Panoramica di Certificate Authority Service

Certificate Authority Service (CA Service) è un servizio altamente scalabile Google Cloud che ti consente di semplificare e automatizzare il deployment, la gestione e la sicurezza delle autorità di certificazione (CA) private. Le CA private emettono certificati digitali che includono l'identità dell'entità, l'identità dell'emittente e le firme crittografiche. I certificati privati sono uno dei modi più comuni per autenticare utenti, macchine o servizi sulle reti. I certificati privati vengono spesso utilizzati negli ambienti DevOps per proteggere container, microservizi, macchine virtuali e account di servizio.

Con CA Service puoi:

  • Creare CA radice e subordinate personalizzate.
  • Definire il soggetto, l'algoritmo della chiave e la località della CA.
  • Selezionare la regione di una CA subordinata indipendentemente dalla regione della CA radice.
  • Creare modelli riutilizzabili e con parametri per scenari comuni di emissione di certificati.
  • Utilizzare la tua CA radice e configurare altre CA in modo che si concatenino alla CA radice esistente in esecuzione on-premise o altrove all'esterno Google Cloud.
  • Archiviare le chiavi CA private utilizzando Cloud HSM, conforme al livello 3 dello standard FIPS 140-2 e disponibile in diverse regioni delle Americhe, dell'Europa e dell'Asia Pacifico.
  • Ottenere log e visibilità su autore, data/ora e posizione con Cloud Audit Logs.
  • Definire controlli di accesso granulari con Identity and Access Management (IAM) e perimetri di sicurezza virtuali con i Controlli di servizio VPC.
  • Gestire volumi elevati di certificati sapendo che CA Service supporta l'emissione di un massimo di 25 certificati al secondo per CA (livello DevOps), il che significa che ogni CA può emettere milioni di certificati. Puoi creare più CA dietro un unico endpoint di emissione chiamato pool di CA e distribuire le richieste di certificati in entrata tra tutte le CA. Utilizzando questa funzionalità, puoi emettere fino a 100 certificati al secondo.
  • Gestire, automatizzare e integrare le CA private nel modo più conveniente per te: utilizzando API, Google Cloud CLI, la Google Cloud console o Terraform.

Casi d'uso dei certificati

Puoi utilizzare le CA private per emettere certificati per i seguenti casi d'uso:

  • Integrità della catena di fornitura del software e identità del codice: certificati di firma del codice, autenticazione degli artefatti e identità dell'applicazione.
  • Identità utente: certificati di autenticazione client utilizzati come identità utente per la rete zero trust, VPN, firma di documenti, email, smart card e altro ancora.
  • Identità di dispositivi mobili e IoT: certificati di autenticazione client utilizzati come identità del dispositivo e autenticazione, ad esempio accesso wireless.
  • Identità intraservizio: certificati mTLS utilizzati dai microservizi.
  • Canali di integrazione continua e distribuzione continua (CI/CD): certificati di firma del codice utilizzati durante la build CI/CD per migliorare l'integrità e la sicurezza del codice.
  • Kubernetes e Istio: certificati per proteggere le connessioni tra i componenti Kubernetes e Istio.

Perché scegliere una PKI privata

In una tipica infrastruttura a chiave pubblica (PKI) web, milioni di client in tutto il mondo si affidano a un insieme di autorità di certificazione (CA) indipendenti per attestare le identità (come i nomi di dominio) nei certificati. Nell'ambito delle loro responsabilità, le CA si impegnano a emettere certificati solo dopo aver convalidato in modo indipendente l'identità nel certificato. Ad esempio, una CA in genere deve verificare che qualcuno che richiede un certificato per il nome di dominio example.com controlli effettivamente il dominio prima di emettere un certificato. Poiché queste CA possono emettere certificati per milioni di clienti con cui potrebbero non avere una relazione diretta esistente, sono limitate ad attestare identità verificabili pubblicamente. Queste CA sono limitate a determinati processi di verifica ben definiti che vengono applicati in modo coerente nella PKI web.

A differenza della PKI web, una PKI privata spesso coinvolge una gerarchia di CA più piccola, gestita direttamente da un'organizzazione. Una PKI privata invia certificati solo ai client che si fidano intrinsecamente dell'organizzazione per avere i controlli appropriati (ad esempio, macchine di proprietà dell'organizzazione). Poiché gli amministratori della CA spesso hanno i propri modi per convalidare le identità per cui emettono certificati (ad esempio, emettere certificati ai propri dipendenti), non sono limitati dagli stessi requisiti della PKI web. Questa flessibilità è uno dei principali vantaggi della PKI privata rispetto alla PKI web. Una PKI privata consente nuovi casi d'uso, come la protezione di siti web interni con nomi di dominio brevi senza richiedere la proprietà univoca di questi nomi o la codifica di formati di identità alternativi (come gli ID SPIFFE) in un certificato.

Inoltre, la PKI web richiede che tutte le CA registrino ogni certificato emesso nei log pubblici di Certificate Transparency, il che potrebbe non essere necessario per le organizzazioni che emettono certificati per i propri servizi interni. La PKI privata consente alle organizzazioni di mantenere privata la topologia dell'infrastruttura interna, come i nomi dei servizi o delle applicazioni di rete, dal resto del mondo.

Passaggi successivi