Esta página fornece uma visão geral da solução de HSM de rack bare metal.
Visão geral
O HSM de rack de metal nu é uma oferta de infraestrutura como serviço que permite implantar racks de módulos de segurança de hardware (HSMs) do cliente ao lado dos workloads do Google Cloud. Seus HSMs são implantados em instalações compatíveis com PCI para atender aos requisitos de segurança, compliance e baixa latência.
Para oferecer suporte à migração das cargas de trabalho para a nuvem, o Google hospeda os HSMs, que oferecem segurança física e de rede, espaço em rack, energia e integração de rede por uma taxa mensal.
O HSM de rack bare metal permite que você assine diretamente com o Google para a colocação dos HSMs. Os HSMs são colocados dentro das instalações de colocation especificadas e se conectam ao Google Cloud.
A solução HSM de rack Bare Metal é compatível com instalações de colocation com temas de peering ativos. Essas instalações atendem e excedem os padrões do Google para segurança de data center e fornecem serviço altamente disponível e de baixa latência.
Comparação com o HSM bare metal
O Bare Metal Rack HSM e o Bare Metal HSM permitem que você hospede seus próprios HSMs nas instalações do Google Cloud. A principal diferença entre as soluções Bare Metal Rack HSM e Bare Metal HSM é a escala. A tabela a seguir resume as principais diferenças entre essas soluções:
HSM bare metal | Rack Bare Metal HSM |
---|---|
O Google hospeda seus HSMs por dispositivo. | O Google hospeda seus HSMs por rack. |
Você tem acesso lógico aos HSMs, mas não tem acesso físico. | Você tem acesso lógico aos HSMs e pode programar o acesso físico acompanhado. |
Destinado a implantações pequenas de 10 a 15 HSMs | Destinado a implantações grandes no nível do rack de 100 ou mais HSMs |
Se você não souber qual dessas soluções é a ideal para suas necessidades, entre em contato com o representante da sua conta.
Modelo operacional
- Processo de integração
- Contrato: mínimo de 12 meses. O Suporte Premium é obrigatório.
- Aquisição e configuração: sua organização adquire, configura e envia os HSMs para o Google.
- Rack, pilha e conexão: o Google implanta seus HSMs e configura a conexão da Interconexão por parceiro.
- Validação e transferência: confirme a solução de engenharia e a acessibilidade aos HSMs, teste a solução e libere.
- Modelo de suporte
- O Google oferece suporte para rack e pilha, hospedagem, smart hands, compliance e conexão da Interconexão por parceiro.
- Trabalhe com seu fornecedor de HSM para receber suporte de software, licenciamento, ferramentas e solução de problemas.
- Você tem acesso físico aos racks conforme necessário.
- Processo de desativação
- Você envia uma solicitação de desativação.
- É necessário apagar todos os dados e inicializar todos os HSMs para as configurações padrão de fábrica.
Requisitos de conformidade
Esta oferta é limitada aos HSMs com certificação FIPS 140-2 de nível 3 ou melhor e não é um serviço generalizado de hospedagem ou colocation. A solução de HSM de rack bare metal é hospedada em instalações totalmente compatíveis com PCI-DSS, PCI-3DS e SOC 1, 2 e 3. O Google vai oferecer suporte ao seu AOC para conformidade com PCI-PIN, PCI-P2PE e SOC em todas as regiões.
Separação de responsabilidades
Você é responsável por receber e provisionar os HSMs e enviá-los às regiões apropriadas do Google Cloud. Os HSMs usados são de sua escolha, mas precisam atender aos requisitos de equipamento HSM.
O Google pré-configura os racks, os interruptores na parte superior do rack e a conectividade. As chaves são de diferentes fornecedores para cada par de racks. Para a solução HSM de rack Bare Metal, você tem seus próprios racks e interruptores dedicados. O Google oferece um serviço de rack para seus HSMs e trabalha com você para validar a conexão da Interconexão por parceiro. Cada rack tem alimentação redundante.
Como acessar HSMs de rack bare metal
Você tem acesso de gerenciamento lógico aos HSMs e é responsável pela manutenção e pelo gerenciamento deles. Você mantém o controle total dos HSMs.
O Google não tem acesso lógico aos HSMs, mas fornece e mantém os racks, a alternância e a conexão. O Google não tem acesso aos dados ou chaves nos HSMs.
O Google oferece um serviço remoto para mãos. Com aviso, você poderá agendar uma visita acompanhada. Você é responsável pelos seus próprios requisitos de conformidade e auditoria.
No final do contrato ou do fim da vida útil do HSM, você envia uma solicitação para desativação dos HSMs e exclusão de todos os dados ou restauração das configurações de fábrica. Depois que os HSMs forem apagados ou redefinidos e a liberação legal for obtida, eles serão enviados de volta a você ou destruídos se não puderem ser reenviados.
Requisitos de equipamento do HSM
Nesta seção, detalhamos os requisitos físicos para HSMs e cabos associados para hospedagem de HSMs em uma instalação do Google.
O número de HSMs que pode caber em um rack depende do número de portas disponíveis no modelo atual da chave do topo do rack, do número de unidades do rack ocupadas pelo modelo do HSM e do consumo de energia dos HSMs.
Energia
- Fontes de alimentação CA duplas (máximo de 16 A por fonte de alimentação).
Distribuição de energia
- Linha 208V linha a linha (para locais nos Estados Unidos).
- PDU de rack com contêineres e tomadas C13 ou C19.
Cabos de alimentação (fornecidos por você)
- O cabo do PDU para rack precisa ser do tipo C14 ou C20.
- Cabos de alimentação de 2 x 6 pés ou 2 metros (comprimento preferido).
Rede
- Controlador da interface de rede: placas de rede (NICs) de cobre duplas de 1G (se aplicável).
Cabos de rede (fornecidos por você)
- Cabos patch CAT-5e ou melhores de 2 x 6 pés ou 2 metros (comprimento preferencial).
Dimensões físicas
- Profundidade do rack: 100 cm de profundidade.
- Espaçamento do rack: montagem em rack padrão EIA-310 de 19" com furos quadrados. Ocupa até quatro unidades de rack por HSM.
Segurança
- Os HSMs não podem ser equipados com câmeras ou redes sem fio, como Bluetooth.
- O HSM precisa ter a certificação FIPS 140-2 Nível 3 ou mais recente.
O HSM precisa ser um equipamento novo.
O HSM precisa ser totalmente gerenciável remotamente.
Não há requisitos para peso ou resfriamento.
Visão geral da implantação
Para se qualificar para um SLA de 99,99% de tempo de atividade, você precisa atender aos seguintes requisitos:
- Implante HSMs em pelo menos duas regiões do Google Cloud.
- Implantar no mínimo quatro HSMs por região (pelo menos dois HSMs por rack em pelo menos dois racks).
Forneça ao Google o endereço MAC de cada interface de rede HSM e o endereço IP atribuído a ele. Essas informações ajudam o Google a verificar o cabeamento de servidor a topo do rack e ajudam a resolver problemas durante o processo de implantação.
Os requisitos de rede serão discutidos com mais detalhes com seu representante de conta durante o processo de integração.
Topologia de rede
Um par de racks em um único local é coberto por um SLA de 99,9% de disponibilidade.
Uma implantação completa em dois locais oferece um SLA de 99,99%.
Os aplicativos precisam ser projetados para aproveitar esse modelo de redundância. Um aplicativo precisa fazer failover da zona 1 para a zona 2 em um único local, de HSM para HSM ou de rack para rack.
A ativação do recurso "Roteamento global" permite que os HSMs em qualquer local acessem recursos do Google Cloud em qualquer região.
Uma única falha de conexão da Interconexão por parceiro não é uma violação do SLA.
O diagrama de alto nível a seguir mostra a conectividade necessária para alcançar um SLA de 99,99% no serviço.
- Cada implantação de região contém no mínimo dois racks para seu uso e um interruptor por rack.
- Essas chaves são fornecidas pelo Google e são de diferentes fornecedores.
- Cada chave de alto-rack tem uma Interconexão por parceiro de 10G com anexos da VLAN redundantes para a Interconexão por parceiro para Cloud Routers redundantes.
- Cada HSM precisa ter no mínimo 2 interfaces de rede de cobre 1GE com conexões redundantes para os dois switches na parte superior do rack. As interfaces de gerenciamento e de dados precisam ter as próprias conexões redundantes para os dois switches na parte superior do rack.
- Você fornece as alocações de endereço IP para as redes HSM.
- As chaves mais avançadas divulgam as sub-redes conectadas localmente ao par de Cloud Routers.
- Ative o roteamento dinâmico global na sua nuvem privada virtual (VPC) para permitir o acesso aos HSMs de qualquer região do Google Cloud em que você implantou recursos. O roteamento dinâmico global também é necessário para se qualificar para disponibilidade de 99,99%.
- O BGP entre as chaves do topo do rack e os Cloud Routers no seu projeto troca informações de acessibilidade para rotear entre os recursos do projeto do Google Cloud e os HSMs.
Requisitos de rede
É necessário concluir as etapas a seguir para cada conjunto de racks em uma região para permitir que os HSMs sejam hospedados no Google:
Crie um par redundante de Cloud Routers por região usando ASN16550. Para instruções detalhadas, consulte Como criar Cloud Routers.
Crie dois pares redundantes de anexos da VLAN com a Interconexão por parceiro por região usando os Cloud Routers da etapa anterior. Crie os anexos com a opção de pré-ativação ativada. É preciso que haja um total de quatro anexos por região. Se os anexos foram criados sem a opção de pré-ativação ativada, é possível ativar as conexões manualmente.
Para mais informações sobre a Interconexão por parceiro e as opções de pré-ativação, consulte Visão geral da Interconexão por parceiro.
Ative o roteamento dinâmico global na rede VPC.
- Para alcançar 99,99% de disponibilidade, use as etapas em Como estabelecer 99,99% de disponibilidade na Interconexão por parceiro.
As implantações em uma única região têm 99,9% de disponibilidade até que a segunda região esteja disponível. Para este caso, consulte Como estabelecer 99,9% de disponibilidade na Interconexão por parceiro.
Configure as regras de firewall conforme necessário para permitir o tráfego entre os recursos das instalações e do projeto.
Entrar em contato com o Google
Esse produto está disponível apenas para clientes com requisitos comerciais e técnicos específicos. Este produto está disponível em regiões limitadas no mundo todo.
Se você tiver interesse em usar o HSM de rack bare metal com o Google, entre em contato com seu representante de conta para receber mais ajuda.