HSM privé hébergé

Cet article présente la solution HSM privée.

Présentation

Pour faciliter le transfert de vos charges de travail vers le cloud, Google héberge des modules de sécurité matériels (HSM) détenus par le client, offrant sécurité et sécurité réseau, espace de rack, alimentation et intégration réseau moyennant des frais mensuels.

Les HSM privés hébergés vous permettent de conclure un contrat directement avec Google pour l'emplacement de vos HSM. Les HSM sont placés dans des installations hébergées en colocation spécifiées et se connectent à Google Cloud.

La solution HSM privée hébergée est compatible avec les installations hébergées en colocation avec des tissus d'appairage actifs. Ces installations respectent et dépassent les standards de Google en matière de sécurité des centres de données et offrent un service hautement disponible et une faible latence.

Exigences de conformité

Cette offre est limitée aux modules HSM certifiés FIPS 140-2 de niveau 3 (ou mieux) et n'est pas un service généralisé d'hébergement ou de colocation. La solution HSM privée hébergée est conforme à la norme PCI-DSS et SOC dans tous les emplacements.

Séparation des responsabilités

Il est de votre responsabilité d'obtenir et de provisionner des HSM et de les expédier aux installations appropriées. Les HSM utilisés sont votre choix, mais ils doivent respecter les exigences en matière d'équipement de HSM.

Google préconfigure les racks, les commutateurs du dessus et la connectivité. Les commutateurs proviennent de fournisseurs différents pour chaque paire de racks. Avec la solution HSM privée hébergée, vous disposez de vos propres racks et commutateurs dédiés. Google fournit un service de racks pour vos modules HSM et vous aide à valider les interconnexions. Des alimentations redondantes sont fournies pour chaque rack.

Accéder aux modules HSM privés hébergés

Vous disposez d'un accès logique à vos HSM et êtes responsable de leur maintenance et de leur gestion. Vous conservez le contrôle total de vos modules HSM.

Google n'a pas d'accès logique à vos modules HSM, mais fournit et gère des racks, des commutateurs et des interconnexions. Google n'a pas accès à vos données ni à vos clés sur votre HSM.

Google propose un service d'assistance à distance. Sur demande, vous pouvez planifier une visite avec suivi des locaux. Vous êtes responsable de vos propres exigences en termes de conformité et d'audit.

À la fin de votre contrat ou à la fin de sa durée de vie, le HSM vous sera renvoyé ou détruit s'il ne peut pas être expédié.

Exigences relatives à l'équipement HSM

Cette section décrit les exigences physiques concernant les HSM et les câbles associés pour l'hébergement de HSM dans une installation Google.

Le nombre de modules HSM pouvant être placés dans un rack dépend du nombre de ports disponibles dans le modèle actuel du commutateur supérieur, du nombre d'unités de rack utilisées par le modèle HSM et du nombre de ports puissance électrique des HSM.

  • Alimentation

    • 2 adaptateurs secteur (16 A maximum par adaptateur secteur).
  • Distribution électrique

    • Ligne 208V vers ligne (pour les États-Unis).
    • Prise de courant en rack ; fournir les prises et les prises C13 ou C19
  • Câbles d'alimentation (fournis par vous)

    • L'extrémité du câble PDU Rack doit être de type C14 / C20.
    • 2 câbles d'alimentation de 2 mètres (longueur recommandée).
  • Réseau

    • Contrôleur d'interface réseau: deux cartes d'interface réseau en cuivre 1 g (le cas échéant).
  • Câbles réseau (fournis par vous)

    • 2 câbles CAT-5e ou meilleurs de 2 mètres (longueur recommandée).
  • Dimensions physiques

    • Profondeur du rack: 42 pouces de profondeur.
    • Espacement des unités de rack: support standard EIA-310 de 19 pouces avec support carré. Vous pouvez héberger jusqu'à quatre unités de rack par HSM.
  • Sécurité

    • Les HSM ne peuvent pas être équipés de caméras ni de réseaux sans fil tels que le Bluetooth.
    • La certification HSM doit être certifiée FIPS 140-2 de niveau 3 (ou supérieure).
  • Le HSM doit être un équipement neuf.

  • Le HSM doit être entièrement gérable à distance.

Aucune pondération n'est imposée pour le poids ou la climatisation.

Présentation du déploiement

Pour les HSM hébergés afin de répondre aux exigences d'un contrat de niveau de service garantissant une disponibilité de 99,99 %, vous devez:

  • Déployez des modules HSM dans au moins deux régions Google Cloud.
  • Déployez un minimum de quatre HSM par région (deux HSM minimum dans deux racks au minimum).

Vous fournissez à Google l'adresse MAC de chaque interface réseau HSM et l'adresse IP qui lui est attribuée. Ces informations aident Google à vérifier le câblage de serveur à haut débit et à résoudre les problèmes pendant le processus de déploiement.

Les exigences de réseau seront abordées plus en détail avec le responsable de votre compte pendant le processus d'intégration.

Topologie du réseau

Une paire de racks à un seul emplacement est couverte par un contrat de niveau de service garantissant une disponibilité de 99,99 %.

Un déploiement complet sur deux sites offre une garantie de disponibilité de 99,99% dans le cadre du contrat de niveau de service.

Les applications doivent être conçues pour tirer parti de ce modèle de redondance. Une application doit pouvoir basculer de la zone 1 à la zone 2 au sein d'un même emplacement (à savoir, le rack vers le rack).

L'activation de la fonctionnalité de routage global permet aux HSM de n'importe quel emplacement d'accéder aux ressources GCP de n'importe quelle région.

Notez qu'une seule interconnexion constitue une violation du contrat de niveau de service.

Ce schéma général montre la connectivité requise pour obtenir un contrat de niveau de service garantissant une disponibilité de 99,99 %.

Topologie du réseau pour les HSM privés hébergés

  • Chaque déploiement régional contient au moins deux racks et un commutateur par rack.
  • qui sont fournis par Google et offrent une grande diversité aux fournisseurs.
  • Chaque commutateur haut de gamme dispose d'une interconnexion partenaire 10G avec des rattachements de VLAN redondants pour l'interconnexion partenaire et les routeurs cloud redondants.
  • Chaque HSM doit disposer d'au moins 2 interfaces réseau en cuivre 1GE avec des connexions redondantes aux deux commutateurs du rack (par exemple, des connexions redondantes aux deux commutateurs du haut de la baie pour la gestion et les données){101 }.
  • Vous fournissez les allocations d'adresses IP pour les réseaux HSM.
  • Les commutateurs situés en haut de la baie annoncent leurs sous-réseaux associés localement à la paire de routeurs cloud.
  • Vous activez le routage dynamique global dans votre cloud privé virtuel (VPC) pour permettre l'accès aux modules HSM à partir de n'importe quelle région GCP dans laquelle vous avez déployé des ressources. Le routage dynamique mondial est également requis pour répondre aux exigences de 99,99 % de disponibilité.
  • La session BGP entre les commutateurs situés en haut de la baie et les routeurs cloud de votre projet échange des informations de joignabilité pour router les ressources du projet Google Cloud vers les HSM.

Exigences de mise en réseau

Les étapes suivantes vous permettent d'activer l'hébergement de vos HSM avec Google. Pour chaque ensemble de racks d'une région:

  1. Créez une paire redondante de routeurs cloud par région à l'aide du numéro ASN16550. Pour en savoir plus, consultez la page Créer des routeurs cloud.

  2. Créez deux paires redondantes de rattachements de VLAN avec une interconnexion partenaire par région à l'aide des routeurs cloud de l'étape précédente. Créez les rattachements en activant l'option de pré-activation. Vous devez utiliser un total de quatre rattachements par région. Si les rattachements ont été créés sans l'option de pré-activation activée, vous pouvez activer les connexions manuellement.

    Pour en savoir plus sur l'interconnexion partenaire et les options de pré-activation, consultez la section Présentation de l'interconnexion partenaire.

  3. Activez le routage dynamique global dans le VPC.

  4. Configurez des règles de pare-feu selon les besoins pour autoriser le trafic entre vos ressources sur site et celles du projet.

Contacter Google

Si vous souhaitez héberger vos HSM avec Google, contactez votre responsable de compte pour obtenir de l'aide.