HSM particular hospedado

Neste tópico, você encontra uma visão geral da solução HSM particular hospedada.

Visão geral

Para oferecer suporte à migração das cargas de trabalho para a nuvem, o Google hospeda os módulos de segurança de hardware (HSMs, na sigla em inglês) do cliente, que oferecem segurança física e de rede, espaço em rack, energia e integração de rede por uma taxa mensal.

Os HSMs particulares hospedados permitem que você assine diretamente com o Google para a colocação dos HSMs. Os HSMs são colocados dentro das instalações de colocation especificadas e se conectam ao Google Cloud.

A solução HSM particular hospedada é compatível com instalações de colocation com temas de peering ativos. Essas instalações atendem e excedem os padrões do Google para segurança de data center e fornecem serviço altamente disponível e de baixa latência.

Requisitos de conformidade

Esta oferta é limitada aos HSMs com certificação FIPS 140-2 de nível 3 (ou melhor) e não é um serviço generalizado de hospedagem ou colocation. A solução HSM particular hospedada é compatível com PCI-DSS e SOC em todos os locais.

Separação de responsabilidades

Você é responsável por receber e provisionar os HSMs e enviá-los às instalações adequadas. Os HSMs usados são de sua escolha, mas precisam atender aos requisitos de equipamento HSM.

O Google pré-configura os racks, os interruptores na parte superior do rack e a conectividade. As chaves são de diferentes fornecedores para cada par de racks. Para a solução HSM particular hospedada, você tem seus próprios racks e interruptores dedicados. O Google fornece um serviço de rack para seus HSMs e trabalha com você para validar a interconexão. Há acessórios de alimentação redundantes para cada rack.

Como acessar HSMs hospedados hospedados

Você tem acesso de gerenciamento lógico aos HSMs e é responsável pela manutenção e pelo gerenciamento deles. Você mantém o controle total dos HSMs.

O Google não tem acesso lógico aos HSMs, mas fornece e mantém os racks, a alternância e a interconexão. O Google não tem acesso aos seus dados ou chaves no HSM.

O Google oferece um serviço remoto para mãos. Com aviso, você poderá agendar uma visita acompanhada. Você é responsável pelos seus próprios requisitos de conformidade e auditoria.

No final do contrato ou do fim da vida útil do HSM, o HSM será enviado de volta a você ou destruído se não puder ser reenviado.

Requisitos de equipamento do HSM

Nesta seção, detalhamos os requisitos físicos para HSMs e cabos associados para hospedagem de HSMs em uma instalação do Google.

O número de HSMs que podem caber em um rack depende do número de portas disponíveis no modelo atual da chave do topo do rack, do número de unidades do rack ocupadas pelo modelo do HSM e do desenho de energia dos HSMs.

  • Energia

    • Fontes de alimentação CA duplas (máximo de 16 A por fonte de alimentação).
  • Distribuição de energia

    • Linha 208V linha a linha (para locais nos Estados Unidos).
    • PDU de rack fornecendo contêineres/saídas C13 ou C19.
  • Cabos de alimentação (fornecidos por você)

    • O cabo do PDU para rack precisa ser do tipo C14 / C20.
    • Cabos de alimentação de 2 x 6 pés / 2 metros (comprimento preferido).
  • Rede

    • Controlador da interface de rede: placas de rede (NICs) de cobre duplas de 1G (se aplicável).
  • Cabos de rede (fornecidos por você)

    • 2 x 6 pés / 2 metros (comprimento preferencial) CAT-5e ou cabos patch melhores.
  • Dimensões físicas

    • Profundidade do rack: 100 cm de profundidade.
    • Espaçamento do rack Ocupa até quatro unidades de rack por HSM.
  • Segurança

    • Os HSMs não podem ser equipados com câmeras ou redes sem fio, como Bluetooth.
    • O HSM precisa ter a certificação FIPS 140-2 Nível 3 (ou mais recente).
  • O HSM precisa ser um equipamento novo.

  • O HSM precisa ser totalmente gerenciável remotamente.

Não há requisitos para peso ou resfriamento.

Visão geral da implantação

Para HSMs hospedados que atendam aos requisitos de um SLA de 99,99%, é preciso:

  • Implantar HSMs em pelo menos duas regiões do Google Cloud.
  • Implantar no mínimo quatro HSMs por região (no mínimo dois HSMs em dois racks no mínimo).

Forneça ao Google o endereço MAC de cada interface de rede HSM e o endereço IP atribuído a ele. Essas informações ajudam o Google a verificar o cabeamento de servidor a topo do rack e ajudam a resolver problemas durante o processo de implantação.

Os requisitos de rede serão discutidos com mais detalhes com seu representante de conta durante o processo de integração.

Topologia de rede

Um par de racks em um único local é coberto por um SLA de 99,9%.

Uma implantação completa em dois locais oferece um SLA de 99,99%.

Os aplicativos precisam ser projetados para aproveitar esse modelo de redundância. Um aplicativo precisa fazer failover da zona 1 para a zona 2 em um único local (ou seja, rack para rack).

A ativação do recurso "Roteamento global" permite que o HSM em qualquer local alcance recursos do GCP em qualquer região.

Uma única falha de interconexão não é uma violação do SLA.

Este diagrama de alto nível mostra a conectividade necessária para alcançar um SLA de 99,99% no serviço.

Topologia de rede para HSMs hospedados

  • Cada implantação de região contém no mínimo dois racks para seu uso e um interruptor por rack.
  • Essas chaves são fornecidas pelo Google e têm diversidade de fornecedores.
  • Cada chave de alto-rack tem uma Interconexão por parceiro de 10G com anexos da VLAN redundantes para Interconexão por parceiro para Cloud Routers redundantes.
  • Cada HSM precisa ter no mínimo 2 interfaces de rede de cobre 1GE com conexões redundantes para comutadores na parte superior do rack (por exemplo, conexões redundantes para switches na parte superior do rack para as interfaces de gerenciamento e dados).
  • Você fornece as alocações de IP para as redes HSM.
  • As chaves mais avançadas divulgam as sub-redes conectadas localmente ao par de Cloud Routers.
  • Ative o roteamento dinâmico global na sua nuvem privada virtual (VPC, na sigla em inglês) para permitir o acesso aos HSMs de qualquer região do GCP em que você implantou recursos. O roteamento dinâmico global também é necessário para atender aos requisitos de disponibilidade de 99,99%.
  • O BGP entre as chaves do topo do rack e os Cloud Routers nas informações de acessibilidade do projeto troca para rotear entre os recursos do projeto do Google Cloud e os HSMs.

Requisitos de rede

As etapas a seguir são concluídas por você para permitir que seus HSMs sejam hospedados no Google. Para cada conjunto de racks em uma região:

  1. Crie um par redundante de Cloud Routers por região usando ASN16550. Consulte Como criar Cloud Routers para mais informações.

  2. Crie dois pares redundantes de anexos da VLAN com o Partner Interconnect por região usando os Cloud Routers da etapa anterior. Crie os anexos com a opção de pré-ativação ativada. É preciso que haja um total de quatro anexos por região. Se os anexos foram criados sem a opção de pré-ativação ativada, é possível ativar as conexões manualmente.

    Para saber mais sobre a Interconexão por parceiro e as opções de pré-ativação, consulte Visão geral da Interconexão por parceiro.

  3. Ative o roteamento dinâmico global na VPC.

  4. Configure as regras de firewall conforme necessário para permitir o tráfego entre os recursos das instalações e do projeto.

Entrar em contato com o Google

Se você tiver interesse em hospedar seus HSMs com o Google, entre em contato com seu representante de conta para receber mais ajuda.