Bare-Metal-Rack HSM

Diese Seite bietet eine Übersicht über die Bare-Metal-Rack-HSM-Lösung.

Überblick

Bare-Metal-Rack-HSM ist ein Infrastructure-as-a-Service-Angebot, mit dem Sie Racks mit kundeneigenen Hardwaresicherheitsmodulen (HSMs) neben Ihren Google Cloud-Arbeitslasten bereitstellen können. Ihre HSMs werden in PCI-konformen Einrichtungen bereitgestellt, um Ihre Anforderungen an Sicherheit, Compliance und niedrige Latenz zu erfüllen.

Um das Verschieben Ihrer Arbeitslasten in die Cloud zu unterstützen, hostet Google Ihre HSMs und bietet gegen eine monatliche Gebühr physische und Netzwerksicherheit, Rack-Speicherplatz, Stromversorgung und Netzwerkintegration.

Mit Bare-Metal-Rack-HSMs können Sie die Platzierung Ihrer HSMs direkt mit Google beauftragen. HSMs werden in bestimmten Colocations-Einrichtungen platziert und sind mit der Google Cloud verbunden.

Die Bare-Metal-Rack-HSM-Lösung wird in Colocations-Einrichtungen mit aktiven Peering-Strukturen unterstützt. Diese Einrichtungen erfüllen und übersteigen die Standards von Google für die Sicherheit von Rechenzentren und bieten einen hochverfügbaren Dienst mit niedriger Latenz.

Vergleich mit Bare-Metal-HSM

Sie können sowohl Bare-Metal-Rack-HSMs als auch Bare-Metal-HSMs in Google Cloud-Einrichtungen hosten. Der Hauptunterschied zwischen den Bare-Metal-Rack-HSM- und Bare-Metal-HSM-Lösungen ist die Skalierung. In der folgenden Tabelle sind die wichtigsten Unterschiede zwischen diesen Lösungen zusammengefasst:

Bare-Metal-HSM	Bare-Metal-Rack HSM
Google hostet Ihre HSMs pro Gerät.	Google hostet Ihre HSMs pro Rack.
Sie haben logischen Zugriff auf Ihre HSMs, aber keinen physischen Zugriff.	Sie haben logischen Zugriff auf Ihre HSMs und können einen escorierten physischen Zugriff planen.
Vorgesehen für kleine Bereitstellungen von 10–15 HSMs	Vorgesehen für große Bereitstellungen auf Rack-Ebene mit 100 oder mehr HSMs.

Wenn Sie nicht sicher sind, welche dieser Lösungen für Ihre Anforderungen geeignet ist, wenden Sie sich an Ihren Kundenbetreuer.

Operatives Modell

• Einrichtung
  • Vertrag: mindestens 12 Monate Premium-Support ist erforderlich.
  • Beschaffung und Konfiguration: Ihre Organisation erwirbt, konfiguriert und sendet HSMs an Google.
  • Rack-and-Stack-and-Connect: Google stellt Ihre HSMs bereit und konfiguriert die Partner Interconnect-Verbindung.
  • Validierung und Übergabe: Bestätigen Sie die technische Lösung und die Zugänglichkeit zu den HSMs, testen Sie die Lösung und genehmigen Sie sie.
• Unterstützungsmodell
  • Google bietet Support für Rack-and-Stack, Hosting, Smart Hands, Compliance und Partner Interconnect-Verbindungen.
  • Arbeiten Sie mit Ihrem HSM-Anbieter zusammen, um Unterstützung für HSM-Software, Lizenzierung, Tools und Fehlerbehebung zu erhalten.
  • Sie haben bei Bedarf physischen Zugang zu Ihren Racks.
• Außerbetriebnahme
  • Sie beantragen die Außerbetriebnahme.
  • Sie müssen alle Daten löschen und alle HSMs auf die Werkseinstellungen zurücksetzen.

Compliance-Anforderungen

Dieses Angebot ist auf HSMs beschränkt, die gemäß FIPS 140-2 Level 3 oder besser zertifiziert sind und kein generalisierter Hosting- oder Colocation-Dienst sind. Die Bare-Metal-Rack-HSM-Lösung wird in Einrichtungen gehostet, die vollständig mit PCI-DSS, PCI-3DS und SOC 1, 2 und 3 kompatibel sind. Google unterstützt Ihr AOC für PCI-PIN-, PCI-P2PE- und SOC-Compliance in allen Regionen.

Separate Verantwortlichkeiten

Es liegt in Ihrer Verantwortung, HSMs zu beschaffen, bereitzustellen und an die entsprechenden Google Cloud-Regionen zu senden. Sie entscheiden, welche HSMs verwendet werden. Sie müssen sich jedoch an die HSM-Geräteanforderungen halten.

Google konfiguriert Racks, Top-of-Rack-Switches und Konnektivität im Voraus. Die Switches stammen von unterschiedlichen Anbietern für jedes Rackspaar. Für die Bare-Metal-Rack-HSM-Lösung haben Sie Ihre eigenen dedizierten Racks und Switches. Google bietet einen Racking-Dienst für Ihre HSMs und arbeitet mit Ihnen zusammen, um die Partner Interconnect-Verbindung zu validieren. Jedes Rack verfügt über redundante Netzteile.

Auf Bare-Metal-Rack-HSMs zugreifen

Sie haben logischen Verwaltungszugriff auf Ihre HSMs und sind für die Wartung und Verwaltung verantwortlich. Sie haben die volle Kontrolle über Ihre HSMs.

Google hat keinen logischen Zugriff auf Ihre HSMs, stellt aber die Racks, Switches und die Verbindung bereit und verwaltet sie. Google hat keinen Zugriff auf die Daten oder Schlüssel auf Ihren HSMs.

Google bietet einen Remote-Handdienst. Mit Ankündigung können Sie einen Begleittermin zu der Einrichtung planen. Sie sind für Ihre eigenen Compliance- und Prüfanforderungen verantwortlich.

Am Ende Ihres Vertrags oder des Endes der Produktlebensdauer des HSM stellen Sie eine Anfrage zur Außerbetriebnahme und zum Löschen aller Daten oder zum Wiederherstellen der HSMs auf die Werkseinstellungen. Nachdem die HSMs gelöscht oder zurückgesetzt wurden und die gesetzliche Freigabe vorliegt, werden die HSMs an Sie zurückgeschickt oder zerstört, wenn sie nicht zurückgeschickt werden können.

Anforderungen an HSM-Geräte

In diesem Abschnitt werden die physischen Anforderungen für HSMs und die zugehörigen Kabel für das Hosting von HSMs in einer Google-Einrichtung beschrieben.

Die Anzahl der HSMs, die in ein Rack passen können, hängt von der Anzahl der im aktuellen Modell des Top-of-Rack-Switches verfügbaren Ports, der Anzahl der im HSM-Modell verwendeten Rack-Einheiten und der Leistungsaufnahme der HSMs ab.

• Stromversorgung

  • Duale AC-Geräte (max. 16 A pro Netzteil)

• Energieverteilung

  • 208 V-Versorgung (für Standorte in den USA).
  • Rack-PDU mit C13- oder C19-Steckdosen und -Steckdosen.

• Stromkabel (von Ihnen zur Verfügung gestellt)

  • Das Rack-PDU-Kabelende sollte ein C14- oder C20-Anschluss sein.
  • 2 x 2 m lange Netzkabel (bevorzugte Länge)

• Netzwerk

  • Netzwerkschnittstellen-Controller: Duale 1 g-Kupfer-NICs (falls zutreffend).

• Netzwerkkabel (von Ihnen zur Verfügung gestellt)

  • 2 x 2 m lange CAT-5e-Patchkabel (oder besser)

• Abmessungen

  • Racktiefe: 42 cm.
  • Abstand der Rack-Einheiten: 19"-Standard-Rackmontage nach EIA-310 mit quadratischen Löchern. Sie können pro HSM bis zu 4 Rack-Einheiten unterbringen.

• Sicherheit

  • Die HSMs dürfen nicht mit Kameras oder Drahtlosnetzwerken wie Bluetooth ausgestattet sein.
  • Das HSM muss gemäß FIPS 140-2 Level 3 oder höher zertifiziert sein.

• Das HSMs müssen neu sein.

• Die HSMs müssen vollständig remote verwaltbar sein.

Es gibt keine Anforderungen in Sachen Gewicht oder Kühlung.

Bereitstellungsübersicht

Um ein SLA mit einer Verfügbarkeit von 99,99% zu erhalten, müssen Sie die folgenden Anforderungen erfüllen:

• HSMs in mindestens zwei Google Cloud-Regionen bereitstellen.
• Stellen Sie mindestens vier HSMs pro Region bereit (mindestens zwei HSMs pro Rack in mindestens zwei Racks).

Sie informieren Google über die MAC-Adresse jeder HSM-Netzwerkschnittstelle und deren zugewiesene IP-Adresse. Mit diesen Informationen kann Google die Verkabelung zwischen Server und Top-of-Rack prüfen und Fehler bei der Bereitstellung beheben.

Die Netzwerkanforderungen werden während der Einrichtung im Detail mit Ihrem Kundenbetreuer besprochen.

Netzwerktopologie

Für zwei Racks an einem einzigen Standort gilt ein SLA mit 99,9% Verfügbarkeit.

Eine vollständige Bereitstellung an zwei Standorten bietet ein SLA mit einer Verfügbarkeit von 99,99 %.

Anwendungen sollten so konzipiert werden, dass sie dieses Redundanzmodell nutzen. Eine Anwendung sollte in der Lage sein, innerhalb eines einzelnen Standorts von Zone 1 zu Zone 2, von HSM zu HSM oder von Rack zu Rack umzuschalten.

Wenn Sie das globale Routing aktivieren, können HSMs an beiden Standorten Google Cloud-Ressourcen in jeder Region erreichen.

Ein einzelner Partner Interconnect-Verbindungsfehler ist kein SLA-Verstoß.

Das folgende Diagramm zeigt die erforderliche Verbindung, um ein SLA von 99,99% für den Dienst zu erreichen.

• Jede regionale Bereitstellung enthält mindestens zwei Racks für Ihre Verwendung und einen Switch pro Rack.
• Die Top-of-Rack-Switches werden von Google bereitgestellt und stammen von verschiedenen Anbietern.
• Jeder Top-of-Rack-Switch hat eine 10G-Partner Interconnect-Verbindung mit redundanten VLAN-Anhängen für Partner Interconnect zu redundanten Cloud Routern.
• Jedes HSM sollte mindestens 2 1GE-Kupfer-Netzwerkschnittstellen mit redundanten Verbindungen zu beiden Top-of-Rack-Switches haben. Sowohl die Verwaltungs- als auch die Datenschnittstelle sollten jeweils eigene redundante Verbindungen zu beiden Top-of-Rack-Switches haben.
• Sie geben die IP-Adresszuweisungen für die HSM-Netzwerke an.
• Top-of-Rack-Switches bieten ihre lokal angehängten Subnetze dem Cloud Router-Paar an.
• Sie aktivieren globales dynamisches Routing in Ihrer Virtual Private Cloud (VPC), um den Zugriff auf die HSMs aus jeder Google Cloud-Region zu ermöglichen, in der Sie Ressourcen bereitgestellt haben. Globales dynamisches Routing ist ebenfalls erforderlich, um eine Verfügbarkeit von 99,99% zu erhalten.
• BGP zwischen den Top-of-Rack-Switches und den Cloud Routern in Ihrem Projekt tauschen Erreichbarkeitsinformationen für die Weiterleitung zwischen Google Cloud-Projektressourcen und den HSMs aus.

Netzwerkanforderungen

Sie müssen die folgenden Schritte für jede Racksgruppe in einer Region ausführen, damit Ihre HSMs mit Google gehostet werden können:

1. Erstellen Sie ein redundantes Paar von Cloud Routern pro Region mit ASN16550. Eine ausführliche Anleitung finden Sie unter Cloud Router erstellen.

2. Erstellen Sie mit den Cloud Routern aus dem vorherigen Schritt zwei redundante Paare von VLAN-Anhängen mit Partner Interconnect pro Region. Erstellen Sie die Anhänge mit aktivierter Option „Vorab aktivieren“. Pro Region sollten insgesamt vier Anhänge vorhanden sein. Wenn die Anhänge ohne aktivierte Vorabaktivierungsoption erstellt wurden, können Sie die Verbindungen manuell aktivieren.

   Weitere Informationen zu Partner Interconnect und den Optionen zur Vorabaktivierung finden Sie unter Partner Interconnect – Übersicht.

3. Aktivieren Sie globales dynamisches Routing im VPC-Netzwerk.

   • Wenn Sie eine Verfügbarkeit von 99,99% erreichen möchten, führen Sie die Schritte unter 99,99 % Verfügbarkeit für Partner Interconnect einrichten aus.
   • Bereitstellungen in einer einzelnen Region haben eine Verfügbarkeit von 99,9 %, bis die zweite Region verfügbar ist. Informationen für diesen Fall finden Sie unter 99, 9% Verfügbarkeit für Partner Interconnect einrichten.

4. Konfigurieren Sie die Firewallregeln nach Bedarf, um Traffic zwischen Ihren Räumlichkeiten und Projektressourcen zuzulassen.

Google kontaktieren

Dieses Produkt ist nur für Kunden mit bestimmten geschäftlichen und technischen Anforderungen verfügbar. Dieses Produkt ist in ausgewählten Regionen weltweit verfügbar.

Wenn Sie an Bare-Metal-Rack HSM von Google interessiert sind, wenden Sie sich an Ihren Kundenbetreuer.