HSM com Rack Bare Metal

Nesta página, você terá uma visão geral da solução Bare Metal Rack HSM.

Visão geral

O Bare Metal Rack HSM é uma oferta de infraestrutura como serviço que permite implantar racks de módulos de segurança de hardware (HSMs) de propriedade do cliente ao lado das cargas de trabalho do Google Cloud. Os HSMs são implantados em instalações compatíveis com PCI para atender aos requisitos de segurança, conformidade e baixa latência.

Para oferecer suporte à migração de cargas de trabalho para a nuvem, o Google hospeda os HSMs, fornecendo segurança física e de rede, espaço em rack, energia e integração de rede por uma taxa mensal.

Com o Bare Metal Rack HSM, é possível contratar diretamente o Google para colocar seus HSMs. Os HSMs são colocados dentro das instalações de colocation especificadas e se conectam ao Google Cloud.

A solução Bare Metal Rack HSM é compatível com instalações de colocation com telas de peering ativas. Essas instalações atendem e excedem os padrões do Google para segurança de data center e fornecem serviço altamente disponível e de baixa latência.

Comparação com o HSM Bare Metal

Tanto o Bare Metal Rack HSM quanto o Bare Metal HSM permitem hospedar os próprios HSMs nas instalações do Google Cloud. A principal diferença entre as soluções Bare Metal Rack HSM e Bare Metal é a escala. A tabela a seguir resume as principais diferenças entre essas soluções:

HSM bare metal	HSM com Rack Bare Metal
O Google hospeda os HSMs por dispositivo.	O Google hospeda os HSMs por rack.
Você tem acesso lógico aos HSMs, mas não tem acesso físico.	Você tem acesso lógico aos seus HSMs e pode programar o acesso físico acompanhado.
Destinado a pequenas implantações de 10 a 15 HSMs	Destinado a grandes implantações no nível do rack de 100 ou mais HSMs

Se não tiver certeza de qual dessas soluções é certa para suas necessidades, entre em contato com o representante da conta.

Modelo operacional

• Processo de integração
  • Contrato: mínimo de 12 meses. O Suporte Premium é obrigatório.
  • Aquisição e configuração: sua organização adquire, configura e envia HSMs para o Google.
  • Rack, empilhamento e conexão: o Google implanta os HSMs e configura a conexão de Interconexão por parceiro.
  • Validação e transferência: confirme a solução de engenharia e a acessibilidade aos HSMs, teste a solução e aprove.
• Modelo de suporte
  • O Google oferece suporte para rack e pilha, hospedagem, mãos inteligentes, conformidade e conexão de Interconexão por parceiro.
  • Trabalhe com o fornecedor do HSM para suporte ao software, ao licenciamento, às ferramentas e à solução de problemas do HSM.
  • Você tem acesso físico aos racks, conforme necessário.
• Processo de desativação
  • Você envia uma solicitação de desativação.
  • Apague todos os dados e inicialize todos os HSMs com a configuração original.

Requisitos de conformidade

Essa oferta é limitada a HSMs com certificação FIPS 140-2 nível 3 ou superior, e não é um serviço generalizado de hospedagem ou colocation. A solução Bare Metal Rack HSM está hospedada em instalações totalmente compatíveis com o PCI-DSS, PCI-3DS e SOC 1, 2 e 3. O Google oferecerá suporte à sua AOC para conformidade com PCI-PIN, PCI-P2PE e SOC em todas as regiões.

Separação de responsabilidades

É sua responsabilidade receber e provisionar HSMs e enviá-los às regiões apropriadas do Google Cloud. Os HSMs usados são de sua escolha, mas precisam atender aos requisitos de equipamento HSM.

O Google pré-configura os racks, os interruptores na parte superior do rack e a conectividade. Os interruptores são de diferentes fornecedores para cada par de racks. Para a solução Bare Metal Rack HSM, você tem seus próprios racks e interruptores. O Google fornece um serviço de rack para seus HSMs e trabalha com você para validar a conexão da Interconexão por parceiro. Cada rack tem fontes de alimentação redundantes.

Como acessar HSMs do Rack Bare Metal

Você tem acesso de gerenciamento lógico aos HSMs e é responsável pela manutenção e pelo gerenciamento deles. Você mantém o controle total dos HSMs.

O Google não tem acesso lógico aos seus HSMs, mas fornece e mantém os racks, a alternância e a conexão. O Google não tem acesso aos dados ou chaves nos seus HSMs.

O Google oferece um serviço remoto para mãos. Com aviso, você poderá agendar uma visita acompanhada. Você é responsável pelos seus próprios requisitos de conformidade e auditoria.

No final do contrato ou do fim da vida útil do HSM, envie uma solicitação para desativar os HSMs e apague todos os dados ou restaure os HSMs para as configurações de fábrica. Depois que os HSMs forem apagados ou redefinidos e houver a liberação legal, eles serão enviados de volta para você ou destruídos se não puderem ser devolvidos.

Requisitos de equipamento do HSM

Nesta seção, detalhamos os requisitos físicos para HSMs e cabos associados para hospedagem de HSMs em uma instalação do Google.

O número de HSMs que podem caber em um rack depende do número de portas disponíveis no modelo atual do switch da parte superior do rack, do número de unidades de rack ocupadas no modelo do HSM e do consumo de energia dos HSMs.

• Energia

  • Fontes de alimentação CA duplas (máximo de 16 A por fonte de alimentação).

• Distribuição de energia

  • Linha 208V linha a linha (para locais nos Estados Unidos).
  • PDU do rack com receptáculos e saídas C13 ou C19.

• Cabos de alimentação (a serem fornecidos por você)

  • A extremidade do cabo da PDU do rack precisa ser do tipo conector C14 ou C20.
  • Dois cabos de alimentação de 2 metros ou 2 metros (comprimento preferencial).

• Rede

  • Controlador da interface de rede: placas de rede (NICs) de cobre duplas de 1G (se aplicável).

• Cabos de rede (a serem fornecidos por você)

  • 2 x 6 pés ou 2 metros (comprimento preferencial) CAT-5e ou cabos patch melhores.

• Dimensões físicas

  • Profundidade do rack: 100 cm de profundidade.
  • Espaçamento da unidade do rack: suporte de rack padrão EIA-310 de 19" com furos quadrados. Ocupa até quatro unidades de rack por HSM.

• Segurança

  • Os HSMs não podem ser equipados com câmeras ou redes sem fio, como Bluetooth.
  • O HSM precisa ter a certificação FIPS 140-2 Nível 3 ou superior.

• O HSM precisa ser um equipamento novo.

• O HSM precisa ser totalmente gerenciável remotamente.

Não há requisitos para peso ou resfriamento.

Visão geral da implantação

Para se qualificar para um SLA de tempo de atividade de 99,99%, você precisa atender aos seguintes requisitos:

• Implantar HSMs em pelo menos duas regiões do Google Cloud.
• Implante no mínimo quatro HSMs por região (pelo menos dois HSMs por rack em no mínimo dois racks).

Forneça ao Google o endereço MAC de cada interface de rede HSM e o endereço IP atribuído a ele. Essas informações ajudam o Google a verificar o cabeamento de servidor a topo do rack e ajudam a resolver problemas durante o processo de implantação.

Os requisitos de rede serão discutidos com mais detalhes com seu representante de conta durante o processo de integração.

Topologia de rede

Um par de racks em um único local é coberto por um SLA de tempo de atividade de 99,9%.

Uma implantação completa em dois locais oferece um SLA de tempo de atividade de 99,99%.

Os aplicativos precisam ser projetados para aproveitar esse modelo de redundância. O aplicativo deve ser capaz de fazer failover da zona 1 para a zona 2 em um único local, do HSM para HSM ou do rack para o rack.

A ativação do recurso de roteamento global permite que os HSMs em qualquer local alcancem os recursos do Google Cloud em qualquer região.

Uma única falha de conexão da Interconexão por parceiro não é uma violação de SLA.

O diagrama detalhado a seguir mostra a conectividade necessária para alcançar um SLA de 99,99% no serviço.

• Cada implantação de região contém no mínimo dois racks para seu uso e um interruptor por rack.
• As chaves superior do rack são fornecidas pelo Google e são de diferentes fornecedores.
• Cada switch superior do rack tem uma Interconexão por parceiro de 10 Gbps com anexos da VLAN redundantes para a Interconexão por parceiro para Cloud Routers redundantes.
• Cada HSM precisa ter no mínimo duas interfaces de rede de cobre 1GE com conexões redundantes para as duas chaves no topo do rack. As interfaces de gerenciamento e de dados precisam ter as próprias conexões redundantes com as chaves na parte superior do rack.
• Forneça as alocações de endereço IP para as redes HSM.
• As chaves mais avançadas divulgam as sub-redes conectadas localmente ao par de Cloud Routers.
• Ative o roteamento dinâmico global na nuvem privada virtual (VPC) para permitir acesso aos HSMs de qualquer região do Google Cloud em que você tenha implantado recursos. O roteamento dinâmico global também é necessário para se qualificar para a disponibilidade de 99,99%.
• O BGP entre as chaves na parte superior do rack e os Cloud Routers no projeto troca informações de acessibilidade para rotear entre os recursos do projeto do Google Cloud e os HSMs.

Requisitos de rede

Conclua as etapas a seguir para cada conjunto de racks em uma região para permitir que seus HSMs sejam hospedados com o Google:

1. Crie um par redundante de Cloud Routers por região usando ASN16550. Para instruções detalhadas, consulte Como criar Cloud Routers.

2. Crie dois pares redundantes de anexos da VLAN com Interconexão por parceiro por região usando os Cloud Routers da etapa anterior. Crie os anexos com a opção de pré-ativação ativada. Deve haver um total de quatro anexos por região. Se os anexos foram criados sem a opção de pré-ativação, você pode ativar as conexões manualmente.

   Para saber mais sobre a Interconexão por parceiro e as opções de pré-ativação, consulte Visão geral da Interconexão por parceiro.

3. Ativar o roteamento dinâmico global na rede VPC.

   • Para alcançar 99,99% de disponibilidade, use as etapas em Como estabelecer uma disponibilidade de 99,99% para a Interconexão por parceiro.
   • As implantações em uma única região têm 99,9% de disponibilidade até que a segunda região esteja disponível. Para esse caso, consulte Como estabelecer 99,9% de disponibilidade na Interconexão por parceiro.

4. Configure regras de firewall conforme necessário para permitir o tráfego entre os recursos locais e do projeto.

Entrar em contato com o Google

Esse produto está disponível apenas para clientes com requisitos técnicos e de negócios específicos. Esse produto está disponível apenas em regiões limitadas.

Se você tiver interesse no Bare Metal Rack HSM com o Google, entre em contato com o representante da sua conta para receber mais ajuda.