En esta página, se proporciona una descripción general de la solución Bare Metal Rack HSM.
Descripción general
Bare Metal Rack HSM es una oferta de infraestructura como servicio que te permite implementar bastidores de módulos de seguridad de hardware (HSM) propiedad del cliente junto a tus Google Cloud cargas de trabajo. Tus HSM se implementan en instalaciones que cumplen con PCI para satisfacer tus requisitos de seguridad, cumplimiento y baja latencia.
Para admitir la migración de tus cargas de trabajo a la nube, Google aloja tus HSM, lo que proporciona seguridad física y de red, espacio en el bastidor, energía e integración de red por una tarifa mensual.
Bare Metal Rack HSM te permite contratar directamente con Google para la colocación de tus HSM. Los HSM se colocan dentro de las instalaciones de colocación especificadas y se conectan a Google Cloud.
La solución Bare Metal Rack HSM es compatible con las instalaciones de colocación con estructuras de peering activas. Estas instalaciones cumplen y superan los estándares de Google para la seguridad de los centros de datos y proporcionan un servicio de baja latencia y alta disponibilidad.
Comparación con Bare Metal HSM
Bare Metal Rack HSM y Bare Metal HSM te permiten alojar tus propios HSM en las Google Cloud instalaciones. La diferencia principal entre las soluciones Bare Metal Rack HSM y Bare Metal HSM es la escala. En la siguiente tabla, se resumen las diferencias clave entre estas soluciones:
| Bare Metal HSM | Bare Metal Rack HSM |
|---|---|
| Google aloja tus HSM por dispositivo. | Google aloja tus HSM por bastidor. |
| Tienes acceso lógico a tus HSM, pero no acceso físico. | Tienes acceso lógico a tus HSM y puedes programar un acceso físico acompañado. |
| Diseñado para implementaciones pequeñas de 10 a 15 HSM | Diseñado para implementaciones grandes a nivel de bastidor de 100 o más HSM |
Si no estás seguro de cuál de estas soluciones es adecuada para tus necesidades, comunícate con tu representante de cuenta.
Modelo operativo
- Proceso de integración
- Contrato: Mínimo de 12 meses. Se requiere asistencia premium.
- Adquisición y configuración: Tu organización adquiere, configura y envía HSM a Google.
- Conexión y apilamiento de bastidores: Google implementa tus HSM y configura la conexión de interconexión de socio.
- Validación y entrega: Confirma la solución de ingeniería y la accesibilidad a los HSM, prueba la solución y cierra la sesión.
- Modelo de asistencia
- Google proporciona asistencia para la conexión y el apilamiento de bastidores, el alojamiento, las manos inteligentes, el cumplimiento y la interconexión de socio.
- Trabaja con tu proveedor de HSM para obtener asistencia para el software, las licencias, las herramientas y la solución de problemas de HSM.
- Tienes acceso físico a tus bastidores según sea necesario.
- Proceso de retiro
- Presentas una solicitud de retiro.
- Debes borrar todos los datos y inicializar todos los HSM a la configuración predeterminada de fábrica.
Requisitos de cumplimiento
Esta oferta se limita a los HSM que están certificados con FIPS 140-2 nivel 3 o superior, y no es un servicio generalizado de alojamiento o colocación. La solución Bare Metal Rack HSM se aloja en instalaciones que cumplen con PCI-DSS, PCI-3DS y SOC 1, 2 y 3. Google admitirá tu AOC para el cumplimiento de PCI-PIN, PCI-P2PE y SOC en todas las regiones.
División de responsabilidades
Es tu responsabilidad obtener y aprovisionar HSM, y enviarlos a las regiones Google Cloud adecuadas. Los HSM que se usan son tu elección, pero deben cumplir con los requisitos de equipo de HSM.
Google preconfigura los bastidores, los interruptores de la parte superior del bastidor y la conectividad. Los interruptores son de diferentes proveedores para cada par de bastidores. Para la solución Bare Metal Rack HSM, tienes tus propios bastidores y conmutadores dedicados. Google proporciona un servicio de bastidor para tus HSM y trabaja contigo para validar la conexión de interconexión de socio. Cada bastidor tiene fuentes de alimentación redundantes.
Acceso a HSM de Bare Metal Rack
Tienes acceso lógico de administración a tus HSM y eres responsable de su mantenimiento y administración. Mantienes el control total de tus HSM.
Google no tiene acceso lógico a tus HSM, pero proporciona y mantiene los bastidores, la conmutación y la conexión. Google no tiene acceso a los datos ni a las claves de tus HSM.
Google proporciona un servicio de manos remotas. Con previo aviso, puedes programar una visita acompañada a la instalación. Eres responsable de tus propios requisitos de cumplimiento y auditoría.
Al final de tu contrato o del final del ciclo de vida del HSM, envías una solicitud para retirar los HSM y borrar todos los datos o restablecer la configuración de fábrica de los HSM. Después de que se borren o restablezcan los HSM y se obtenga la autorización legal, se te enviarán de vuelta o se destruirán si no se pueden enviar de vuelta.
Requisitos de equipo de HSM
En esta sección, se detallan los requisitos físicos para los HSM y los cables asociados para alojar HSM en una instalación de Google.
La cantidad de HSM que puede caber en un bastidor dependerá de la cantidad de puertos disponibles en el modelo actual del interruptor de la parte superior del bastidor, la cantidad de unidades de bastidor que se usaron en el modelo de HSM y el consumo de energía de los HSM.
Energía
- Fuentes de alimentación de CA duales (16 A máx. por fuente de alimentación)
Distribución de energía
- Línea de 208 V a línea (para ubicaciones en Estados Unidos)
- PDU de bastidor que proporciona receptáculos y tomacorrientes C13 o C19
Cables de alimentación (que debes proporcionar)
- El extremo del cable de la PDU del bastidor debe ser de tipo conector C14 o C20.
- 2 cables de alimentación de 2 metros (longitud preferida)
Red
- Controlador de interfaz de red: NIC de cobre de 1 g duales (si corresponde)
Cables de red (que debes proporcionar)
- 2 x 6 pies (2 metros) (longitud preferida) CAT-5e o mejores cables de parche
Dimensiones físicas
- Profundidad del bastidor: 42 pulgadas de profundidad
- Espacio entre unidades de bastidor: Montaje en bastidor estándar EIA-310 de 19" con montajes de orificios cuadrados Puedes ocupar hasta 4 unidades de bastidor por HSM.
Seguridad
- Los HSM no deben estar equipados con cámaras ni redes inalámbricas, como Bluetooth.
- El HSM debe estar certificado con FIPS 140-2 nivel 3 o superior.
El HSM debe ser un equipo nuevo.
El HSM debe ser completamente administrable de forma remota.
No hay requisitos de peso ni enfriamiento.
Descripción general de Deployment
Para cumplir con un ANS del 99.99% de tiempo de actividad, debes cumplir con los siguientes requisitos:
- Implementa HSM en un mínimo de dos zonas, ya sean dos regiones Google Cloud diferentes o, cuando estén disponibles, dos zonas en la misma región.
- Implementa un mínimo de cuatro HSM por zona (al menos dos HSM por bastidor en al menos dos bastidores).
Proporciona a Google la dirección MAC de cada interfaz de red de HSM y su dirección IP asignada. Esta información ayuda a Google a verificar el cableado del servidor a la parte superior del bastidor y ayuda a solucionar problemas durante el proceso de implementación.
Los requisitos de red se analizarán con más detalle con tu representante de cuenta durante el proceso de integración.
Topología de red
Un par de bastidores en una sola ubicación está cubierto por un ANS del 99.9% de tiempo de actividad.
Una implementación completa en dos ubicaciones proporciona un ANS del 99.99% de tiempo de actividad.
Las aplicaciones deben diseñarse para aprovechar este modelo de redundancia. Una aplicación debe poder conmutar por error de la zona 1 a la zona 2 dentro de una sola ubicación, de HSM a HSM o de bastidor a bastidor.
Habilitar la función de enrutamiento global permite que los HSM en cualquier ubicación lleguen a Google Cloud los recursos de cualquier región.
Una sola falla de conexión de interconexión de socio no es una violación del ANS.
En el siguiente diagrama de alto nivel, se muestra la conectividad requerida para lograr un ANS del 99.99% en el servicio.
- Cada implementación de zona contiene un mínimo de dos bastidores para tu uso y un interruptor por bastidor.
- Google proporciona los interruptores de la parte superior del bastidor, que son de diferentes proveedores.
- Cada interruptor de la parte superior del bastidor tiene una interconexión de socio de 10 G Partner Interconnect con adjuntos de VLAN redundantes para la interconexión de socio a Cloud Routers redundantes.
- Cada HSM debe tener un mínimo de 2 interfaces de red de cobre de 1 GE con conexiones redundantes a los interruptores de la parte superior del bastidor. Las interfaces de administración y de datos deben tener sus propias conexiones redundantes a los interruptores de la parte superior del bastidor.
- Proporcionas las asignaciones de direcciones IP para las redes de HSM.
- Los interruptores de parte superior de bastidor anuncian sus subredes conectadas localmente al par de Cloud Routers.
- Habilita el enrutamiento dinámico global en tu nube privada virtual (VPC) para permitir el acceso a los HSM desde cualquier Google Cloud región en la que hayas implementado recursos. También se requiere el enrutamiento dinámico global para cumplir con la disponibilidad del 99.99%.
- BGP entre los interruptores de la parte superior del bastidor y los Cloud Routers de tu proyecto intercambian información de accesibilidad para enrutar entre Google Cloud los recursos del proyecto y los HSM.
Requisitos de Herramientas de redes
Debes completar los siguientes pasos para cada conjunto de bastidores en una zona para permitir que tus HSM se alojen con Google:
Crea un par redundante de Cloud Routers por zona con ASN16550. Para obtener instrucciones detalladas, consulta Crea Cloud Routers.
Crea dos pares redundantes de adjuntos de VLAN con interconexión de socio por zona con los Cloud Routers del paso anterior. Crea los adjuntos con la opción de preactivación habilitada. Debe haber un total de cuatro adjuntos por zona. Si los adjuntos se crearon sin la opción de preactivación habilitada, puedes activar las conexiones de forma manual.
Para obtener más información sobre la interconexión de socio y las opciones de preactivación, consulta la Descripción general de la interconexión de socio.
Habilita el enrutamiento dinámico global en la red de VPC.
- Para lograr una disponibilidad del 99.99%, sigue los pasos que se indican en Establece un 99.99% de disponibilidad para la interconexión de socio.
- Las implementaciones en una sola zona tienen una disponibilidad del 99.9% hasta que la segunda zona esté disponible. En este caso, consulta Establece un 99.9% de disponibilidad para la interconexión de socio.
Configura las reglas de firewall según sea necesario para permitir el tráfico entre tus instalaciones y los recursos del proyecto.
Compatibilidad de ubicaciones
Bare Metal Rack HSM está disponible en las siguientes ubicaciones de Cloud KMS:
| Área geográfica | Nombre de la ubicación | Descripción de la ubicación | Zonas por región |
|---|---|---|---|
| América | us-central1 |
Iowa | 1 |
| América | us-south1 |
Dallas | 1 |
| América | us-east4 |
Virginia del Norte | 1 |
| América | us-west1 |
Oregón | 1 |
| Europa | europe-west4 |
Países Bajos | 1 |
| Europa | europe-west3 |
Fráncfort | 1 |
| América | southamerica-west1 |
Santiago | 1 |
| América | southamerica-east1 |
São Paulo | 1 |
| Asia-Pacífico | australia-southeast1 |
Sídney | 2 |
| Asia-Pacífico | australia-southeast2 |
Melbourne | 1 |
| Oriente Medio | me-west1 |
Tel Aviv | 2 |
Comunicarse con Google
Este producto solo está disponible para clientes con requisitos comerciales y técnicos específicos.
Si te interesa Bare Metal Rack HSM con Google, comunícate con tu representante de cuenta para obtener asistencia adicional.