Présentation de Certificate Authority Service

Certificate Authority Service (CA Service) est un service hautement évolutif Google Cloud qui vous permet de simplifier et d'automatiser le déploiement, la gestion et la sécurisation d'autorités de certification privées. Les autorités de certification privées émettent des certificats numériques qui incluent l'identité de l'entité, l'identité de l'émetteur et des signatures cryptographiques. Les certificats privés sont l'un des moyens les plus courants d'authentifier des utilisateurs, des machines ou des services sur des réseaux. Ils sont souvent utilisés dans les environnements DevOps pour protéger les conteneurs, les microservices, les machines virtuelles et les comptes de service.

Avec CA Service, vous pouvez effectuer les opérations suivantes :

  • Créer des autorités de certification racines et subordonnées personnalisées.
  • Définir le sujet, l'algorithme de clé et l'emplacement de l'autorité de certification.
  • Sélectionner une région pour une autorité de certification subordonnée indépendamment de la région de son autorité de certification racine.
  • Créer des modèles réutilisables et paramétrés pour les scénarios courants d'émission de certificats.
  • Apporter votre propre autorité de certification racine et configurer d'autres autorités de certification pour qu'elles s'enchaînent à l'autorité de certification racine existante exécutée sur site ou ailleurs Google Cloud.
  • Stocker vos clés d'autorité de certification privées à l'aide de Cloud HSM, un service certifié FIPS 140-2 de niveau 3 et disponible dans plusieurs régions des Amériques, d'Europe et d'Asie-Pacifique.
  • Avec Cloud Audit Logs, obtenez des journaux et gagnez en visibilité : vous pouvez désormais savoir qui a fait quoi, quand et où.
  • Définir des contrôles d'accès précis avec Identity and Access Management (IAM) et des périmètres de sécurité virtuels avec VPC Service Controls.
  • Gérer de grands volumes de certificats en sachant que CA Service permet d'émettre jusqu'à 25 certificats par seconde et par autorité de certification (niveau DevOps), ce qui signifie que chaque autorité de certification peut émettre des millions de certificats. Vous pouvez créer plusieurs autorités de certification derrière un point de terminaison d'émission appelé pool d'autorités de certification et distribuer les demandes de certificats entrantes entre toutes les autorités de certification. Grâce à cette fonctionnalité, vous pouvez émettre jusqu'à 100 certificats par seconde.
  • Gérer, automatiser et intégrer des autorités de certification privées de la manière qui vous convient le plus pratique : à l'aide d'API, de la Google Cloud CLI, de la Google Cloud console ou de Terraform.

Cas d'utilisation des certificats

Vous pouvez utiliser vos autorités de certification privées pour émettre des certificats dans les cas d'utilisation suivants :

  • Intégrité de la chaîne d’approvisionnement logicielle et identité du code : signature de code, authentification d’artefacts et certificats d’identité d’application.
  • Identité de l'utilisateur : certificats d'authentification client utilisés comme identité de l'utilisateur pour le réseau zéro confiance, le VPN, la signature de documents, les e-mails, les cartes à puce, etc.
  • Identité des appareils IoT et mobiles : certificats d'authentification client utilisés comme identité et authentification de l'appareil, par exemple, pour l'accès sans fil.
  • Identité intraservice : certificats mTLS utilisés par les microservices.
  • Canaux d'intégration continue et de livraison continue (CI/CD) : certificats de signature de code utilisés tout au long de la compilation CI/CD pour améliorer l'intégrité et la sécurité du code.
  • Kubernetes et Istio : certificats permettant de sécuriser les connexions entre les composants Kubernetes et Istio.

Pourquoi choisir une PKI privée ?

Dans une infrastructure à clé publique (PKI) Web typique, des millions de clients dans le monde font confiance à un ensemble d'autorités de certification (CA) indépendantes pour affirmer des identités (telles que des noms de domaine) dans les certificats. Dans le cadre de leurs responsabilités, les autorités de certification s'engagent à n'émettre des certificats que lorsqu'elles ont validé indépendamment l'identité dans ce certificat. Par exemple, une autorité de certification doit généralement vérifier que la personne qui demande un certificat pour le nom de domaine example.com contrôle réellement ce domaine avant de lui émettre un certificat. Étant donné que ces autorités de certification peuvent émettre des certificats pour des millions de clients avec lesquels elles n'ont peut-être pas de relation directe existante, elles ne peuvent affirmer que des identités publiquement vérifiables. Ces autorités de certification sont limitées à certains processus de validation bien définis qui sont appliqués de manière cohérente dans l'ensemble de la PKI Web.

Contrairement à la PKI Web, une PKI privée implique souvent une hiérarchie d'autorités de certification plus petite, qui est directement gérée par une organisation. Une PKI privée n'envoie des certificats qu'aux clients qui font confiance à l'organisation pour disposer des contrôles appropriés (par exemple, les machines appartenant à cette organisation). Étant donné que les administrateurs d'autorités de certification ont souvent leurs propres moyens de valider les identités pour lesquelles ils émettent des certificats (par exemple, en émettant des certificats à leurs propres employés), ils ne sont pas limités par les mêmes exigences que pour la PKI Web. Cette flexibilité est l'un des principaux avantages de la PKI privée par rapport à la PKI Web. Une PKI privée permet de nouveaux cas d'utilisation, tels que la sécurisation de sites Web internes avec des noms de domaine courts sans nécessiter une propriété unique de ces noms, ou l'encodage d'autres formats d'identité (tels que les ID SPIFFE) dans un certificat.

De plus, la PKI Web exige que toutes les autorités de certification enregistrent chaque certificat qu'elles ont émis dans des journaux publics de transparence des certificats, ce qui n'est peut-être pas nécessaire pour les organisations qui émettent des certificats pour leurs services internes. La PKI privée permet aux organisations de garder privée du reste du monde la topologie de leur infrastructure interne, comme les noms de leurs services ou applications réseau.

Étape suivante

  • Consulter les emplacements de CA Service locations.