Bare Metal Rack HSM

Halaman ini memberikan ringkasan solusi Bare Metal Rack HSM.

Ringkasan

Bare Metal Rack HSM adalah penawaran infrastruktur sebagai layanan yang memungkinkan Anda men-deploy rak modul keamanan hardware (HSM) milik pelanggan di samping workload Google Cloud Anda. HSM Anda di-deploy di fasilitas yang mematuhi PCI untuk memenuhi persyaratan keamanan, kepatuhan, dan latensi rendah Anda.

Untuk mendukung pemindahan workload Anda ke cloud, Google menghosting HSM Anda, menyediakan keamanan fisik dan jaringan, ruang rak, daya, dan integrasi jaringan dengan biaya bulanan.

Bare Metal Rack HSM memungkinkan Anda membuat kontrak langsung dengan Google untuk penempatan HSM. HSM ditempatkan dalam fasilitas kolokasi yang ditentukan dan terhubung ke Google Cloud.

Solusi Bare Metal Rack HSM didukung di fasilitas kolokasi dengan fabric peering aktif. Fasilitas ini memenuhi dan melampaui standar Google untuk keamanan pusat data dan menyediakan layanan dengan latensi rendah dan sangat tersedia.

Perbandingan dengan Bare Metal HSM

Bare Metal Rack HSM dan Bare Metal HSM memungkinkan Anda menghosting HSM Anda sendiri di fasilitas Google Cloud. Perbedaan utama antara solusi Bare Metal Rack HSM dan Bare Metal HSM adalah skala. Tabel berikut merangkum perbedaan utama antara solusi ini:

Bare Metal HSM	Bare Metal Rack HSM
Google menghosting HSM Anda secara per perangkat.	Google menghosting HSM Anda secara per rak.
Anda memiliki akses logis ke HSM, tetapi tidak memiliki akses fisik.	Anda memiliki akses logis ke HSM dan dapat menjadwalkan akses fisik dengan pengawalan.
Dirancang untuk deployment kecil dengan 10-15 HSM	Dirancang untuk deployment tingkat rak besar dengan 100 HSM atau lebih

Jika Anda tidak yakin solusi mana yang tepat untuk kebutuhan Anda, hubungi perwakilan akun Anda.

Model operasional

• Proses aktivasi
  • Kontrak: Minimum 12 bulan. Dukungan Premium diperlukan.
  • Pengadaan dan konfigurasi: Organisasi Anda mengakuisisi, mengonfigurasi, dan mengirimkan HSM ke Google.
  • Rak dan tumpukan serta hubungkan: Google men-deploy HSM Anda dan mengonfigurasi koneksi Partner Interconnect.
  • Validasi dan transfer: Konfirmasi solusi rekayasa dan aksesibilitas ke HSM, uji solusi, dan tanda tangani.
• Model dukungan
  • Google memberikan dukungan untuk rak dan tumpukan, hosting, smart hands, kepatuhan, dan koneksi Partner Interconnect.
  • Hubungi vendor HSM Anda untuk mendapatkan dukungan terkait software, pemberian lisensi, alat, dan pemecahan masalah HSM.
  • Anda memiliki akses fisik ke rak sesuai kebutuhan.
• Proses penghentian layanan
  • Anda mengajukan permintaan untuk penghentian layanan.
  • Anda harus menghapus semua data dan menginisialisasi semua HSM ke setelan default pabrik.

Persyaratan kepatuhan

Penawaran ini terbatas pada HSM yang bersertifikasi FIPS 140-2 Level 3 atau lebih baik, dan bukan layanan hosting atau colocation umum. Solusi HSM Bare Metal Rack dihosting di fasilitas yang sepenuhnya mematuhi PCI-DSS, PCI-3DS, dan SOC 1, 2, dan 3. Google akan mendukung AOC Anda untuk kepatuhan PCI-PIN, PCI-P2PE, dan SOC di semua region.

Pemisahan tanggung jawab

Anda bertanggung jawab untuk mendapatkan dan menyediakan HSM serta mengirimkannya ke region Google Cloud yang sesuai. HSM yang digunakan adalah pilihan Anda, tetapi harus mematuhi persyaratan peralatan HSM.

Google mengonfigurasi rak, tombol top-of-rack, dan konektivitas terlebih dahulu. Switch berasal dari vendor yang berbeda untuk setiap pasangan rak. Untuk solusi Bare Metal Rack HSM, Anda memiliki rak dan switch khusus. Google menyediakan layanan pemasangan untuk HSM Anda dan bekerja sama dengan Anda untuk memvalidasi koneksi Partner Interconnect. Setiap rak memiliki catu daya redundan.

Mengakses Bare Metal Rack HSM

Anda memiliki akses pengelolaan logis ke HSM dan bertanggung jawab atas pemeliharaan dan pengelolaannya. Anda mempertahankan kontrol penuh atas HSM.

Google tidak memiliki akses logis ke HSM Anda, tetapi menyediakan dan mengelola rak, switching, dan koneksi. Google tidak memiliki akses ke data atau kunci di HSM Anda.

Google menyediakan layanan Remote Hands. Dengan pemberitahuan, Anda dapat menjadwalkan kunjungan dengan pengawalan ke fasilitas. Anda bertanggung jawab atas kepatuhan dan persyaratan audit Anda sendiri.

Pada akhir kontrak atau akhir masa pakai HSM, Anda mengirimkan permintaan untuk menghentikan penggunaan HSM dan menghapus semua data atau memulihkan HSM ke setelan pabrik. Setelah HSM dihapus atau direset dan izin hukum diperoleh, HSM akan dikirim kembali kepada Anda atau dihancurkan jika tidak dapat dikirim kembali.

Persyaratan peralatan HSM

Bagian ini menjelaskan persyaratan fisik untuk HSM dan kabel terkait untuk menghosting HSM di fasilitas Google.

Jumlah HSM yang dapat muat dalam rak bergantung pada jumlah port yang tersedia dalam model switch top-of-rack saat ini, jumlah unit rak yang menggunakan model HSM, dan daya yang digunakan HSM.

• Daya

  • Catu daya AC ganda (maks. 16 A per catu daya).

• Distribusi daya

  • 208 V line to line (untuk lokasi yang berbasis di Amerika Serikat).
  • PDU rak yang menyediakan stopkontak dan soket C13 atau C19.

• Kabel daya (harus disediakan oleh Anda)

  • Ujung kabel PDU rak harus berupa jenis konektor C14 atau C20.
  • Kabel daya 2 x 6 kaki atau 2 meter (panjang yang disarankan).

• Jaringan

  • Pengontrol antarmuka jaringan: NIC tembaga 1 g ganda (jika ada).

• Kabel jaringan (harus disediakan oleh Anda)

  • Kabel patch CAT-5e atau yang lebih baik dengan panjang 2 x 6 kaki atau 2 meter (panjang yang disarankan).

• Dimensi fisik

  • Kedalaman rak: 42 inci.
  • Jarak unit rak: Pemasangan rak EIA-310 19" standar dengan pemasangan lubang persegi. Anda dapat menempati hingga 4 unit rak per HSM.

• Keamanan

  • HSM tidak boleh dilengkapi dengan kamera atau jaringan nirkabel seperti Bluetooth.
  • HSM harus bersertifikasi FIPS 140-2 Level 3 atau yang lebih baik.

• HSM harus berupa peralatan baru.

• HSM harus dapat dikelola sepenuhnya dari jarak jauh.

Tidak ada persyaratan untuk berat atau pendinginan.

Ringkasan deployment

Agar memenuhi syarat untuk SLA waktu aktif 99,99%, Anda harus memenuhi persyaratan berikut:

• Deploy HSM di minimal dua region Google Cloud.
• Deploy minimal empat HSM per region (minimal dua HSM per rak di minimal dua rak).

Anda memberikan alamat MAC untuk setiap antarmuka jaringan HSM dan alamat IP yang ditetapkannya kepada Google. Informasi ini membantu Google memverifikasi pemasangan kabel server ke top-of-rack dan membantu memecahkan masalah selama proses deployment.

Persyaratan jaringan akan dibahas secara lebih mendetail dengan perwakilan akun Anda selama proses orientasi.

Topologi jaringan

Sepasang rak di satu lokasi tercakup dalam SLA waktu beroperasi 99,9%.

Deployment penuh di dua lokasi memberikan SLA waktu operasi 99,99%.

Aplikasi harus dirancang untuk memanfaatkan model redundansi ini. Aplikasi harus dapat melakukan failover dari zona 1 ke zona 2 dalam satu lokasi, dari HSM ke HSM, atau dari rak ke rak.

Dengan mengaktifkan fitur Pemilihan Rute Global, HSM di kedua lokasi dapat menjangkau resource Google Cloud di region mana pun.

Satu kegagalan koneksi Partner Interconnect bukanlah pelanggaran SLA.

Diagram tingkat tinggi berikut menunjukkan konektivitas yang diperlukan untuk mencapai SLA 99,99% pada layanan.

• Setiap deployment region berisi minimal dua rak untuk Anda gunakan, dan satu switch per rak.
• Switch top-of-rack disediakan oleh Google dan berasal dari berbagai vendor.
• Setiap tombol top-of-rack memiliki Partner Interconnect 10G dengan lampiran VLAN redundan untuk Partner Interconnect ke Cloud Router redundan.
• Setiap HSM harus memiliki minimal 2 antarmuka jaringan tembaga 1 GE dengan koneksi redundan ke kedua tombol top-of-rack. Antarmuka manajemen dan data harus memiliki koneksi redundannya sendiri ke kedua switch top-of-rack.
• Anda memberikan alokasi alamat IP untuk jaringan HSM.
• Switch top-of-rack mengiklankan subnet yang terpasang secara lokal ke sepasang Cloud Router.
• Anda mengaktifkan pemilihan rute dinamis global di virtual private cloud (VPC) untuk mengizinkan akses ke HSM dari region Google Cloud mana pun tempat Anda men-deploy resource. Pemilihan rute dinamis global juga diperlukan agar memenuhi syarat untuk ketersediaan 99,99%.
• BGP antara switch top-of-rack dan Cloud Router di project Anda akan bertukar informasi keterjangkauan untuk merutekan antara resource project Google Cloud dan HSM.

Persyaratan jaringan

Anda harus menyelesaikan langkah-langkah berikut untuk setiap kumpulan rak di region agar HSM dapat dihosting dengan Google:

1. Buat pasangan Cloud Router redundan per region menggunakan ASN16550. Untuk mengetahui petunjuk terperinci, lihat Membuat Cloud Router.

2. Buat dua pasangan lampiran VLAN dengan Partner Interconnect yang redundan per region menggunakan Cloud Router dari langkah sebelumnya. Buat lampiran dengan opsi pra-aktivasi diaktifkan. Harus ada total empat lampiran per region. Jika lampiran dibuat tanpa mengaktifkan opsi pra-aktivasi, Anda dapat mengaktifkan koneksi secara manual.

   Untuk mengetahui informasi selengkapnya tentang Partner Interconnect dan opsi pra-aktivasi, lihat Ringkasan Partner Interconnect.

3. Aktifkan perutean dinamis global di jaringan VPC.

   • Untuk mencapai ketersediaan 99,99%, gunakan langkah-langkah di Menetapkan Ketersediaan 99,99% untuk Partner Interconnect.

   • Deployment di satu region memiliki ketersediaan 99,9% hingga region kedua tersedia. Untuk kasus ini, lihat Menetapkan Ketersediaan 99,9% untuk Partner Interconnect

4. Konfigurasikan aturan firewall sesuai kebutuhan untuk mengizinkan traffic antara lokasi Anda dan resource project.

Hubungi Google

Produk ini hanya tersedia untuk pelanggan dengan persyaratan bisnis dan teknis tertentu. Produk ini tersedia di wilayah tertentu secara global.

Jika Anda tertarik dengan Bare Metal Rack HSM dengan Google, hubungi perwakilan akun Anda untuk mendapatkan bantuan tambahan.