HSM per rack Bare Metal

Questa pagina fornisce una panoramica della soluzione Bare Metal Rack HSM.

Panoramica

Bare Metal Rack HSM è un'offerta Infrastructure as a Service che consente di eseguire il deployment di rack di moduli di sicurezza hardware (HSM) di proprietà del cliente accanto ai carichi di lavoro Google Cloud. Il deployment dei moduli HSM viene eseguito in strutture conformi allo standard PCI per soddisfare i requisiti di sicurezza, conformità e bassa latenza.

Per supportare il trasferimento dei carichi di lavoro nel cloud, Google ospita i moduli HSM, fornendo sicurezza fisica e di rete, spazio rack, alimentazione e integrazione di rete a una tariffa mensile.

Bare Metal Rack HSM consente di stipulare un contratto direttamente con Google per il posizionamento dei tuoi moduli HSM. I moduli HSM vengono inseriti all'interno di strutture di colocation specificate e si connettono a Google Cloud.

La soluzione HSM per Bare Metal Rack è supportata nelle strutture di colocation con fabric di peering attivi. Queste strutture soddisfano e superano gli standard di Google per la sicurezza dei data center e offrono un servizio ad alta disponibilità e a bassa latenza.

Confronto con Bare Metal HSM

Sia Bare Metal Rack HSM che Bare Metal HSM ti consentono di ospitare i tuoi HSM nelle strutture Google Cloud. La principale differenza tra le soluzioni Bare Metal Rack HSM e Bare Metal HSM è la scalabilità. La seguente tabella riassume le principali differenze tra queste soluzioni:

HSM per Bare Metal	HSM per rack Bare Metal
Google ospita i moduli HSM in base al dispositivo.	Google ospita i moduli HSM in base per rack.
Hai un accesso logico ai tuoi HSM, ma nessun accesso fisico.	Disponi dell'accesso logico ai tuoi HSM e puoi pianificare l'accesso fisico indicato.
Destinato a deployment di dimensioni ridotte di 10-15 moduli HSM	Destinato per deployment a livello di rack di grandi dimensioni di 100 o più moduli HSM.

Se non sai quale di queste soluzioni è più adatta alle tue esigenze, contatta il rappresentante del tuo account.

Modello operativo

• Procedura di onboarding
  • Contratto: minimo 12 mesi. È richiesta l'Assistenza Premium.
  • Approvvigionamento e configurazione: la tua organizzazione acquisisce, configura e spedisce i moduli HSM a Google.
  • Crea in rack e stack e connetti: Google esegue il deployment dei moduli HSM e configura la connessione Partner Interconnect.
  • Convalida e trasferimento: conferma la soluzione di progettazione e l'accessibilità ai moduli HSM, testa la soluzione e disconnetti.
• Modello di assistenza
  • Google fornisce supporto per rack e stack, hosting, smart mani, conformità e connessione Partner Interconnect.
  • Collabora con il tuo fornitore di HSM per ricevere supporto per il software, le licenze, gli strumenti e la risoluzione dei problemi.
  • Se necessario, puoi accedere fisicamente ai rack.
• Procedura di dismissione
  • Presenta una richiesta di ritiro.
  • Devi cancellare tutti i dati e inizializzare tutti i moduli HSM ai valori predefiniti di fabbrica.

Requisiti di conformità

Questa offerta è limitata ai moduli HSM certificati FIPS 140-2 di livello 3 o migliori e non è un servizio di hosting o colocation generalizzato. La soluzione Bare Metal Rack HSM è ospitata in strutture completamente conformi a PCI DSS, PCI-3DS e SOC 1, 2 e 3. Google supporterà il tuo AOC per la conformità PCI-PIN, PCI-P2PE e SOC in tutte le regioni.

Separazione delle responsabilità

È tua responsabilità ottenere ed eseguire il provisioning dei moduli HSM e distribuirli alle regioni Google Cloud appropriate. Puoi scegliere i moduli HSM utilizzati, ma devono rispettare i requisiti delle apparecchiature HSM.

Google preconfigura i rack, gli switch top-of-rack e la connettività. Gli interruttori provengono da fornitori diversi per ogni coppia di rack. Per la soluzione HSM per rack in metallo, disponi di rack e interruttori dedicati. Google fornisce un servizio di rack per i moduli HSM e collabora con te per convalidare la connessione Partner Interconnect. Ogni rack è dotato di alimentatori ridondanti.

Accesso agli HSM per rack Bare Metal

Disponi dell'accesso alla gestione logica dei moduli HSM e sei responsabile della loro manutenzione e gestione. Manterrai il controllo completo dei moduli HSM.

Google non ha accesso logico ai moduli HSM, ma fornisce e gestisce rack, switch e connessione. Google non ha accesso ai dati o alle chiavi dei moduli HSM.

Google offre un servizio mani da remoto. Previa preavviso, è possibile programmare una visita accompagnata dalla struttura. Sei responsabile dei tuoi requisiti di conformità e controllo.

Al termine del contratto o al fine del ciclo di vita dell'HSM, invii una richiesta di ritiro e cancellazione dei dati dei moduli HSM o di ripristino delle impostazioni di fabbrica dei moduli. Dopo la cancellazione o la reimpostazione dei moduli HSM e l'ottenimento del nullaosta legale, questi ti verranno rispediti o distrutti se non è possibile rispedire.

Requisiti delle apparecchiature HSM

Questa sezione descrive in dettaglio i requisiti fisici dei moduli HSM e i relativi cavi per l'hosting di questi moduli in una struttura di Google.

Il numero di moduli HSM che possono essere inseriti in un rack dipende dal numero di porte disponibili nel modello attuale dello switch top di rack, dal numero di unità rack utilizzate nel modello HSM e dall'assorbimento di potenza dei moduli HSM.

• Potenza

  • Doppia alimentazione CA (massimo 16 A per alimentatore).

• Distribuzione di corrente

  • Linea a 208 V (per località con sede negli Stati Uniti).
  • PDU a rack che fornisce prese e prese C13 o C19.

• Cavi di alimentazione (forniti da te)

  • L'estremità del cavo della PDU del rack deve essere di tipo C14 o C20.
  • 2 cavi di alimentazione da 6 piedi o 2 metri (lunghezza preferita).

• Rete

  • Controller di interfaccia di rete: due NIC in rame da 1 g (se applicabile).

• Cavi di rete (forniti a cura dell'utente)

  • 2 cavi CAT-5e o migliori di 2 x 6 piedi o 2 metri (lunghezza preferita).

• Dimensioni fisiche

  • Profondità del rack: 42 pollici di profondità.
  • Spaziatura delle unità rack: montaggio su rack standard EIA-310 da 19" con montaggi a foro quadrato. Puoi ospitare fino a 4 unità rack per HSM.

• Sicurezza

  • I moduli HSM non devono essere dotati di videocamere o reti wireless come Bluetooth.
  • L'HSM deve essere certificato FIPS 140-2 Livello 3 o superiore.

• L'HSM deve essere un'apparecchiatura nuova.

• L'HSM deve essere completamente gestibile da remoto.

Non ci sono requisiti di peso o raffreddamento.

Panoramica del deployment

Per avere diritto a uno SLA con uptime del 99,99%, devi soddisfare i seguenti requisiti:

• Esegui il deployment dei moduli HSM in almeno due regioni Google Cloud.
• Esegui il deployment di un minimo di quattro moduli HSM per regione (almeno due per rack in almeno due rack).

Dovrai fornire a Google l'indirizzo MAC di ciascuna interfaccia di rete HSM e l'indirizzo IP assegnato. Queste informazioni aiutano Google a verificare il cablaggio server-to-top-of-rack e a risolvere i problemi durante il processo di deployment.

I requisiti di rete verranno discussi in modo più dettagliato con il rappresentante del tuo account durante la procedura di onboarding.

Topologia di rete

Una coppia di rack in una singola posizione è coperta da uno SLA con uptime del 99,9%.

Un deployment completo in due località garantisce uno SLA con uptime del 99,99%.

Le applicazioni devono essere progettate in modo da sfruttare questo modello di ridondanza. Un'applicazione deve essere in grado di eseguire il failover dalla zona 1 alla zona 2 all'interno di una singola località, da HSM a HSM o da rack a rack.

L'abilitazione della funzionalità Routing globale consente agli HSM in qualsiasi località di raggiungere le risorse Google Cloud in qualsiasi regione.

Un singolo errore di connessione Partner Interconnect non è una violazione dello SLA (accordo sul livello del servizio).

Il seguente diagramma ad alto livello mostra la connettività richiesta per raggiungere uno SLA del 99,99% sul servizio.

• Ogni deployment della regione contiene almeno due rack per l'uso e uno switch per rack.
• Gli interruttori top of rack sono forniti da Google e di diversi fornitori.
• Ogni switch top-of-rack dispone di una connessione Partner Interconnect da 10 G con collegamenti VLAN ridondanti per Partner Interconnect ai router Cloud ridondanti.
• Ogni HSM deve avere almeno 2 interfacce di rete in rame 1 GE con connessioni ridondanti a entrambi gli switch top-of-rack. Entrambe le interfacce di gestione e dati devono avere le proprie connessioni ridondanti a entrambi gli switch top-of-rack.
• Sei tu a fornire le allocazioni degli indirizzi IP per le reti HSM.
• Gli switch top-of-rack pubblicizzano le proprie subnet collegate in locale sulla coppia di router Cloud.
• Puoi abilitare il routing dinamico globale nel tuo VPC (Virtual Private Cloud) per consentire l'accesso ai moduli HSM da qualsiasi regione Google Cloud in cui hai eseguito il deployment delle risorse. Inoltre, è necessario il routing dinamico globale per avere una disponibilità del 99,99%.
• Il BGP tra gli switch top-of-rack e i router Cloud nel tuo progetto scambiano informazioni sulla connettività per il routing tra le risorse del progetto Google Cloud e gli HSM.

Requisiti di networking

Devi completare i seguenti passaggi per ogni set di rack in una regione per consentire l'hosting dei moduli HSM con Google:

1. Crea una coppia ridondante di router Cloud per regione utilizzando ASN16550. Per istruzioni dettagliate, consulta la sezione Creazione di router Cloud.

2. Crea due coppie ridondanti di collegamenti VLAN con Partner Interconnect per regione utilizzando i router Cloud del passaggio precedente. Crea gli allegati con l'opzione di preattivazione abilitata. Dovrebbero esserci un totale di quattro collegamenti per regione. Se gli allegati sono stati creati senza che l'opzione di preattivazione sia abilitata, puoi attivare le connessioni manualmente.

   Per ulteriori informazioni su Partner Interconnect e sulle opzioni di pre-attivazione, consulta la panoramica di Partner Interconnect.

3. Abilita il routing dinamico globale nella rete VPC.

   • Per ottenere una disponibilità del 99,99%, segui i passaggi descritti in Stabilire una disponibilità del 99,99% per Partner Interconnect.
   • I deployment in un'unica regione hanno una disponibilità del 99,9% fino a quando non è disponibile la seconda regione. In questo caso, consulta Stabilire una disponibilità del 99,9% per Partner Interconnect

4. Configura le regole firewall in base alle esigenze per consentire il traffico tra le sedi e le risorse del progetto.

Contatta Google

Questo prodotto è disponibile solo per i clienti con requisiti aziendali e tecnici specifici. Questo prodotto è disponibile in alcune regioni a livello globale.

Se ti interessa Bare Metal Rack HSM con Google, contatta il rappresentante del tuo account per ulteriore assistenza.