HSM para bastidor Bare Metal

En esta página, se proporciona una descripción general de la solución de HSM de bastidor de Bare Metal.

Descripción general

El HSM de bastidor de Bare Metal es una oferta de infraestructura como servicio que te permite implementar bastidores de módulos de seguridad de hardware (HSM) que pertenecen al cliente junto a tus cargas de trabajo de Google Cloud. Tus HSM se implementan en instalaciones que cumplen con la PCI para satisfacer tus requisitos de seguridad, cumplimiento y baja latencia.

Para admitir el traslado de tus cargas de trabajo a la nube, Google aloja tus HSM y proporciona seguridad física y de red, espacio en el bastidor, energía y integración de red por una tarifa mensual.

El HSM para bastidor Bare Metal te permite contratar directamente con Google la ubicación de tus HSM. Los HSM se colocan en instalaciones de colocación específicas y se conectan a Google Cloud.

La solución de HSM para bastidor Bare Metal es compatible con las instalaciones de colocalización con tejidos de intercambio activo. Estas instalaciones cumplen y superan los estándares de Google para la seguridad de los centros de datos y proporcionan un servicio de alta disponibilidad y baja latencia.

Comparación con el HSM de Bare Metal

Tanto el HSM para bastidor Bare Metal como el HSM Bare Metal te permiten alojar tus propios HSM en las instalaciones de Google Cloud. La principal diferencia entre el HSM para bastidor Bare Metal y las soluciones de HSM Bare Metal es la escala. En la siguiente tabla, se resumen las diferencias clave entre estas soluciones:

HSM de Bare Metal HSM para bastidor Bare Metal
Google aloja tus HSM por dispositivo. Google aloja tus HSM por bastidor.
Tienes acceso lógico a tus HSM, pero no acceso físico. Tienes acceso lógico a tus HSM y puedes programar acceso físico con escolta.
Se diseñó para implementaciones pequeñas de 10 a 15 HSM. Diseñado para implementaciones grandes a nivel del bastidor de 100 o más HSM

Si no sabes cuál de estas soluciones es adecuada para tus necesidades, comunícate con tu representante de cuenta.

Modelo operativo

  • Proceso de integración
    • Contrato: Mínimo de 12 meses. Se requiere la Asistencia de primer nivel.
    • Adquisición y configuración: Tu organización adquiere, configura y envía los HSM a Google.
    • Instala, conecta y organiza en racks: Google implementa tus HSM y configura la conexión de interconexión de socio.
    • Validación y entrega: Confirma la solución de ingeniería y la accesibilidad a los HSM, prueba la solución y firma.
  • Modelo de asistencia
    • Google proporciona asistencia para el rack y la pila, el alojamiento, las manos inteligentes, la conformidad y la conexión de la interconexión de socio.
    • Trabaja con tu proveedor de HSM para obtener asistencia con el software, las licencias, las herramientas y la solución de problemas del HSM.
    • Tienes acceso físico a los bastidores según sea necesario.
  • Proceso de baja
    • Presentas una solicitud de baja.
    • Debes borrar todos los datos y restablecer todos los HSM a la configuración predeterminada de fábrica.

Requisitos de cumplimiento

Esta oferta se limita a los HSM que tienen la certificación de nivel 3 o superior de la norma FIPS 140-2 y no es un servicio de alojamiento o coalojamiento generalizado. La solución de HSM en rack Bare Metal se aloja en instalaciones que cumplen por completo con PCI-DSS, PCI-3DS y SOC 1, 2 y 3. Google respaldará tu AC para el cumplimiento de PCI-PIN, PCI-P2PE y SOC en todas las regiones.

Separación de responsabilidades

Es tu responsabilidad obtener y aprovisionar los HSM y enviarlos a las regiones de Google Cloud adecuadas. Puedes elegir los HSM que quieras, pero deben cumplir con los requisitos de los equipos de HSM.

Google preconfigura los bastidores, los switches de top-of-rack y la conectividad. Los switches son de diferentes proveedores para cada par de bastidores. En el caso de la solución de HSM para bastidor Bare Metal, tienes tus propios switches y bastidores dedicados. Google proporciona un servicio de almacenamiento para tus HSM y trabaja contigo para validar la conexión de interconexión de socio. Cada bastidor tiene fuentes de alimentación redundantes.

Cómo acceder a los HSM para bastidor Bare Metal

Tienes acceso de administración lógica a tus HSM y eres responsable de su mantenimiento y administración. Mantienes el control total de tus HSM.

Google no tiene acceso lógico a tus HSM, pero proporciona y mantiene los bastidores, el conmutador y la conexión. Google no tiene acceso a los datos ni a las claves de tus HSM.

Google proporciona un servicio de asistencia remota. Con previo aviso, puedes programar una visita con escolta a las instalaciones. Eres responsable de tus propios requisitos de auditoría y cumplimiento.

Al final de tu contrato o del ciclo de vida del HSM, envías una solicitud para retirar de servicio los HSM y borrar todos los datos, o bien restablecerlos a la configuración de fábrica. Después de borrar o restablecer los HSM y obtener la autorización legal, se te devolverán o se destruirán si no se pueden devolver.

Requisitos de equipos de HSM

En esta sección, se detallan los requisitos físicos de los HSM y los cables asociados para alojarlos en una instalación de Google.

La cantidad de HSM que puede caber en un bastidor depende de la cantidad de puertos disponibles en el modelo actual del interruptor de la parte superior del bastidor, la cantidad de unidades de bastidor que se usaron en el modelo de HSM y el consumo de energía de los HSM.

  • Energía

    • Fuentes de alimentación de CA dobles (16 A máx. por fuente de alimentación)
  • Distribución de energía

    • 208 V de línea a línea (para ubicaciones de Estados Unidos)
    • PDU de rack que proporciona receptáculos y tomacorrientes C13 o C19
  • Cables de alimentación (que debes proporcionar)

    • El extremo del cable de la PDU del bastidor debe ser del tipo de conector C14 o C20.
    • 2 cables de alimentación de 2 metros (longitud preferida).
  • Red

    • Controlador de interfaz de red: NIC de cobre de 1G doble (si corresponde)
  • Cables de red (que debes proporcionar)

    • 2 cables de conexión CAT-5e o mejores de 6 pies (2 metros) (longitud preferida)
  • Dimensiones físicas

    • Profundidad del bastidor: 106.68 cm (42 pulgadas)
    • Espaciado de unidades de rack: Soporte de rack estándar EIA-310 de 19" con orificios cuadrados. Puedes ocupar hasta 4 unidades de rack por HSM.
  • Seguridad

    • Los HSM no deben estar equipados con cámaras ni redes inalámbricas, como Bluetooth.
    • El HSM debe estar certificado con el nivel 3 del estándar FIPS 140-2 o superior.
  • El HSM debe ser un equipo nuevo.

  • El HSM debe poder administrarse de forma remota.

No hay requisitos de peso ni enfriamiento.

Descripción general de implementación

Para calificar para un ANS del 99.99% de tiempo de actividad, debes cumplir con los siguientes requisitos:

  • Implementa los HSM en un mínimo de dos regiones de Google Cloud.
  • Implementa un mínimo de cuatro HSM por región (al menos dos HSM por bastidor en al menos dos bastidores).

Proporcionas a Google la dirección MAC de cada interfaz de red del HSM y su dirección IP asignada. Esta información ayuda a Google a verificar el cableado del servidor al techo del bastidor y a solucionar problemas durante el proceso de implementación.

Los requisitos de red se analizarán con más detalle con tu representante de cuenta durante el proceso de integración.

Topología de red

Un par de bastidores en una sola ubicación está cubierto por un ANS de tiempo de actividad del 99.9%.

Una implementación completa en dos ubicaciones proporciona un ANS de tiempo de actividad del 99.99%.

Las aplicaciones deben diseñarse para aprovechar este modelo de redundancia. Una aplicación debe poder conmutar por error de la zona 1 a la zona 2 dentro de una sola ubicación, de HSM a HSM o de bastidor a bastidor.

Si habilitas la función de enrutamiento global, los HSM de cualquier ubicación pueden acceder a los recursos de Google Cloud en cualquier región.

Una sola falla de conexión de la interconexión de socio no es una violación del ANS.

En el siguiente diagrama de alto nivel, se muestra la conectividad necesaria para lograr un ANS del 99.99% en el servicio.

Topología de red para HSMs de bastidor Bare Metal

  • Cada implementación de región contiene un mínimo de dos bastidores para tu uso y un interruptor por bastidor.
  • Google proporciona los switches de top-of-rack, que son de diferentes proveedores.
  • Cada interruptor de techo tiene una interconexión de socio de 10G con adjuntos de VLAN redundantes para que la interconexión de socio se conecte a Cloud Routers redundantes.
  • Cada HSM debe tener un mínimo de 2 interfaces de red de cobre de 1 GE con conexiones redundantes a los interruptores de la parte superior del bastidor. Tanto las interfaces de administración como las de datos deben tener sus propias conexiones redundantes a ambos interruptores de bastidor superior.
  • Proporcionas las asignaciones de direcciones IP para las redes de HSM.
  • Los interruptores de parte superior de bastidor anuncian sus subredes conectadas localmente al par de Cloud Routers.
  • Habilitas el enrutamiento dinámico global en tu nube privada virtual (VPC) para permitir el acceso a los HSM desde cualquier región de Google Cloud en la que hayas implementado recursos. El enrutamiento dinámico global también es necesario para obtener una disponibilidad del 99.99%.
  • El BGP entre los switches de top-of-rack y los Cloud Routers de tu proyecto intercambia información de accesibilidad para enrutar entre los recursos del proyecto de Google Cloud y los HSM.

Requisitos de Herramientas de redes

Debes completar los siguientes pasos para cada conjunto de bastidores en una región para permitir que tus HSM se almacenen con Google:

  1. Crea un par redundante de Cloud Routers por región con ASN16550. Para obtener instrucciones detalladas, consulta Crea Cloud Routers.

  2. Crea dos pares redundantes de adjuntos de VLAN con la interconexión de socios por región con los Cloud Routers del paso anterior. Crea los archivos adjuntos con la opción de activación previa habilitada. Debe haber un total de cuatro archivos adjuntos por región. Si los archivos adjuntos se crearon sin habilitar la opción de activación previa, puedes activar las conexiones de forma manual.

    Para obtener más información sobre la interconexión de socio y las opciones de activación previa, consulta la descripción general de la interconexión de socios.

  3. Habilita el enrutamiento dinámico global en la red de VPC.

  4. Configura las reglas de firewall según sea necesario para permitir el tráfico entre tus instalaciones y los recursos del proyecto.

Comunicarse con Google

Este producto solo está disponible para clientes con requisitos técnicos y empresariales específicos. Este producto está disponible en regiones limitadas de todo el mundo.

Si te interesa el HSM de bastidor de Bare Metal con Google, comunícate con tu representante de cuenta para obtener más ayuda.