Esta página foi traduzida pela API Cloud Translation.
Switch to English

HSM particular hospedado

Neste tópico, você terá uma visão geral da solução de HSM particular.

Visão geral

Para ajudar a mover suas cargas de trabalho para a nuvem, o Google hospeda os módulos de segurança de hardware (HSMs, na sigla em inglês) de propriedade do cliente, fornecendo segurança física e de rede, espaço em rack, energia e integração de rede por uma taxa mensal.

Os HSMs hospedados hospedados permitem que você contrate diretamente com o Google para posicionar seus HSMs. Os HSMs são colocados em instalações de colocation especificadas e se conectam ao Google Cloud.

A solução HSM hospedada hospedada é compatível em instalações de colocation com tecidos de peering ativos. Essas instalações atendem e superam os padrões do Google para segurança do data center e fornecem serviço de baixa latência e alta disponibilidade.

Requisitos de conformidade

Esta oferta é limitada aos HSMs FIPS 140-2 Nível 3 (ou melhor) e não é um serviço generalizado de hospedagem ou colocation. A solução HSM hospedada é compatível com PCI-DSS e SOC em todos os locais.

Separação de responsabilidades

Você é responsável por conseguir e provisionar HSMs e enviá-los para os locais apropriados. Os HSMs usados são sua escolha, mas precisam obedecer aos requisitos de equipamentos do HSM.

O Google pré-configura os racks, os interruptores de rack e ToS do rack. Os interruptores de RR são de fornecedores diferentes para cada par de racks. Para a solução de HSM particular hospedada, você tem seu próprio rack dedicado de rack e ToR. O Google oferece um serviço de rack para seus HSMs e trabalha com você para validar a interconexão. Há suprimentos de energia redundantes para cada rack.

Como acessar os HSMs hospedados e hospedados

Você tem acesso de gerenciamento lógico aos HSMs e é responsável pela manutenção e gerenciamento. Você mantém controle total de HSMs.

O Google não tem acesso lógico aos HSMs, mas fornece e mantém botões, alternância e interconexão. O Google não tem acesso aos seus dados ou chaves no HSM.

O Google oferece um serviço de mãos remotas. Com esse aviso, você pode agendar uma visita ao local. Você é responsável por seus próprios requisitos de conformidade e auditoria.

No final do seu contrato ou no fim da vida útil do HSM, o HSM será enviado de volta para você ou destruído se não puder ser enviado de volta.

Requisitos de equipamentos de HSM

Esta seção detalha os requisitos físicos para HSMs e cabos associados para hospedar HSMs em uma instalação do Google.

  • Energia

    • fonte de alimentação dupla CC (máximo de 16 A por fonte de alimentação);
  • Distribuição de energia

    • 208 V a linha para a linha (para locais nos Estados Unidos).
    • Rack PDU com fornecimento/receptivos/outlets de C13 ou C19.
  • Cabos de alimentação (para você)

    • A extremidade do cabo PDU de rack deve ser os tipos de conector C14 / C20.
    • Dois cabos de energia de 2 metros / 2 metros.
  • Rede

    • Controlador de interface de rede: NICs de cobre duplo 1g (se aplicável).
  • Cabos de rede (para você)

    • 2 CAs de largura superior a 2 metros de comprimento ou melhor.
  • Dimensões físicas

    • Profundidade de rack: 42 polegadas de profundidade.
    • Espaçamento entre unidades de rack: Padrão rack-310 de 19 polegadas com suporte para buracos quadrados. É possível ocupar até quatro unidades de rack por HSM.
  • Segurança

    • Os HSMs não podem ser equipados com câmeras ou redes sem fio, como Bluetooth.
    • O HSM precisa ser certificado pelo FIPS 140-2 Nível 3 (ou melhor).
  • O HSM precisa ser um equipamento novo.

  • O HSM precisa ser totalmente gerenciado remotamente.

Não há requisitos de peso ou resfriamento.

Visão geral da implantação

Para que os HSMs hospedados atendam aos requisitos de um SLA de 99,99%, você precisa:

  • Implante os HSMs em pelo menos duas regiões do Google Cloud.
  • Implante pelo menos quatro HSMs por região (pelo menos dois HSMs em dois racks no mínimo).

Informe ao Google o endereço MAC para cada interface de rede do HSM e o endereço IP atribuído. Essas informações ajudam o Google a verificar o processamento entre servidores e auxilia na solução de problemas durante o processo de implantação.

Os requisitos de rede serão discutidos em mais detalhes com a ressalva de sua conta durante o processo de integração.

Topologia de rede

Este diagrama de alto nível mostra um rack usando a topologia de região dupla com disponibilidade de 99,99%:

Topologia de rede para HSMs hospedados hospedados

  • Cada implantação por região contém no mínimo dois racks para seu uso e um ToR por rack.
  • O ToR é fornecido pelo Google e tem dois fornecedores diferentes.
  • Cada ToR tem uma Interconexão por parceiro de 10G com anexos da VLAN redundantes para a Interconexão por parceiro para roteadores do Cloud Router redundantes.
  • Cada HSM tem um par de interfaces de rede de cobre 1GE. A interface1 se conecta a ToR1 e a interface2 se conecta a ToR2 em sub-redes diferentes.
  • Você fornece a sub-rede do HSM que atende a cada ToR.
  • Os RRs anunciam o HSM anexado dentro da rede para o par do Cloud Routers.
  • Você ativa o roteamento dinâmico global na sua nuvem privada virtual (VPC) para permitir o acesso aos HSMs dos recursos do Google Cloud nas duas regiões em que são implantados. O roteamento dinâmico global também é necessário para atender aos requisitos de 99,99% de disponibilidade.
  • O BGP entre os ToRs e os Cloud Routers no seu projeto fornecem informações de acessibilidade para rotear entre os recursos do projeto do Google Cloud e os HSMs.

Requisitos de rede

As etapas a seguir são concluídas por você para permitir que seus HSMs sejam hospedados no Google. Para cada conjunto de racks em uma região:

  1. Crie um par redundante de roteadores do Cloud Router por região usando ASN16550. Consulte Como criar Cloud Routers para mais informações.

  2. Crie dois pares redundantes de anexos da VLAN com o Partner Interconnect por região usando os Cloud Routers da etapa anterior. Crie os anexos com a opção de pré-ativação ativada. Deve haver um total de quatro anexos por região. Se os anexos foram criados sem a opção de pré-ativação ativada, ative as conexões manualmente.

    Para saber mais informações sobre o Partner Interconnect e as opções de pré-ativação, consulte a Visão geral do Partner Interconnect.

  3. Ative o roteamento dinâmico global na VPC.

  4. Configure regras de firewall conforme necessário para permitir tráfego entre os recursos locais e do projeto.

Entrar em contato com o Google

Se você tiver interesse em hospedar seus HSMs com o Google, entre em contato com seu representante de conta para receber mais ajuda.