HSM privé hébergé

Cette rubrique présente la solution HSM privé hébergé.

Présentation

Pour faciliter le transfert de vos charges de travail vers le cloud, Google héberge des modules de sécurité matériels (HSM) détenus par le client, qui fournissent une sécurité physique et réseau, un espace de rack, une alimentation et une intégration réseau moyennant des frais mensuels.

Les HSM privés hébergés vous permettent de conclure un contrat directement avec Google pour l'installation de vos HSM. Les HSM sont placés dans des installations hébergées en colocation spécifiées et se connectent à Google Cloud.

La solution HSM privée hébergée est compatible avec les installations hébergées en colocation avec des structures d'appairage actives. Ces installations répondent aux normes de sécurité de Google sur les centres de données et les dépassent, et offrent un service à haute disponibilité et à faible latence.

Exigences de conformité

Cette offre est limitée aux HSM certifiés FIPS 140-2 de niveau 3 (ou supérieur) et n'est pas un service d'hébergement ou de colocation généralisé. La solution HSM hébergée est conforme à la norme PCI DSS et SOC dans tous les emplacements.

Séparation des responsabilités

Il vous incombe d'obtenir et de provisionner les HSM, puis de les expédier aux installations appropriées. Les HSM utilisés sont de votre choix, mais ils doivent être conformes aux exigences concernant l'équipement HSM.

Google préconfigure les racks, les commutateur top-of-rack et la connectivité. Les commutateurs proviennent de fournisseurs différents pour chaque paire de racks. Pour la solution HSM privé hébergé, vous disposez de vos propres racks et commutateurs dédiés. Google fournit un service de rack pour vos HSM et vous aide à valider l'interconnexion. Des alimentations redondantes sont fournies pour chaque rack.

Accéder aux HSM privés hébergés

Vous disposez d'un accès logique à vos HSM et êtes responsable de leur maintenance et de leur gestion. Vous conservez un contrôle total sur vos HSM.

Google n'a pas d'accès logique à vos HSM, mais fournit et gère les racks, les commutateurs et l'interconnexion. Google n'a pas accès à vos données ni à vos clés sur votre HSM.

Google fournit un service de prise en main à distance. Si vous le souhaitez, vous pouvez planifier une visite guidée de l'installation. Vous êtes responsable de vos propres exigences en termes de conformité et d'audit.

À la fin de votre contrat ou à la fin de vie du HSM, celui-ci vous sera renvoyé ou détruit s'il ne peut pas être expédié.

Exigences concernant l'équipement HSM

Cette section détaille les exigences physiques concernant les HSM et les câbles associés pour l'hébergement des HSM dans une installation Google.

Le nombre de HSM pouvant être intégrés dans un rack dépend du nombre de ports disponibles dans le modèle actuel de commutateurs top-of-rack, du nombre d'unités de rack utilisables par le modèle HSM et de la puissance absorbée par les HSM.

  • Alimentation

    • 2 adaptateurs secteur (16 A maximum par source d'alimentation).
  • Distribution électrique

    • Ligne 208 V (pour les États-Unis).
    • Rack PDU permettant d'alimenter des prises/sortie C13 ou C19.
  • Câbles d'alimentation (à fournir).

    • L'extrémité du câble de rack PDU doit être de type C14/C20.
    • Câbles d'alimentation de 2 mètres (longueur recommandée).
  • Réseau

    • Contrôleur d'interface réseau : 2 cartes d'interface réseau en cuivre 1 g (le cas échéant).
  • Câbles réseau (à fournir).

    • Câbles de raccordement de 5e catégorie ou plus de 2 mètres (longueur recommandée) 2 x 6 pieds (0,61 x 1,83 m) ou plus.
  • Dimensions physiques

    • Profondeur de rack : 42 pouces (107 mm).
    • Espacement des racks : montage standard EIA-310 19' (48,26 cm) avec supports carrés. Vous pouvez occuper jusqu'à quatre unités de rack par HSM.
  • Sécurité

    • Les HSM ne peuvent pas être équipés de caméras ou de réseaux sans fil tels que Bluetooth.
    • Le HSM doit être certifié FIPS 140-2 de niveau 3 (ou supérieur).
  • Le HSM doit être un nouvel équipement.

  • Le HSM doit être entièrement gérable.

Aucune pondération n'est requise concernant le poids ou le refroidissement.

Présentation du déploiement

Pour que les HSM hébergés répondent aux exigences d'un contrat de niveau de service garantissant une disponibilité de 99,99 %, vous devez :

  • déployer des HSM dans au moins deux régions Google Cloud ;
  • déployer au moins quatre HSM par région (deux HSM au minimum dans deux racks minimum).

Vous fournissez à Google l'adresse MAC de chaque interface réseau HSM et l'adresse IP qui lui est attribuée. Ces informations aident Google à vérifier le câblage serveur à commutateurs top-of-rack et facilitent le dépannage pendant le processus de déploiement.

Les exigences du réseau seront évaluées plus en détail avec votre responsable de compte lors du processus d'intégration.

Topologie du réseau

Une paire de racks à un seul emplacement est couverte par un contrat de niveau de service garantissant une disponibilité de 99,9 %.

Un déploiement complet entre deux emplacements est couvert par un contrat de niveau service garantissant une disponibilité de 99,99 %.

Les applications doivent être conçues pour exploiter ce modèle de redondance. Une application doit pouvoir basculer de la zone 1 vers la zone 2 au sein d'un emplacement unique (soit de rack à rack).

L'activation de la fonctionnalité de routage global permet aux HSM situés dans l'un ou l'autre des emplacements d'accéder aux ressources Google Cloud de n'importe quelle région.

Veuillez noter qu'une défaillance d'interconnexion unique ne constitue pas une violation du contrat de niveau de service.

Ce schéma de haut niveau montre la connectivité requise pour obtenir un contrat de niveau de service garantissant une disponibilité de 99,99 %.

Topologie du réseau pour les HSM privés hébergés

  • Chaque déploiement régional contient au moins deux racks pour votre utilisation et un commutateur par rack.
  • Les commutateurs top-of-rack sont fournis par Google et proviennent de divers fournisseurs.
  • Chaque commutateur top-of-rack dispose d'une interconnexion partenaire 10G avec des rattachements de VLAN redondants assurant la redondance de l'interconnexion partenaire avec les routeurs cloud.
  • Chaque HSM doit disposer d'au moins deux interfaces réseau en cuivre 1GE avec des connexions redondantes aux deux commutateurs top-of-rack (par exemple, des connexions redondantes aux deux commutateurs top-of-rack pour les interfaces de gestion et de données).
  • Vous fournissez les attributions d'adresses IP pour les réseaux HSM.
  • Les commutateurs top-of-rack annoncent leurs sous-réseaux associés localement à la paire de routeurs cloud.
  • Vous activez le routage dynamique mondial dans votre cloud privé virtuel (VPC) pour autoriser l'accès aux HSM à partir de n'importe quelle région Google Cloud où vous avez déployé des ressources. Le routage dynamique global est également requis pour répondre aux exigences d'une disponibilité de 99,99 %.
  • Le protocole BGP entre les commutateurs top-of-rack et les routeurs cloud de votre projet échange des informations de joignabilité pour le routage entre les ressources du projet Google Cloud et les HSM.

Exigences de mise en réseau

Vous devez effectuer les étapes suivantes pour permettre l'hébergement de vos HSM par Google. Pour chaque ensemble de racks dans une région, procédez comme suit :

  1. Créez une paire redondante de routeurs cloud par région avec le numéro ASN16550. Consultez la page Créer des routeurs cloud pour plus d'informations.

  2. Créez deux paires redondantes de rattachements de VLAN avec une interconnexion partenaire par région à l'aide des routeurs cloud de l'étape précédente. Créez les rattachements avec l'option de pré-activation activée. Vous devez créer un total de quatre rattachements par région. Si les rattachements ont été créés sans l'option de pré-activation activée, vous pouvez activer les connexions manuellement.

    Pour en savoir plus sur l'interconnexion partenaire et les options de pré-activation, consultez la page Présentation de l'interconnexion partenaire.

  3. Activez le routage dynamique global dans le VPC.

  4. Configurez des règles de pare-feu si nécessaire pour autoriser le trafic entre vos ressources de site et de projet.

Contacter Google

Ce produit n'est disponible que pour les clients ayant des exigences commerciales et techniques spécifiques. Ce produit n'est disponible que dans certaines régions.

Si vous souhaitez héberger vos HSM avec Google, contactez votre responsable de compte pour obtenir de l'aide.