Gehostetes privates HSM

Dieses Thema bietet eine Übersicht über die gehostete private HSM-Lösung.

Übersicht

Damit Ihre Arbeitslasten in die Cloud verschoben werden können, hostet Google dem Kunden gehörende Hardwaresicherheitsmodule (HSMs) und bietet physischen Schutz, Netzwerksicherheit, Rack-Speicherplatz, Stromversorgung und Netzwerkintegration für eine monatliche Gebühr.

Mit gehosteten privaten HSMs können Sie für Ihre HSMs Direktverträge mit Google eingehen. HSMs werden in bestimmten Colocations-Einrichtungen platziert und sind mit der Google Cloud verbunden.

Die gehostete private HSM-Lösung wird in Colocations-Einrichtungen mit aktiven Peering-Fabrics unterstützt. Diese Einrichtungen erfüllen und übersteigen die Standards von Google für die Sicherheit von Rechenzentren und bieten einen hochverfügbaren Dienst mit niedriger Latenz.

Compliance-Anforderungen

Dieses Angebot ist auf FIPS 140-2 Level 3 (oder höher) zertifizierte HSMs beschränkt und ist kein allgemeiner Hosting- oder Colocation-Dienst. Die Lösung für gehostete private HSM ist an allen Standorten PCI-DSS- und SOC-konform.

Separate Verantwortlichkeiten

Es unterliegt Ihrer Verantwortung, HSMs abzurufen und bereitzustellen und an die entsprechenden Einrichtungen zu senden. Sie entscheiden, welche HSMs verwendet werden. Sie müssen sich jedoch an die HSM-Geräteanforderungen halten.

Google konfiguriert Racks, Top-of-Rack-Switches und Konnektivität im Voraus. Die Switches stammen pro Rackpaar von verschiedenen Herstellern. Bei der gehosteten privaten HSM-Lösung haben Sie eigene dedizierte Racks und Switches. Google bietet einen Racking-Service für Ihre HSMs und arbeitet mit Ihnen zusammen, um die Verbindung zu validieren. Pro Rack werden redundante Stromversorgungen bereitgestellt.

Auf gehostete private HSMs zugreifen

Sie haben logischen Verwaltungszugriff auf Ihre HSMs und sind für die Wartung und Verwaltung verantwortlich. Sie haben die volle Kontrolle über Ihre HSMs.

Google hat keinen logischen Zugriff auf Ihre HSMs, stellt aber Racks, Switching und Verbindungselemente bereit. Google hat keinen Zugriff auf die Daten oder Schlüssel auf Ihrem HSM.

Google bietet einen Remote-Handdienst. Mit Ankündigung können Sie einen Begleittermin zu der Einrichtung planen. Sie sind für Ihre eigenen Compliance- und Prüfanforderungen verantwortlich.

Am Ende Ihres Vertrags oder am Ende des Produktzyklus wird das HSM an Sie zurückgesendet oder gelöscht, falls es nicht zurückgesendet werden kann.

Anforderungen an HSM-Geräte

In diesem Abschnitt werden die physischen Anforderungen für HSMs und die zugehörigen Kabel für das Hosting von HSMs in einer Google-Einrichtung beschrieben.

Die Anzahl der HSMs, die in ein Rack passen, hängt von der Anzahl der Ports ab, die im aktuellen Modell des obersten Rack-Switch verfügbar sind, der Anzahl der Rack-Einheiten, die das HSM-Modell belegen, und der Leistung des HSMs.

  • Stromversorgung

    • Duale AC-Geräte (max. 16 A pro Netzteil)
  • Energieverteilung

    • 208 V-Versorgung (für Standorte in den USA).
    • Rack-PDU, die C13- oder C19-Aufnehmer/Ausgänge zur Verfügung stellen.
  • Netzwerkkabel (von Ihnen bereitzustellen)

    • Das Ende des Rack-PDU-Kabels sollte den Anschlusstyp C14 oder C20 haben.
    • 2 x 2 Meter/6 Fuß-Stromkabel (bevorzugte Länge).
  • Netzwerk

    • Netzwerkschnittstellen-Controller: Duale 1 g-Kupfer-NICs (falls zutreffend).
  • Netzwerkkabel (von Ihnen bereitzustellen)

    • 2 x 2 Meter/6 Fuß (bevorzugte Länge) CAT-5e-Patchkabel oder besser.
  • Abmessungen

    • Racktiefe: 42 cm.
    • Rack-Einheitenabstand: Standard EIA-310 19"-Rackhalterung mit Quadratlöchern. Sie können pro HSM bis zu 4 Rack-Einheiten unterbringen.
  • Sicherheit

    • Die HSMs dürfen nicht mit Kameras oder drahtlosen Netzwerken wie Bluetooth ausgestattet sein.
    • Die HSMs müssen FIPS 140-2 Level 3 (oder besser) zertifiziert sein.
  • Das HSMs müssen neu sein.

  • Die HSMs müssen vollständig remote verwaltbar sein.

Es gibt keine Anforderungen in Sachen Gewicht oder Kühlung.

Bereitstellungsübersicht

Damit gehostete HSMs die Anforderungen eines SLA von 99,99 % erfüllen, müssen Sie:

  • HSMs in mindestens zwei Google Cloud-Regionen bereitstellen.
  • Mindestens vier HSMs pro Region bereitstellen (mindestens zwei HSMs in mindestens zwei Racks).

Sie informieren Google über die MAC-Adresse jeder HSM-Netzwerkschnittstelle und deren zugewiesene IP-Adresse. Mit diesen Informationen kann Google die Verkabelung zwischen Server und Top-of-Rack prüfen und Fehler bei der Bereitstellung beheben.

Die Netzwerkanforderungen werden während der Einrichtung im Detail mit Ihrem Kundenbetreuer besprochen.

Netzwerktopologie

Ein Rackpaar an einem einzelnen Standort ist durch ein SLA von 99,9 % abgedeckt.

Eine vollständige Bereitstellung über zwei Standorte bietet ein SLA von 99,99 %.

Anwendungen sollten so konzipiert werden, dass sie dieses Redundanzmodell nutzen. Eine Anwendung sollte über einen einzigen Standort (z. B. Rack zu Rack) ein Failover von Zone 1 in Zone 2 durchführen können.

Wenn Sie die Funktion für das globale Routing aktivieren, können HSMs an beiden Standorten GCP-Ressourcen in einer beliebigen Region erreichen.

Beachten Sie, dass ein einzelner Interconnect-Fehler kein SLA-Verstoß ist.

Dieses Diagramm zeigt die erforderliche Konnektivität zum Erfüllen eines SLA von 99,99 % für den Dienst.

Netzwerktopologie für gehostete private HSMs

  • Jede regionale Bereitstellung enthält mindestens zwei Racks für Ihre Verwendung und einen Switch pro Rack.
  • Die von Google bereitgestellten Top-of-Rack-Switches werden von verschiedenen Herstellern bezogen.
  • Jeder Top-of-Rack-Switch hat einen 10G-Partner Interconnect mit redundanten VLAN-Anhängen für Partner Interconnect zu redundanten Cloud Routern.
  • Jedes HSM sollte mindestens zwei 1GE-Kupfernetzwerkschnittstellen mit redundanten Verbindungen zu beiden Top-of-Rack-Switches haben (z. B. redundante Verbindungen zu beiden Top-of-Rack-Switches für die Schnittstellen für Verwaltung und Daten).
  • Sie geben die IP-Zuweisungen für die HSM-Netzwerke an.
  • Top-of-Rack-Switches bieten ihre lokal angehängten Subnetze dem Cloud Router-Paar an.
  • Sie aktivieren das globale dynamische Routing in Ihrer VPC (Virtual Private Cloud), um Zugriff auf die HSMs aus allen GCP-Regionen, in denen Sie Ressourcen bereitgestellt haben, zuzulassen. Weiter ist das globale dynamische Routing erforderlich, um die Anforderungen für eine Verfügbarkeit von 99,99 % zu erfüllen.
  • BGP zwischen den Top-of-Rack-Switches und den Cloud Routern in Ihrem Projekt tauschen Informationen zur Erreichbarkeit zwischen Google Cloud-Projektressourcen und den HSMs aus.

Netzwerkanforderungen

Folgende Schritte werden ausgeführt, damit Sie Ihre HSMs bei Google hosten können. Pro Gruppe von Racks in einer Region:

  1. Erstellen Sie ein redundantes Paar von Cloud Routern pro Region mit ASN16550. Weitere Informationen finden Sie unter Cloud Router erstellen.

  2. Erstellen Sie mit den Cloud Routern aus dem vorherigen Schritt zwei redundante Paare von VLAN-Anhängen mit Partner Interconnect pro Region. Erstellen Sie die Anhänge mit der Vorabaktivierungsoption. Es sollten insgesamt vier Anhänge pro Region vorhanden sein. Wenn die Anhänge ohne die Option für die Vorabaktivierung erstellt wurden, können Sie die Verbindungen manuell aktivieren.

    Weitere Informationen zu Partner Interconnect und die Optionen zur Vorabaktivierung finden Sie unter Partner Interconnect – Übersicht.

  3. Aktivieren Sie das globale dynamische Routing in der VPC.

  4. Konfigurieren Sie bei Bedarf Firewallregeln, um Traffic zwischen Ihrem Standort und den Projektressourcen zuzulassen.

Google kontaktieren

Wenn Sie Ihre HSMs bei Google hosten möchten, wenden Sie sich an Ihren Kundenbetreuer.