本頁面提供 Bare Metal Rack HSM 解決方案的總覽。
總覽
Bare Metal Rack HSM 是一種基礎架構即服務產品,可讓您在Google Cloud 工作負載旁部署機架,並在機架上安裝客戶擁有的硬體安全模組 (HSM)。您的 HSM 會部署在符合 PCI 標準的設施中,以滿足安全性、法規遵循和低延遲需求。
為協助您將工作負載遷移至雲端,Google 會代管 HSM,並提供實體和網路安全、機架空間、電力,以及網路整合服務,每月收取費用。
您可以透過 Bare Metal Rack HSM,直接與 Google 簽約,將 HSM 放置在 Google 設施中。HSM 放置在指定的主機代管機房內,並連線至Google Cloud。
Bare Metal Rack HSM 解決方案支援具備有效對等互連網狀架構的共置設施。這些設施符合甚至超越 Google 的資料中心安全標準,可提供低延遲、高可用性的服務。
與 Bare Metal HSM 比較
Bare Metal Rack HSM 和 Bare Metal HSM 都可讓您在 Google Cloud 設施中託管自己的 HSM。Bare Metal Rack HSM 和 Bare Metal HSM 解決方案的主要差異在於規模。下表摘要列出這兩種解決方案的主要差異:
| Bare Metal HSM | Bare Metal Rack HSM |
|---|---|
| Google 會為每部裝置代管 HSM。 | Google 會按機架代管 HSM。 |
| 您有 HSM 的邏輯存取權,但沒有實體存取權。 | 您可以邏輯方式存取 HSM,並安排專人陪同的實體存取。 |
| 適用於10 到 15 個 HSM 的小型部署作業 | 適用於100 個以上 HSM 的大型機架層級部署作業 |
如果不確定哪種解決方案最符合需求,請洽詢您的帳戶代表。
營運模式
- 新手上路流程
- 合約:至少 12 個月。必須訂閱 Premium 支援服務。
- 採購和設定:貴機構採購、設定 HSM,並運送至 Google。
- 裝設機架、堆疊及連線:Google 會部署 HSM 並設定 Partner Interconnect 連線。
- 驗證與移交:確認工程解決方案和 HSM 的存取權、測試解決方案,然後簽核。
- 支援的機型
- Google 提供機架和堆疊、主機代管、智慧型手部、法規遵循和 Partner Interconnect 連線支援。
- 如需 HSM 軟體、授權、工具和疑難排解方面的支援,請洽詢 HSM 供應商。
- 您可視需要實際存取機架。
- 停用程序
- 您提出停用要求。
- 您必須清除所有資料,並將所有 HSM 初始化為原廠預設狀態。
法規遵循規定
這項服務僅限於通過 FIPS 140-2 第 3 級認證的 HSM,並非一般主機代管或共置服務。Bare Metal Rack HSM 解決方案託管於完全符合 PCI-DSS、PCI-3DS 和 SOC 1、2 和 3 規範的設施。Google 會在所有區域支援您的 PCI-PIN、PCI-P2PE 和 SOC 法規遵循認證 (AOC)。
責任分離
您必須負責取得及佈建 HSM,並將其運送至適當的 Google Cloud 區域。您可自行選擇使用的 HSM,但必須符合 HSM 設備規定。
Google 會預先設定機架、機架頂端交換器和連線。每對機架的交換器來自不同供應商。對於 Bare Metal Rack HSM 解決方案,您有自己的專屬機架和交換器。Google 會為 HSM 提供機架服務,並與您合作驗證 Partner Interconnect 連線。每個機架都有備援電源供應器。
存取 Bare Metal Rack HSM
您可以透過邏輯管理方式存取 HSM,並負責維護及管理 HSM。您可以完全掌控 HSM。
Google 無法以邏輯方式存取 HSM,但會提供並維護機架、交換器和連線。Google 無法存取 HSM 上的資料或金鑰。
Google 提供遠端支援服務。您可預約時間,在通知後由專人陪同參觀設施。您有責任遵守相關規定並滿足稽核需求。
在合約到期或 HSM 產品停產時,您需要提交要求,停用 HSM 並清除所有資料,或將 HSM 恢復原廠設定。HSM 經過清除或重設,並取得法律許可後,我們會將 HSM 寄回給您,或在無法寄回的情況下銷毀。
HSM 設備需求
本節詳細說明在 Google 設施中託管 HSM 時,HSM 和相關纜線的實體需求。
機架可容納的 HSM 數量取決於機架頂端交換器目前型號的可用通訊埠數量、HSM 型號占用的機架單元數量,以及 HSM 的耗電量。
功率
- 雙 AC 電源供應器 (每個電源供應器最大 16 安培)。
配電
- 208V 線對線 (適用於美國境內地點)。
- 機架 PDU,提供 C13 或 C19 插座和插孔。
電源線 (由你提供)
- 機架 PDU 電源線的接頭應為 C14 或 C20 類型。
- 2 條 6 英尺或 2 公尺 (建議長度) 的電源線。
網路
- 網路介面控制器:雙 1g 銅質 NIC (如適用)。
網路線 (由您提供)
- 2 條 6 英尺或 2 公尺 (建議長度) 的 CAT-5e 以上規格跳線。
實體尺寸
- 機架深度:42 吋。
- 機架單元間距:標準 EIA-310 19 吋機架,附方孔支架。每個 HSM 最多可佔用 4 個機架單元。
安全性
- HSM 不得配備攝影機或藍牙等無線網路。
- HSM 必須通過 FIPS 140-2 第 3 級認證或更高。
HSM 必須是新設備。
HSM 必須可完全遠端管理。
重量或冷卻方面沒有任何規定。
部署作業總覽
如要符合 99.99% 正常運作時間服務水準協議的資格,必須符合下列條件:
- 在至少兩個區域中部署 HSM,可以是兩個不同的Google Cloud 區域,也可以是同一區域中的兩個區域 (如有)。
- 每個可用區至少部署四個 HSM (至少兩個機架,每個機架至少一個 HSM)。
您需要提供每個 HSM 網路介面的 MAC 位址和指派的 IP 位址給 Google。這項資訊有助於 Google 驗證伺服器到機架頂端的纜線,並在部署過程中協助排解問題。
在新手上路流程中,您的帳戶代表會更詳細地說明網路需求。
網路拓撲
單一位置的一對機架享有 99.9% 正常運作時間的服務水準協議。
在兩個位置全面部署後,運作時間服務水準協議可達 99.99%。
應用程式在設計上應能善用這項備援模型。應用程式應能在單一位置內,從區域 1 容錯移轉至區域 2,或從 HSM 容錯移轉至 HSM,或從機架容錯移轉至機架。
啟用全域轉送功能後,任一位置的 HSM 都能連線至任何區域的Google Cloud 資源。
單一 Partner Interconnect 連線故障不會違反服務水準協議。
下圖顯示服務達到 99.99% 服務水準協議所需的連線能力。
- 每個區域部署作業至少包含兩個機架供您使用,每個機架有一個交換器。
- 機架頂端交換器由 Google 提供,來自不同供應商。
- 每個機架頂端交換器都有一個 10G Partner Interconnect,並為 Partner Interconnect 提供備援 VLAN 連結,連至備援 Cloud Router。
- 每個 HSM 至少應有 2 個 1GE 銅質網路介面,並與兩個機架頂端交換器建立備援連線。管理和資料介面都應各自與機架頂端交換器建立備援連線。
- 您要提供 HSM 網路的 IP 位址分配。
- 機架頂端交換器會向這對 Cloud Router 通告本機連線的子網路。
- 在虛擬私有雲 (VPC) 中啟用全域動態轉送,即可從部署資源的任何 Google Cloud 區域存取 HSM。如要達到 99.99% 的可用性,也必須使用全域動態轉送。
- 機架頂端交換器與專案中的 Cloud Router 之間的 BGP 會交換可連性資訊,以便在Google Cloud 專案資源和 HSM 之間轉送。
網路需求
如要讓 Google 代管 HSM,您必須為區域中的每組機架完成下列步驟:
使用 ASN16550,為每個區域建立一對備援 Cloud Router。如需詳細操作說明,請參閱「建立 Cloud Router」。
使用上一步中的 Cloud Router,為每個可用區建立兩組備援的Partner Interconnect VLAN 連結。建立附件時,請啟用預先啟動選項。每個區域應有四個附件。如果建立連結時未啟用預先啟用選項,您可以手動啟用連線。
如要進一步瞭解 Partner Interconnect 和預先啟用選項,請參閱Partner Interconnect 總覽。
在虛擬私有雲網路中啟用全域動態轉送。
- 如要達到 99.99% 的可用性,請按照「為 Partner Interconnect 建立 99.99% 的可用性」一文中的步驟操作。
- 在第二個可用區上線前,單一可用區的部署作業可用性為 99.9%。如要瞭解如何達成這個目標,請參閱「為合作夥伴互連網路建立 99.9% 的可用性」一文。
視需要設定防火牆規則,允許地端部署與專案資源之間的流量。
地點相容性
Bare Metal Rack HSM 可在下列 Cloud KMS 位置使用:
| 地理區域 | 地點名稱 | 地點說明 | 每個區域的可用區 |
|---|---|---|---|
| 美洲 | us-central1 |
愛荷華州 | 1 |
| 美洲 | us-south1 |
達拉斯 | 1 |
| 美洲 | us-east4 |
北維吉尼亞州 | 1 |
| 美洲 | us-west1 |
俄勒岡州 | 1 |
| 歐洲 | europe-west4 |
荷蘭 | 1 |
| 歐洲 | europe-west3 |
法蘭克福 | 1 |
| 美洲 | southamerica-west1 |
聖地亞哥 | 1 |
| 美洲 | southamerica-east1 |
聖保羅 | 1 |
| 亞太地區 | australia-southeast1 |
雪梨 | 2 |
| 亞太地區 | australia-southeast2 |
墨爾本 | 1 |
| 中東 | me-west1 |
特拉維夫市 | 2 |
與 Google 聯絡
這項產品僅適用於符合特定業務和技術需求的客戶。
如要使用 Google 的 Bare Metal Rack HSM,請與您的帳戶代表聯絡,取得進一步協助。