Diese Seite wurde von der Cloud Translation API übersetzt.

Bare Metal Rack HSM

Diese Seite bietet einen Überblick über die Bare-Metal-Rack-HSM-Lösung.

Übersicht

Bare Metal Rack HSM ist ein Infrastructure-as-a-Service-Angebot, mit dem Sie Racks mit Hardware Security Modules (HSMs) des Kunden neben Ihren Google Cloud-Arbeitslasten bereitstellen können. Ihre HSMs werden in PCI-konformen Einrichtungen bereitgestellt, um Ihre Sicherheits-, Compliance- und Anforderungen an eine geringe Latenz zu erfüllen.

Damit Ihre Arbeitslasten in die Cloud verschoben werden können, hostet Google Ihre HSMs und bietet physischen Schutz, Netzwerksicherheit, Rack-Speicherplatz, Stromversorgung und Netzwerkintegration für eine monatliche Gebühr.

Mit Bare-Metal-Rack-HSMs können Sie für Ihre HSMs Direktverträge mit Google eingehen. HSMs werden in bestimmten Colocations-Einrichtungen platziert und sind mit der Google Cloud verbunden.

Die Bare-Metal-Rack-HSM-Lösung wird in Colocations-Einrichtungen mit aktiven Peering-Fabrics unterstützt. Diese Einrichtungen erfüllen und übersteigen die Standards von Google für die Sicherheit von Rechenzentren und bieten einen hochverfügbaren Dienst mit niedriger Latenz.

Vergleich mit Bare Metal HSM

Sowohl mit Bare Metal Rack HSM als auch mit Bare Metal HSM können Sie Ihre eigenen HSMs in Google Cloud-Einrichtungen hosten. Der Hauptunterschied zwischen den Bare-Metal-Rack-HSM- und Bare-Metal-HSM-Lösungen besteht in der Skalierung. In der folgenden Tabelle sind die wichtigsten Unterschiede zwischen diesen Lösungen zusammengefasst:

Bare Metal HSM	Bare Metal Rack HSM
Google hostet Ihre HSMs pro Gerät.	Google hostet Ihre HSMs pro Rack.
Sie haben logischen Zugriff auf Ihre HSMs, aber keinen physischen Zugriff.	Sie haben logischen Zugriff auf Ihre HSMs und können Begleiteten physischen Zugriff planen.
Geeignet für kleine Bereitstellungen mit 10–15 HSMs	Entwickelt für große Bereitstellungen auf Rackebene mit 100 oder mehr HSMs

Wenn Sie sich nicht sicher sind, welche dieser Lösungen für Ihre Anforderungen geeignet ist, wenden Sie sich an Ihren Kundenbetreuer.

Betriebsmodell

Onboarding-Prozess
- Vertrag: Mindestens 12 Monate. Sie benötigen Premium-Support.
- Beschaffung und Konfiguration: Ihre Organisation kauft, konfiguriert und versendet HSMs an Google.
- Einrichten und Verbinden: Google stellt Ihre HSMs bereit und konfiguriert die Partner Interconnect-Verbindung.
- Validierung und Übergabe: Bestätigen Sie die Engineering-Lösung und die Zugänglichkeit zu den HSMs, testen Sie die Lösung und genehmigen Sie sie.
Supportmodell
- Google bietet Support für Rack- und Stack-Einrichtung, Hosting, Smart Hands, Compliance und Partner Interconnect-Verbindungen.
- Wenden Sie sich an Ihren HSM-Anbieter, um Unterstützung bei HSM-Software, Lizenzierung, Tools und Fehlerbehebung zu erhalten.
- Sie haben bei Bedarf physischen Zugriff auf Ihre Racks.
Außerbetriebnahmeverfahren
- Sie stellen einen Antrag auf Deaktivierung.
- Sie müssen alle Daten löschen und alle HSMs auf die Werkseinstellungen zurücksetzen.

Compliance-Anforderungen

Dieses Angebot ist auf HSMs beschränkt, die FIPS 140-2 Level 3 (oder höher) zertifiziert sind, und ist kein allgemeiner Hosting- oder Colocation-Dienst. Die Bare-Metal-Rack-HSM-Lösung wird in Einrichtungen gehostet, die vollständig PCI-DSS-, PCI-3DS- und SOC 1-, 2- und 3-konform sind. Google unterstützt Ihre AOC für die PCI-PIN-, PCI-P2PE- und SOC-Compliance in allen Regionen.

Separate Verantwortlichkeiten

Es unterliegt Ihrer Verantwortung, HSMs abzurufen und bereitzustellen und an die entsprechenden Google Cloud-Regionen zu senden. Sie entscheiden, welche HSMs verwendet werden. Sie müssen sich jedoch an die HSM-Geräteanforderungen halten.

Google konfiguriert Racks, Top-of-Rack-Switches und Konnektivität im Voraus. Die Switches stammen pro Rackpaar von verschiedenen Herstellern. Bei der Bare-Metal-Rack-HSM-Lösung haben Sie eigene dedizierte Racks und Switches. Google bietet einen Racking-Service für Ihre HSMs und arbeitet mit Ihnen zusammen, um die Partner Interconnect-Verbindung zu validieren. Jedes Rack hat redundante Stromversorgungen.

Auf Bare-Metal-Rack-HSMs zugreifen

Sie haben logischen Verwaltungszugriff auf Ihre HSMs und sind für die Wartung und Verwaltung verantwortlich. Sie haben die volle Kontrolle über Ihre HSMs.

Google hat keinen logischen Zugriff auf Ihre HSMs, stellt aber Racks, Switching und Verbindungselemente bereit. Google hat keinen Zugriff auf die Daten oder Schlüssel auf Ihren HSMs.

Google bietet einen Remote-Handdienst. Mit Ankündigung können Sie einen Begleittermin zu der Einrichtung planen. Sie sind für Ihre eigenen Compliance- und Prüfanforderungen verantwortlich.

Am Ende Ihres Vertrags oder am Ende des Produktzyklus reichen Sie einen Antrag ein, um die HSMs außer Betrieb zu setzen und alle Daten zu löschen oder die HSMs auf die Werkseinstellungen zurückzusetzen. Nachdem die HSMs gelöscht oder zurückgesetzt wurden und die rechtliche Genehmigung vorliegt, werden sie an Sie zurückgesendet oder vernichtet, falls sie nicht zurückgesendet werden können.

Anforderungen an HSM-Geräte

In diesem Abschnitt werden die physischen Anforderungen für HSMs und die zugehörigen Kabel für das Hosting von HSMs in einer Google-Einrichtung beschrieben.

Die Anzahl der HSMs, die in ein Rack passen, hängt von der Anzahl der Ports ab, die im aktuellen Modell des obersten Rack-Switch verfügbar sind, der Anzahl der Rack-Einheiten, die das HSM-Modell belegen, und der Leistung des HSMs.

Stromversorgung
- Duale AC-Geräte (max. 16 A pro Netzteil)
Energieverteilung
- 208 V-Versorgung (für Standorte in den USA).
- Rack-PDU mit C13- oder C19-Anschlüssen.
Stromkabel (von Ihnen bereitzustellen)
- Das Ende des Rack-PDU-Kabels sollte den Anschlusstyp C14 oder C20 haben.
- 2 x 2 Meter (bevorzugte Länge) Stromkabel.
Netzwerk
- Netzwerkschnittstellen-Controller: Duale 1 g-Kupfer-NICs (falls zutreffend).
Netzwerkkabel (von Ihnen bereitzustellen)
- 2 × 2 Meter (bevorzugte Länge) CAT-5e-Patchkabel oder besser.
Abmessungen
- Racktiefe: 42 cm.
- Rack-Einheitenabstand: Standard EIA-310 19"-Rackhalterung mit Quadratlöchern. Sie können pro HSM bis zu 4 Rack-Einheiten unterbringen.
Sicherheit
- Die HSMs dürfen nicht mit Kameras oder drahtlosen Netzwerken wie Bluetooth ausgestattet sein.
- Das HSM muss FIPS 140-2 Level 3 (oder höher) zertifiziert sein.
Das HSMs müssen neu sein.
Die HSMs müssen vollständig remote verwaltbar sein.

Es gibt keine Anforderungen in Sachen Gewicht oder Kühlung.

Bereitstellungsübersicht

Damit Sie ein SLA mit einer Betriebszeit von 99,99% erhalten, müssen Sie die folgenden Anforderungen erfüllen:

HSMs in mindestens zwei Google Cloud-Regionen bereitstellen.
Mindestens vier HSMs pro Region bereitstellen (mindestens zwei HSMs pro Rack in mindestens zwei Racks).

Sie informieren Google über die MAC-Adresse jeder HSM-Netzwerkschnittstelle und deren zugewiesene IP-Adresse. Mit diesen Informationen kann Google die Verkabelung zwischen Server und Top-of-Rack prüfen und Fehler bei der Bereitstellung beheben.

Die Netzwerkanforderungen werden während der Einrichtung im Detail mit Ihrem Kundenbetreuer besprochen.

Netzwerktopologie

Ein Rackpaar an einem einzelnen Standort ist durch ein SLA von 99,9% abgedeckt.

Eine vollständige Bereitstellung über zwei Standorte bietet ein SLA von 99,99 %.

Anwendungen sollten so konzipiert werden, dass sie dieses Redundanzmodell nutzen. Eine Anwendung sollte über einen einzigen Standort, von HSM zu HSM oder von Rack zu Rack ein Failover von Zone 1 in Zone 2 durchführen können.

Wenn Sie die Funktion für das globale Routing aktivieren, können HSMs an beiden Standorten Google Cloud-Ressourcen in einer beliebigen Region erreichen.

Ein einzelner Fehler bei einer Partner Interconnect-Verbindung ist kein SLA-Verstoß.

Das folgende Diagramm zeigt die erforderliche Konnektivität zum Erfüllen eines SLA von 99,99% für den Dienst.

Netzwerktopologie für Bare-Metal-Rack-HSMs

Jede regionale Bereitstellung enthält mindestens zwei Racks für Ihre Verwendung und einen Switch pro Rack.
Die von Google bereitgestellten Top-of-Rack-Switches stammen von verschiedenen Herstellern.
Jeder Top-of-Rack-Switch hat einen 10‑Gbit/s-Partner Interconnect mit redundanten VLAN-Anhängen für Partner Interconnect zu redundanten Cloud Routern.
Jedes HSM sollte mindestens zwei 1GE-Kupfernetzwerkschnittstellen mit redundanten Verbindungen zu beiden Top-of-Rack-Switches haben. Sowohl die Verwaltungs- als auch die Datenschnittstellen sollten eigene redundante Verbindungen zu beiden Top-of-Rack-Switches haben.
Sie geben die IP-Adresszuweisungen für die HSM-Netzwerke an.
Top-of-Rack-Switches bieten ihre lokal angehängten Subnetze dem Cloud Router-Paar an.
Sie aktivieren das globale dynamische Routing in Ihrer VPC (Virtual Private Cloud), um Zugriff auf die HSMs aus allen Google Cloud-Regionen, in denen Sie Ressourcen bereitgestellt haben, zuzulassen. Außerdem ist globales dynamisches Routing erforderlich, um eine Verfügbarkeit von 99,99% zu erreichen.
BGP zwischen den Top-of-Rack-Switches und den Cloud Routern in Ihrem Projekt tauschen Informationen zur Erreichbarkeit zwischen Google Cloud-Projektressourcen und den HSMs aus.

Netzwerkanforderungen

Sie müssen die folgenden Schritte für jede Gruppe von Racks in einer Region ausführen, damit Ihre HSMs bei Google gehostet werden können:

Erstellen Sie ein redundantes Paar von Cloud Routern pro Region mit ASN16550. Eine ausführliche Anleitung finden Sie unter Cloud Router erstellen.
Erstellen Sie mit den Cloud Routern aus dem vorherigen Schritt zwei redundante Paare von VLAN-Anhängen mit Partner Interconnect pro Region. Erstellen Sie die Anhänge mit der Vorabaktivierungsoption. Es sollten insgesamt vier Anhänge pro Region vorhanden sein. Wenn die Anhänge ohne die Option für die Vorabaktivierung erstellt wurden, können Sie die Verbindungen manuell aktivieren.

Weitere Informationen zu Partner Interconnect und die Optionen zur Vorabaktivierung finden Sie unter Partner Interconnect – Übersicht.
Aktivieren Sie das globale dynamische Routing im VPC-Netzwerk.
- Führen Sie die Schritte unter 99,99 %-Verfügbarkeit für Partner Interconnect einrichten aus, um eine Verfügbarkeit von 99,99 % zu erreichen.
- Bereitstellungen in einer einzelnen Region haben eine Verfügbarkeit von 99,9 %, bis die zweite Region verfügbar ist. In diesem Fall finden Sie weitere Informationen unter 99, 9% Verfügbarkeit für Partner Interconnect einrichten.
  
  Hinweis: Die Regionen Mexiko, Montreal und Osaka haben drei Zonen in einem oder zwei physischen Rechenzentren. In diesen Regionen wird derzeit auf mindestens drei physische Rechenzentren erweitert. Weitere Informationen finden Sie unter Cloudstandorte und SLAs für die Google Cloud Platform. Um die Zuverlässigkeit Ihrer Arbeitslasten zu verbessern, sollten Sie eine mehrere Regionen umfassende Bereitstellung in Betracht ziehen.
Konfigurieren Sie bei Bedarf Firewallregeln, um Traffic zwischen Ihrem Standort und den Projektressourcen zuzulassen.

Google kontaktieren

Dieses Produkt ist nur für Kunden mit bestimmten geschäftlichen und technischen Anforderungen verfügbar. Dieses Produkt ist weltweit nur in wenigen Regionen verfügbar.

Wenn Sie an einem Bare-Metal-Rack-HSM bei Google interessiert sind, wenden Sie sich an Ihren Kundenbetreuer.