Présentation de Certificate Authority Service

Certificate Authority Service (CA Service) est un serviceGoogle Cloud hautement évolutif qui vous permet de simplifier et d'automatiser le déploiement, la gestion et la sécurisation d'autorités de certification privées. Les autorités de certification privées émettent des certificats numériques qui incluent l'identité de l'entité, l'identité de l'émetteur et des signatures cryptographiques. Les certificats privés sont l'un des moyens les plus courants d'authentifier les utilisateurs, les machines ou les services sur les réseaux. Les certificats privés sont souvent utilisés dans les environnements DevOps pour protéger les conteneurs, les microservices, les machines virtuelles et les comptes de service.

Le service CA vous permet d'effectuer les opérations suivantes :

  • Créez des CA racine et subordonnées personnalisées.
  • Définissez le sujet, l'algorithme de clé et l'emplacement de la CA.
  • Sélectionnez la région d'une CA subordonnée indépendamment de la région de sa CA racine.
  • Créez des modèles réutilisables et paramétrés pour les scénarios courants d'émission de certificats.
  • Apportez votre propre CA racine et configurez d'autres CA pour qu'elles s'enchaînent à la CA racine existante exécutée sur site ou ailleurs Google Cloud.
  • Stockez vos clés de CA privées à l'aide de Cloud HSM, un service certifié FIPS 140-2 de niveau 3 et disponible dans plusieurs régions des Amériques, d'Europe et d'Asie-Pacifique.
  • Avec Cloud Audit Logs, obtenez des journaux et gagnez en visibilité : vous pouvez désormais savoir qui a fait quoi, quand et où.
  • Définissez des contrôles d'accès précis avec Identity and Access Management (IAM) et des périmètres de sécurité virtuels avec VPC Service Controls.
  • Gérez de grands volumes de certificats en sachant que le service CA permet d'émettre jusqu'à 25 certificats par seconde et par CA (niveau DevOps), ce qui signifie que chaque CA peut émettre des millions de certificats. Vous pouvez créer plusieurs autorités de certification derrière un point de terminaison d'émission appelé pool d'autorités de certification et répartir les demandes de certificat entrantes entre toutes les autorités de certification. Grâce à cette fonctionnalité, vous pouvez émettre jusqu'à 100 certificats par seconde.
  • Gérez, automatisez et intégrez des CA privées de la manière qui vous convient le mieux : à l'aide d'API, de la Google Cloud CLI, de la console Google Cloud ou de Terraform.

Cas d'utilisation des certificats

Vous pouvez utiliser vos CA privées pour émettre des certificats dans les cas d'utilisation suivants :

  • Intégrité de la chaîne d'approvisionnement logicielle et identité du code : signature du code, authentification des artefacts et certificats d'identité des applications.
  • Identité de l'utilisateur : certificats d'authentification du client utilisés comme identité de l'utilisateur pour le réseau Zero Trust, le VPN, la signature de documents, l'e-mail, la carte à puce et plus encore.
  • Identité des appareils mobiles et IoT : certificats d'authentification du client utilisés comme identité et authentification de l'appareil, par exemple pour l'accès sans fil.
  • Identité intraservice : certificats mTLS utilisés par les microservices.
  • Canaux d'intégration et de livraison continues (CI/CD) : certificats de signature de code utilisés tout au long de la compilation CI/CD pour améliorer l'intégrité et la sécurité du code.
  • Kubernetes et Istio : certificats permettant de sécuriser les connexions entre les composants Kubernetes et Istio.

Pourquoi choisir une PKI privée ?

Dans une infrastructure à clé publique (PKI) Web typique, des millions de clients dans le monde font confiance à un ensemble d'autorités de certification (CA) indépendantes pour affirmer des identités (telles que des noms de domaine) dans les certificats. Dans le cadre de leurs responsabilités, les AC s'engagent à n'émettre des certificats que lorsqu'elles ont validé de manière indépendante l'identité figurant dans ce certificat. Par exemple, une AC doit généralement vérifier que la personne qui demande un certificat pour le nom de domaine example.com contrôle effectivement ce domaine avant de lui émettre un certificat. Étant donné que ces AC peuvent émettre des certificats pour des millions de clients avec lesquels elles n'ont peut-être pas de relation directe existante, elles ne peuvent affirmer que des identités publiquement vérifiables. Ces AC sont limitées à certains processus de validation bien définis qui sont appliqués de manière cohérente à l'ensemble de l'infrastructure à clé publique Web.

Contrairement à la Web PKI, une PKI privée implique souvent une hiérarchie de CA plus petite, directement gérée par une organisation. Une PKI privée n'envoie des certificats qu'aux clients qui font confiance à l'organisation pour disposer des contrôles appropriés (par exemple, les machines appartenant à cette organisation). Étant donné que les administrateurs d'autorité de certification ont souvent leurs propres méthodes pour valider les identités pour lesquelles ils émettent des certificats (par exemple, l'émission de certificats à leurs propres employés), ils ne sont pas soumis aux mêmes exigences que pour Web PKI. Cette flexibilité est l'un des principaux avantages de la PKI privée par rapport à la PKI Web. Une PKI privée permet de nouveaux cas d'utilisation, comme la sécurisation de sites Web internes avec des noms de domaine courts sans nécessiter une propriété unique de ces noms, ou l'encodage de formats d'identité alternatifs (tels que les ID SPIFFE) dans un certificat.

De plus, l'infrastructure à clé publique Web exige que toutes les autorités de certification consignent chaque certificat qu'elles ont émis dans des journaux publics de transparence des certificats, ce qui n'est pas forcément nécessaire pour les organisations qui émettent des certificats pour leurs services internes. L'infrastructure à clé publique privée permet aux organisations de protéger la topologie de leur infrastructure interne, comme les noms de leurs services réseau ou applications, du reste du monde.

Étapes suivantes