mendukung AOC untuk kepatuhan PCI-PIN, PCI-P2PE, dan SOC di semua wilayah.

Pemisahan tanggung jawab

Anda bertanggung jawab untuk mendapatkan dan menyediakan HSM serta mengirimkannya ke region Google Cloud yang sesuai. HSM yang digunakan adalah pilihan Anda, tetapi harus mematuhi persyaratan peralatan HSM.

Google telah melakukan pra-konfigurasi rak, tombol di rak paling atas, dan konektivitas. Sakelar tersebut berasal dari vendor yang berbeda untuk setiap pasang rak. Untuk solusi HSM Bare Metal, Anda memiliki rak dan sakelar khusus. Google menyediakan layanan racking untuk HSM Anda dan bekerja sama dengan Anda untuk memvalidasi koneksi Partner Interconnect. Setiap rak memiliki catu daya yang berlebihan.

Mengakses HSM Bare Metal

Anda memiliki akses pengelolaan logis ke HSM dan bertanggung jawab atas pemeliharaan dan pengelolaannya. Anda memegang kendali penuh atas HSM Anda.

Google tidak memiliki akses logis ke HSM Anda, tetapi menyediakan dan memelihara rak, pengalihan, dan koneksi. Google tidak memiliki akses ke data atau kunci di HSM Anda.

Anda harus men-deploy HSM dengan kemampuan pengelolaan jarak jauh yang lengkap. Anda tidak dapat mengakses HSM secara fisik saat berada di fasilitas kolokasi.

Google menyediakan layanan tangan jarak jauh. Kunjungan pelanggan ke fasilitas tidak diizinkan. Anda bertanggung jawab atas kepatuhan dan persyaratan audit Anda sendiri.

Pada akhir kontrak atau akhir masa pakai HSM, Anda mengirimkan permintaan untuk menonaktifkan HSM dan menghapus semua data atau memulihkan HSM ke setelan pabrik. Setelah HSM dihapus atau direset dan memperoleh izin hukum, HSM akan dikirimkan kembali kepada Anda atau dihancurkan jika tidak dapat dikirimkan kembali.

Persyaratan peralatan HSM

Bagian ini menjelaskan persyaratan fisik HSM dan kabel terkait untuk menghosting HSM di fasilitas Google.

Jumlah HSM yang mungkin muat di dalam rak tergantung pada jumlah port yang tersedia dalam model saat ini pada {i>top-of-rak switch<i}, jumlah unit rak yang digunakan oleh model HSM, dan tarikan daya HSM.

  • Daya
    • Catu daya ganda AC (maks. 16 A per catu daya).
  • Distribusi daya
    • 208 V baris ke baris (untuk lokasi yang berbasis di Amerika Serikat).
    • Rak PDU yang menyediakan stopkontak dan stopkontak C13 atau C19.
  • Kabel daya (disediakan oleh Anda)
    • Ujung kabel PDU rak harus berupa jenis konektor C14 atau C20.
    • Kabel daya 2 x 6 kaki atau 2 meter (panjang yang disarankan).
  • Jaringan
    • Pengontrol antarmuka jaringan: NIC tembaga ganda 1 g (jika ada).
  • Kabel Jaringan (disediakan oleh Anda)
    • Kabel 2 x 6 kaki atau 2 meter (panjang yang disukai) CAT-5e atau kabel patch yang lebih baik.
  • Dimensi fisik
    • Kedalaman rak: 42 inci
    • Jarak unit rak: Pemasangan rak standar EIA-310 19 inci dengan dudukan lubang persegi. Anda dapat mengisi hingga 4 unit rak per HSM.
  • Keamanan
    • HSM tidak boleh dilengkapi dengan kamera atau jaringan nirkabel seperti Bluetooth.
    • HSM harus memiliki sertifikasi FIPS 140-2 Level 3 atau lebih baik.
  • HSM harus dapat dikelola sepenuhnya dari jarak jauh.

Tidak ada persyaratan untuk berat atau pendingin.

Ringkasan deployment

Agar memenuhi syarat untuk mendapatkan SLA waktu beroperasi 99,99%, Anda harus memenuhi persyaratan berikut:

  • Deploy HSM di minimal dua region Google Cloud.
  • Deploy minimal dua HSM per region (setidaknya satu HSM per rak di minimal dua rak).

Anda memberi Google alamat MAC untuk setiap antarmuka jaringan HSM dan alamat IP yang ditetapkan. Informasi ini membantu Google memverifikasi pemasangan kabel server ke rak dan membantu pemecahan masalah selama proses deployment.

Persyaratan jaringan akan dibahas secara lebih mendetail dengan perwakilan akun Anda selama proses aktivasi.

Topologi jaringan

Sepasang rak di satu lokasi dilindungi oleh SLA 99,9%.

Deployment penuh di dua lokasi memberikan SLA 99,99%.

Aplikasi harus dirancang untuk memanfaatkan model redundansi ini. Aplikasi harus dapat mengalami failover dari zona 1 ke zona 2 dalam satu lokasi, dari HSM ke HSM.

Dengan mengaktifkan fitur Pemilihan Rute Global, HSM di kedua lokasi dapat menjangkau resource Google Cloud di region mana pun.

Kegagalan koneksi Partner Interconnect tunggal bukan merupakan pelanggaran SLA.

Diagram tingkat tinggi berikut menunjukkan konektivitas yang diperlukan untuk mencapai SLA 99,99% pada layanan.

Topologi jaringan untuk HSM Bare Metal

  • Setiap deployment region berisi minimum dua rak untuk Anda gunakan, dan satu tombol per rak.
  • Tombol akses di rak teratas disediakan oleh Google dan berasal dari vendor yang berbeda.
  • Setiap switch top-of-rack memiliki Partner Interconnect 10 G dengan lampiran VLAN redundan untuk Partner Interconnect ke Cloud Router yang redundan.
  • Setiap HSM harus memiliki minimal 2 antarmuka jaringan tembaga 1GE dengan koneksi redundan ke kedua tombol bagian atas rak. Baik antarmuka pengelolaan maupun data harus memiliki koneksi redundan ke kedua tombol di bagian atas rak.
  • Anda memberikan alokasi alamat IP untuk jaringan HSM.
  • Tombol akses teratas rak memberitahukan subnetnya yang terpasang secara lokal ke pasangan Cloud Router.
  • Anda mengaktifkan perutean dinamis global di virtual private cloud (VPC) untuk mengizinkan akses ke HSM dari region Google Cloud mana pun tempat Anda men-deploy resource. Perutean dinamis global juga diperlukan untuk memenuhi syarat ketersediaan 99,99%.
  • BGP antara tombol top-of-rack dan Cloud Router di informasi keterjangkauan pertukaran project Anda untuk merutekan antara resource project Google Cloud dan HSM.

Persyaratan jaringan

Anda harus menyelesaikan langkah-langkah berikut untuk setiap kumpulan rak di suatu region agar HSM Anda dapat dihosting dengan Google:

  1. Membuat sepasang Cloud Router redundan per region menggunakan ASN16550. Untuk mendapatkan petunjuk terperinci, lihat Membuat Cloud Router.

  2. Buat dua pasangan redundan lampiran VLAN dengan Interkoneksi Partner per region menggunakan Cloud Router dari langkah sebelumnya. Membuat lampiran dengan opsi pra-aktifkan yang diaktifkan. Harus ada total empat lampiran per region. Jika lampiran dibuat tanpa mengaktifkan opsi pra-aktivasi, Anda dapat mengaktifkan koneksi secara manual.

    Untuk mengetahui informasi selengkapnya tentang opsi Partner Interconnect dan pra-aktivasi, lihat Ringkasan Partner Interconnect.

  3. Mengaktifkan pemilihan rute dinamis global di jaringan VPC.

  4. Konfigurasikan aturan firewall sesuai kebutuhan untuk mengizinkan traffic antara resource lokal dan resource project Anda.

Hubungi Google

Produk ini hanya tersedia untuk pelanggan dengan persyaratan bisnis dan teknis tertentu. Produk ini tersedia di wilayah tertentu secara global.

Jika Anda tertarik menggunakan HSM Bare Metal dengan Google, hubungi perwakilan akun Anda untuk mendapatkan bantuan tambahan.