Infrastructure HSM privée

Cette rubrique présente la solution HSM hébergée.

Présentation

Pour vous aider à transférer vos charges de travail vers le cloud, Google héberge des modules de sécurité matérielle (HSM) appartenant au client, offrant une sécurité physique et réseau, un espace de stockage, une alimentation et une intégration réseau moyennant des frais mensuels.

Les HSM privés hébergés vous permettent de conclure un contrat directement avec Google pour le placement de vos HSM. Les HSM sont placés dans des installations hébergées en colocation spécifiées et se connectent à Google Cloud.

La solution HSM privée hébergée est compatible avec les installations hébergées en colocation dont les tissus d'appairage sont actifs. Ces installations respectent et dépassent les standards de Google en matière de sécurité des centres de données. Elles assurent un service à disponibilité élevée et à faible latence.

Exigences de conformité

Cette offre est limitée aux modules HSM certifiés FIPS 140-2 de niveau 3 (ou supérieur), et n'est pas un service d'hébergement général ou de colocation. La solution HSM hébergée est conforme aux normes PCI-DSS et SOC dans tous les emplacements.

Séparer les responsabilités

Il vous incombe d'obtenir et de provisionner des modules HSM, puis de les envoyer aux installations appropriées. Vous choisissez le HSM, mais celui-ci doit respecter les exigences en matière d'équipement HSM.

Google préconfigure les racks, les interrupteurs haut de gamme et la connectivité. Les commutateurs RD diffèrent d'un fournisseur à chaque rack. Pour la solution HSM privée hébergée, vous disposez de votre propre rack et du commutateur de RV dédié. Google fournit un service de rack pour vos HSM et vous aide à valider l'interconnexion. Des alimentations électriques redondantes sont fournies pour chaque rack.

Accéder aux modules HSM privés hébergés

Vous disposez d'un accès de gestion logique à vos HSM, et vous êtes responsable de leur maintenance et de leur gestion. Vous conservez un contrôle total sur vos HSM.

Google ne dispose pas d'un accès logique à vos HSM, mais fournit et gère les fuites, le commutateur et l'interconnexion. Google n'a pas accès à vos données ni à vos clés sur votre HSM.

Google propose un service de mains à distance. Vous pouvez planifier une visite embarquée sur l'installation. Vous êtes responsable de vos propres exigences en termes de conformité et d'audit.

À la fin de votre contrat ou dans le cycle de vie du HSM, le HSM vous sera renvoyé ou détruit s'il ne peut pas être expédié.

Configuration matérielle requise pour le HSM

Cette section décrit les exigences physiques concernant les modules HSM et les câbles associés pour l'hébergement des modules HSM dans une installation Google.

  • Alimentation

    • 2 Alimentations secteur CA (16 A max. par alimentation secteur)
  • Distribution électrique

    • 208 V pour la ligne (pour les États-Unis).
    • Rack PDU fournissant des réceptes et des aiguilles de C13 ou C19.
  • Câbles d'alimentation (fournis par vous)

    • L'extrémité du câble RPD doit être de type C14 / C20.
    • 2 câbles d'alimentation (2 m)
  • Réseau

    • Contrôleur d'interface réseau: deux cartes d'interface réseau en cuivre 1 g
  • Câbles réseau (fournis par vous)

    • 2 câbles 2 m de 2 m (longueur recommandée) pour CAT-5e ou plus.
  • Dimensions physiques

    • Profondeur de rack: 18 cm de profondeur.
    • Espacement des racks: fixation en rack standard de l'EIA-310 mm avec supports de trous carrés. Vous pouvez exécuter jusqu'à quatre unités de rack par HSM.
  • Sécurité

    • Les HSM ne peuvent pas être équipés de caméras ou de réseaux sans fil tels que le Bluetooth.
    • Le module HSM doit être certifié FIPS 140-2 de niveau 3 (ou supérieur).
  • Le HSM doit être un nouvel équipement.

  • Le HSM doit être entièrement géré à distance.

Il n'y a aucune exigence en matière de poids ou de refroidissement.

Présentation du déploiement

Pour que les HSM hébergés répondent aux exigences d'un contrat de niveau de service garantissant une disponibilité de 99,99 %, vous devez:

  • Déployer des modules HSM dans au moins deux régions Google Cloud.
  • Déployer au moins quatre HSM par région (deux HSM minimum sur deux racks minimum).

Vous fournissez à Google l'adresse MAC pour chaque interface réseau HSM et son adresse IP attribuée. Ces informations aident Google à vérifier l'intégrité du serveur de haut en bas et à faciliter le dépannage au cours du processus de déploiement.

Vous trouverez plus de détails sur la configuration réseau requise lors de l'intégration de votre compte.

Topologie du réseau

Ce schéma de haut niveau montre un rack utilisant une topologie birégional avec une disponibilité de 99,99 % :

Topologie du réseau pour les HSM privés hébergés

  • Chaque déploiement régional comprend au moins deux racks pour votre utilisation, et un TAR par rack.
  • Il est proposé par Google et a deux fournisseurs différents.
  • Chaque ToR a une interconnexion partenaire 10 Gbit avec des rattachements de VLAN redondants dans le cas d'une interconnexion partenaire pour les routeurs cloud redondants.
  • Chaque HSM comporte une paire d'interfaces réseau en cuivre 1GE. L'interface 1 se connecte à TorR, et l'interface 2 se connectera à TorR2, sur différents sous-réseaux.
  • Vous fournissez le sous-réseau HSM pour chaque RR.
  • Les TorR annoncent leur HSM HSM à l'intérieur du réseau à la paire de routeurs cloud.
  • Vous activez le routage dynamique global dans votre cloud privé virtuel (VPC) pour permettre l'accès aux modules HSM à partir de ressources Google Cloud dans les deux régions où elles sont déployées. Le routage dynamique global est également nécessaire pour répondre aux exigences de disponibilité de 99,99 %.
  • La session BGP entre les routeurs de conditions d'utilisation et de routeur cloud de votre projet fournit des informations sur l'accessibilité permettant d'acheminer les ressources des projets Google Cloud vers les HSM.

Exigences de mise en réseau

Les étapes suivantes vous permettent de permettre l'hébergement de vos HSM sur Google. Pour chaque ensemble de racks dans une région:

  1. Créez une paire redondante de routeurs cloud par région à l'aide du numéro ASN16550. Consultez la page Créer des routeurs cloud pour plus d'informations.

  2. Créez deux paires redondantes de rattachements de VLAN avec une interconnexion partenaire par région à l'aide des routeurs cloud de l'étape précédente. Créez les rattachements avec l'option de pré-activation activée. Vous devez ajouter quatre rattachements au total par région. Si les rattachements ont été créés sans l'option de pré-activation, vous pouvez activer les connexions manuellement.

    Pour en savoir plus sur l'interconnexion partenaire et les options de pré-activation, consultez la page Présentation de l'interconnexion partenaire.

  3. Activez le routage dynamique global dans le VPC.

  4. Configurez des règles de pare-feu selon vos besoins pour autoriser le trafic entre vos ressources sur site et les ressources du projet.

Contacter Google

Si vous souhaitez héberger vos modules HSM avec Google, contactez le représentant de votre compte pour obtenir de l'aide.