Questa pagina fornisce una panoramica della soluzione HSM Bare Metal.
Panoramica
Bare Metal HSM è un'offerta di Infrastructure as a Service che consente di eseguire il deployment di moduli di sicurezza hardware (HSM) di proprietà del cliente accanto ai carichi di lavoro Google Cloud. Gli HSM vengono implementati in strutture conformi allo standard PCI per soddisfare i requisiti di sicurezza, conformità e bassa latenza.
Per supportare lo spostamento dei tuoi carichi di lavoro sul cloud, Google ospita i tuoi HSM, fornendo sicurezza fisica e di rete, spazio in rack e scaffali, alimentazione e integrazione di rete a un costo mensile.
Bare Metal HSM ti consente di stipulare un contratto direttamente con Google per il posizionamento dei tuoi HSM. Gli HSM vengono posizionati in strutture di colocation specifiche e si connettono a Google Cloud.
La soluzione Bare Metal HSM è supportata nelle strutture di colocation con reti di peering attive. Queste strutture soddisfano e superano gli standard di Google per la sicurezza dei data center e offrono un servizio ad alta disponibilità e bassa latenza.
Confronto con Bare Metal Rack HSM
Sia Bare Metal Rack HSM che Bare Metal HSM ti consentono di ospitare i tuoi HSM nelle strutture di Google Cloud. La differenza principale tra le soluzioni Bare Metal Rack HSM e Bare Metal HSM è la scalabilità. La seguente tabella riassume le principali differenze tra queste soluzioni:
Bare Metal HSM | Bare Metal Rack HSM |
---|---|
Google ospita i tuoi HSM su base di dispositivo. | Google ospita i tuoi HSM su base rack. |
Hai accesso logico ai tuoi HSM, ma nessun accesso fisico. | Hai accesso logico ai tuoi HSM e puoi pianificare l'accesso fisico con scorta. |
Destinato a piccoli deployment di 10-15 HSM | Progettato per implementazioni su larga scala a livello di rack di almeno 100 moduli HSM |
Se non sai con certezza quale di queste soluzioni è adatta alle tue esigenze, contatta il rappresentante del tuo account.
Modello operativo
- Procedura di onboarding
- Contratto: minimo 12 mesi. È richiesta l'assistenza Premium.
- Acquisto e configurazione: la tua organizzazione acquisisce, configura e spedisce gli HSM a Google.
- Installa, collega e configura: Google esegue il deployment degli HSM e configura la connessione Partner Interconnect.
- Convalida e trasferimento: verifica la soluzione tecnica e la sua accessibilità agli HSM, testa la soluzione e firma.
- Modello di assistenza
- Google fornisce assistenza per rack e stack, hosting, smart hands, conformità e connessione Partner Interconnect.
- Rivolgiti al tuo fornitore di HSM per ricevere assistenza per il software, le licenze, gli strumenti e la risoluzione dei problemi relativi agli HSM.
- Procedura di ritiro
- Invii una richiesta di disattivazione.
- Devi cancellare tutti i dati e inizializzare tutti gli HSM ai valori predefiniti di fabbrica.
Requisiti di conformità
Questa offerta è limitata agli HSM con certificazione FIPS 140-2 di livello 3 o superiore e non è un servizio di hosting o colocation generalizzato. La soluzione HSM Bare Metal è ospitata in strutture completamente conformi a PCI-DSS, PCI-3DS e SOC 1, 2 e 3. Google supporterà la tua certificazione di conformità (AOC) per la conformità a PCI-PIN, PCI-P2PE e SOC in tutte le regioni.
Separazione delle responsabilità
È tua responsabilità ottenere e eseguire il provisioning degli HSM e spedirli alle regioni Google Cloud appropriate. Gli HSM utilizzati sono a tua scelta, ma devono essere conformi ai requisiti dell'attrezzatura HSM.
Google preconfigura i rack, gli switch top-of-rack e la connettività. Gli switch sono di fornitori diversi per ogni coppia di rack. Per la soluzione HSM bare metal, hai rack e switch dedicati. Google fornisce un servizio di rack per i tuoi HSM e collabora con te per verificare la connessione Partner Interconnect. Ogni rack ha alimentatori ridondanti.
Accesso a Bare Metal HSM
Hai accesso di gestione logica ai tuoi HSM e sei responsabile della loro manutenzione e gestione. Mantieni il controllo totale dei tuoi HSM.
Google non ha accesso logico ai tuoi HSM, ma fornisce e gestisce i rack, la commutazione e la connessione. Google non ha accesso ai dati o alle chiavi sul tuo HSM.
Devi implementare HSM con funzionalità di gestione remota completa. Non puoi accedere fisicamente ai tuoi HSM mentre si trovano nella sede di colocation.
Google fornisce un servizio di Remote Hands. Le visite dei clienti alla struttura non sono consentite. Sei responsabile dei tuoi requisiti di conformità e di revisione.
Al termine del contratto o del fine del ciclo di vita dell'HSM, invii una richiesta per ritirare gli HSM e cancellare tutti i dati o ripristinare le impostazioni di fabbrica degli HSM. Dopo che gli HSM sono stati cancellati o reimpostati e che è stata ottenuta l'autorizzazione legale, gli HSM ti verranno rispediti o distrutti se non è possibile rispedirli.
Requisiti dell'attrezzatura HSM
Questa sezione descrive in dettaglio i requisiti fisici per gli HSM e i cavi associati per l'hosting degli HSM in una struttura di Google.
Il numero di HSM che possono essere installati in un rack dipende dal numero di porte disponibili nel modello attuale dello switch top-of-rack, dal numero di unità rack occupate dal modello HSM e dal consumo di energia degli HSM.
- Alimentazione
- Due alimentatori CA (massimo 16 A per alimentatore).
- Distribuzione dell'alimentazione
- 208 V da linea a linea (per le sedi negli Stati Uniti).
- PDU da rack che fornisce prese e connettori C13 o C19.
- Cavi di alimentazione (da fornire dall'utente)
- L'estremità del cavo della PDU da rack deve essere di tipo C14 o C20.
- 2 cavi di alimentazione da 2 x 6 piedi o 2 metri (lunghezza preferita).
- Rete
- Controller interfaccia di rete: due NIC in rame da 1 Gbps (se applicabile).
- Cavi di rete (da fornire dall'utente)
- Cavi patch CAT-5e o superiori di 2 x 6 piedi o 2 metri (lunghezza preferita).
- Dimensioni fisiche
- Profondità del rack: 106,7 cm.
- Distanza tra le unità di rack: supporto per rack standard EIA-310 da 19" con supporti con fori quadrati. Puoi occupare fino a 4 unità di rack per HSM.
- Sicurezza
- Gli HSM non possono essere dotati di videocamere o reti wireless come il Bluetooth.
- L'HSM deve essere certificato FIPS 140-2 di livello 3 o superiore.
- L'HSM deve essere completamente gestibile da remoto.
Non sono previsti requisiti per il peso o il raffreddamento.
Panoramica del deployment
Per ottenere un SLA (accordo sul livello del servizio) con un tempo di attività del 99,99%, devi soddisfare i seguenti requisiti:
- Esegui il deployment degli HSM in almeno due regioni Google Cloud.
- Esegui il deployment di almeno due HSM per regione (almeno un HSM per rack in almeno due rack).
Fornisci a Google l'indirizzo MAC di ogni interfaccia di rete dell'HSM e il relativo indirizzo IP assegnato. Queste informazioni aiutano Google a verificare il cablaggio del server al rack e a risolvere i problemi durante la procedura di deployment.
I requisiti di rete verranno discussi più nel dettaglio con il rappresentante dell'account durante la procedura di onboarding.
Topologia di rete
Una coppia di rack in un'unica località è coperta da uno SLA del 99,9%.
Un deployment completo in due località offre uno SLA del 99,99%.
Le applicazioni devono essere progettate per sfruttare questo modello di ridondanza. Un'applicazione deve essere in grado di eseguire il failover dalla zona 1 alla zona 2 all'interno di un'unica sede, da un HSM all'altro.
L'attivazione della funzionalità di routing globale consente agli HSM in entrambe le sedi di raggiungere le risorse Google Cloud in qualsiasi regione.
Un singolo errore di connessione Partner Interconnect non costituisce una violazione dello SLA.
Il seguente diagramma di alto livello mostra la connettività richiesta per ottenere un SLA del 99,99% per il servizio.
- Ogni implementazione della regione contiene almeno due rack da utilizzare e un switch per rack.
- Gli switch top-of-rack sono forniti da Google e provengono da diversi fornitori.
- Ogni switch top-of-rack dispone di un'Partner Interconnect da 10 Gbps con collegamenti VLAN ridondanti per l'Partner Interconnect ai router cloud ridondanti.
- Ogni HSM deve avere almeno due interfacce di rete in rame 1 GE con connessioni ridondanti a entrambi gli switch top-of-rack. Sia le interfacce di gestione sia quelle di dati devono avere connessioni ridondanti a entrambi gli switch top-of-rack.
- Fornisci le allocazioni degli indirizzi IP per le reti HSM.
- Gli switch top-of-rack pubblicizzano le loro sottoreti collegate localmente alla coppia di router Cloud.
- Attiva il routing dinamico globale nel tuo Virtual Private Cloud (VPC) per consentire l'accesso agli HSM da qualsiasi regione Google Cloud in cui hai eseguito il deployment delle risorse. Per poter usufruire della disponibilità del 99,99% è necessario anche il routing dinamico globale.
- Il protocollo BGP tra gli switch top-of-rack e i router Cloud nel tuo progetto scambia informazioni sulla raggiungibilità per il routing tra le risorse del progetto Google Cloud e gli HSM.
Requisiti di networking
Per consentire l'hosting dei tuoi HSM con Google, devi completare i seguenti passaggi per ogni serie di rack in una regione:
Crea una coppia ridondante di router Cloud per regione utilizzando l'ASN 16550. Per istruzioni dettagliate, consulta Creare router Cloud.
Crea due coppie ridondanti di collegamenti VLAN con Partner Interconnect per regione utilizzando i router cloud del passaggio precedente. Crea gli allegati con l'opzione di preattivazione abilitata. Dovresti avere un totale di quattro allegati per regione. Se gli allegati sono stati creati senza attivare l'opzione di preattivazione, puoi attivare le connessioni manualmente.
Per ulteriori informazioni su Partner Interconnect e sulle opzioni di preattivazione, consulta la panoramica di Partner Interconnect.
Abilita il routing dinamico globale nella rete VPC.
- Per raggiungere una disponibilità del 99,99%, segui i passaggi descritti in Definizione di una disponibilità del 99,99% per Partner Interconnect.
- I deployment in una singola regione hanno una disponibilità del 99,9% fino a quando non è disponibile la seconda regione. Per questo caso, consulta Definizione di una disponibilità del 99,9% per Partner Interconnect
Configura le regole del firewall in base alle esigenze per consentire il traffico tra le tue strutture e le risorse del progetto.
Contatta Google
Questo prodotto è disponibile solo per i clienti con requisiti aziendali e tecnici specifici. Questo prodotto è disponibile in regioni limitate a livello globale.
Se ti interessa l'HSM Bare Metal con Google, contatta il rappresentante del tuo account per ulteriore assistenza.