Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Gehostetes privates HSM

Dieses Thema bietet einen Überblick über die Lösung für das gehostete private HSM.

Übersicht

Damit Ihre Arbeitslasten in die Cloud verschoben werden können, hostet Google Hardware-eigene Module (Hardwaresicherheitsmodule) und bietet für eine monatliche Gebühr physische und Netzwerksicherheit, Rack-, Energie- und Netzwerkintegration.

Gehostete private HSMs ermöglichen es Ihnen, direkt mit Google eine Platzierung Ihrer HSMs abzuschließen. HSMs werden in bestimmten Colocations-Einrichtungen platziert und stellen eine Verbindung zu Google Cloud her.

Die gehostete private HSM-Lösung wird in Colocations-Einrichtungen mit aktiven Peering-Textilien unterstützt. Diese Einrichtungen erfüllen die Standards von Google für Rechenzentrumssicherheit und bieten einen hochverfügbaren Dienst mit niedriger Latenz.

Compliance-Anforderungen

Dieses Angebot ist auf FIPS 140-2 Level 3 (oder besser) zertifizierte HSMs beschränkt und ist kein allgemeiner Hosting- oder Colocations-Dienst. Die Lösung für gehostetes privates HSM ist PCI-DSS und SOC-konform an allen Standorten.

Aufgabentrennung

Es liegt in Ihrer Verantwortung, HSMs bereitzustellen und bereitzustellen und sie an die entsprechenden Einrichtungen zu schicken. Die verwendeten HSMs müssen für Sie ausgewählt werden. Sie müssen aber die Systemanforderungen für HSM erfüllen.

Google konfiguriert die Racks, Oberteile-Schalter (ToR) und die Verbindung. Tor-Switches sind von unterschiedlichen Anbietern für jedes Paar Rack. Für die Lösung "Gehostetes privates HSM" sind ein eigener rack- und ToR-Switch vorhanden. Google stellt einen HSM-Dienst für Ihre HSMs bereit und arbeitet mit Ihnen zusammen, um die Interconnect-Verbindung zu validieren. Für jedes Rack werden Redundante Netzteile bereitgestellt.

Auf gehostete private HSMs zugreifen

Sie haben einen logischen Verwaltungszugriff auf Ihre HSMs und sind für deren Wartung und Verwaltung verantwortlich. Sie haben die volle Kontrolle über Ihre HSMs.

Google hat keinen logischen Zugriff auf Ihre HSMs, bietet jedoch die Racks, Switches und Interconnect. Google hat keinen Zugriff auf Ihre Daten oder Schlüssel auf Ihrem HSM.

Google bietet einen Remote-Handdienst. Mit Benachrichtigung können Sie einen koordinierten Besuch der Einrichtung planen. Sie sind für Ihre eigenen Compliance- und Auditanforderungen verantwortlich.

Am Ende Ihres Vertrags oder der Lebensdauer des HSM wird das HSM an Sie zurückgesendet oder es wird zerstört, falls es nicht zurückgesendet werden kann.

Anforderungen an HSM-Geräte

In diesem Abschnitt werden die physischen Anforderungen an HSMs und zugehörige Kabel für das Hosten von HSMs in einer Google-Einrichtung beschrieben.

  • Stromversorgung

    • Zwei Netzteile (maximal 16 A pro Netzteil)
  • Stromverteilung

    • 208 V-Linie (für Standorte in den USA)
    • RPD PDU für C13- oder C19-Empfangs-/Outlets.
  • Stromkabel (von Ihnen zur Verfügung gestellt)

    • Das Kabel des Rack-PDU-Kabels muss den Anschlusstyp C14 / C20 haben.
    • 2 m lange Kabellängen (bevorzugte Länge).
  • Netzwerk

    • Netzwerkschnittstellencontroller: Dual-1-g-Punk-NICs (falls zutreffend).
  • Netzwerkkabel (von Ihnen zur Verfügung gestellt)

    • 2 x 2 Meter (bevorzugte Länge) CAT-5e oder bessere Patch-Kabel.
  • Abmessungen

    • Rußtiefe: 42 cm tief.
    • Rackeinheit. Sie können pro HSM bis zu vier Rack-Einheiten nehmen.
  • Sicherheit

    • Die HSMs können nicht mit Kameras oder WLAN-Netzwerken wie Bluetooth betrieben werden.
    • Das HSM muss gemäß FIPS 140-2 Level 3 (oder besser) zertifiziert sein.
  • Das HSM muss neue Geräte sein.

  • Das HSM muss vollständig per Fernzugriff verwaltet werden können.

Es gibt keine Anforderungen bezüglich Gewicht oder Kühlung.

Bereitstellungsübersicht

Damit gehostete HSM die Anforderungen für ein SLA von 99,99% erfüllt, müssen Sie:

  • HSMs in mindestens zwei Google Cloud-Regionen bereitstellen
  • Stellen Sie mindestens vier HSMs pro Region bereit (mindestens zwei HSMs in mindestens zwei Racks).

Sie geben Google die MAC-Adresse für jede HSM-Netzwerkschnittstelle und die zugewiesene IP-Adresse an. Diese Informationen helfen Google dabei, die Server-zu-Top-Cracking-Vorgänge und die Fehlerbehebung während des Bereitstellungsprozesses zu prüfen.

Die Netzwerkanforderungen werden im Verlauf des Onboarding-Prozesses ausführlich mit Ihrem Konto erläutert.

Netzwerktopologie

In diesem High-Level-Diagramm wird ein Rack mit Dual-Region-Topologie mit Verfügbarkeit von 99,99 % angezeigt:

Netzwerktopologie für gehostete private HSMs

  • Jede Regionsbereitstellung umfasst mindestens zwei Racks für Ihre Verwendung und ein ToR pro Rack.
  • Das Unternehmen stellt seine Vertriebsmitarbeiter bei Google und zwei verschiedene Anbieter bereit.
  • Jeder Empfänger hat eine 10G-Partner Interconnect-Verbindung mit redundanten VLAN-Anhängen für Partner Interconnect und redundanten Cloud Routern.
  • Jedes HSM hat zwei Kopplungspaare aus Kupfer. Schnittstelle1 stellt eine Verbindung zu TorR1 her und die Schnittstelle2 wird mit RR2 in verschiedenen Subnetzen verbunden.
  • Sie geben die HSM-Subnetzadresse für jeden Aufgabenbereich an.
  • ToRs bewerben das angeschlossene HSM innerhalb des Netzwerks für das Paar Cloud Router.
  • Sie aktivieren globales dynamisches Routing in Ihrer Virtual Private Cloud (VPC), um den Zugriff auf die HSMs von Google Cloud-Ressourcen in beiden Regionen zuzulassen, in denen sie bereitgestellt werden. Globales dynamisches Routing ist außerdem erforderlich, um die Anforderungen für eine Verfügbarkeit von 99,99% zu erfüllen.
  • BGP zwischen den ToRs und Cloud Routern in Ihrem Projekt bietet Informationen zur Erreichbarkeit, die zwischen Google Cloud-Projektressourcen und den HSMs übertragen werden können.

Anforderungen an das Netzwerk:

Mit den folgenden Schritten werden Ihre HSMs auf Google gehostet. Für jedes Rack in einer Region:

  1. Erstellen Sie mithilfe von ASN16550 ein redundantes Paar von Cloud Routern pro Region. Weitere Informationen finden Sie unter Cloud Router erstellen.

  2. Erstellen Sie mithilfe der Cloud Router aus dem vorherigen Schritt zwei redundante VLAN-Anhänge mit Partner Interconnect pro Region. Erstellen Sie die Anhänge mit aktivierter Option "Voraktivierung". Es sollten maximal vier Anhänge pro Region vorhanden sein. Wenn die Anhänge ohne aktivierte Option aktiviert waren, können Sie die Verbindungen manuell aktivieren.

    Weitere Informationen zu Partner Interconnect und Optionen zur Vorabaktivierung finden Sie unter Partner Interconnect – Übersicht.

  3. Globales dynamisches Routing in der VPC aktivieren

  4. Konfigurieren Sie Firewallregeln nach Bedarf, um Traffic zwischen Ihren lokalen und Projektressourcen zuzulassen.

Google kontaktieren

Wenn Sie Ihre HSMs auf Google hosten möchten, wenden Sie sich an Ihren Kundenbetreuer, um Unterstützung zu erhalten.