Panoramica di Certificate Authority Service

Certificate Authority Service (CA Service) è un servizioGoogle Cloud altamente scalabile che ti consente di semplificare e automatizzare il deployment, la gestione e la sicurezza delle autorità di certificazione (CA) private. Le CA private emettono certificati digitali che includono l'identità dell'entità, l'identità dell'emittente e le firme crittografiche. I certificati privati sono uno dei modi più comuni per autenticare utenti, macchine o servizi sulle reti. I certificati privati vengono spesso utilizzati negli ambienti DevOps per proteggere container, microservizi, macchine virtuali e service account.

Utilizzando CA Service, puoi:

  • Crea CA radice e subordinate personalizzate.
  • Definisci l'oggetto, l'algoritmo chiave e la posizione della CA.
  • Seleziona una regione per una CA subordinata indipendentemente dalla regione della CA principale.
  • Crea modelli riutilizzabili e con parametri per scenari comuni di emissione di certificati.
  • Porta la tua CA radice e configura altre CA in modo che si concatenino alla CA radice esistente in esecuzione on-premise o altrove al di fuori di Google Cloud.
  • Archivia le chiavi CA private utilizzando Cloud HSM, conforme al livello 3 dello standard FIPS 140-2 e disponibile in diverse regioni delle Americhe, dell'Europa e dell'Asia Pacifico.
  • Ottieni log e visibilità su autore, data/ora e posizione con Cloud Audit Logs.
  • Definisci controlli di accesso granulari con Identity and Access Management (IAM) e perimetri di sicurezza virtuali con i Controlli di servizio VPC.
  • Gestisci volumi elevati di certificati sapendo che CA Service supporta l'emissione di un massimo di 25 certificati al secondo per CA (livello DevOps), il che significa che ogni CA può emettere milioni di certificati. Puoi creare più CA dietro un unico endpoint di emissione chiamato pool di CA e distribuire le richieste di certificato in entrata tra tutte le CA. Utilizzando questa funzionalità, puoi emettere fino a 100 certificati al secondo.
  • Gestisci, automatizza e integra CA private nel modo che preferisci: utilizzando API, Google Cloud CLI, la console Google Cloud o Terraform.

Casi d'uso dei certificati

Puoi utilizzare le tue CA private per emettere certificati per i seguenti casi d'uso:

  • Integrità della catena di fornitura del software e identità del codice: firma del codice, autenticazione degli artefatti e certificati di identità dell'applicazione.
  • Identità utente: certificati di autenticazione client utilizzati come identità utente per reti zero trust, VPN, firma di documenti, email, smart card e altro ancora.
  • Identità di dispositivi mobili e IoT: certificati di autenticazione client utilizzati come identità e autenticazione del dispositivo, ad esempio l'accesso wireless.
  • Identità intraservizio: certificati mTLS utilizzati dai microservizi.
  • Canali di integrazione continua e distribuzione continua (CI/CD): certificati di firma del codice utilizzati durante la build CI/CD per migliorare l'integrità e la sicurezza del codice.
  • Kubernetes e Istio: certificati per proteggere le connessioni tra i componenti di Kubernetes e Istio.

Perché scegliere una PKI privata

In una tipica infrastruttura a chiave pubblica (PKI) web, milioni di client in tutto il mondo si affidano a un insieme di autorità di certificazione (CA) indipendenti per affermare le identità (come i nomi di dominio) nei certificati. Nell'ambito delle proprie responsabilità, le CA si impegnano a emettere certificati solo dopo aver convalidato in modo indipendente l'identità nel certificato. Ad esempio, una CA in genere deve verificare che qualcuno che richiede un certificato per il nome di dominio example.com controlli effettivamente il dominio in questione prima di rilasciargli un certificato. Poiché queste autorità di certificazione possono emettere certificati per milioni di clienti con cui potrebbero non avere un rapporto diretto esistente, sono limitate all'asserzione di identità verificabili pubblicamente. Queste CA sono limitate a determinati processi di verifica ben definiti che vengono applicati in modo coerente in tutta l'infrastruttura PKI web.

A differenza della PKI web, una PKI privata spesso comporta una gerarchia di CA più piccola, che è gestita direttamente da un'organizzazione. Una PKI privata invia certificati solo ai client che si fidano intrinsecamente dell'organizzazione per avere i controlli appropriati (ad esempio, macchine di proprietà di quell'organizzazione). Poiché gli amministratori CA hanno spesso i propri modi per convalidare le identità per cui emettono certificati (ad esempio, l'emissione di certificati per i propri dipendenti), non sono limitati dagli stessi requisiti della PKI web. Questa flessibilità è uno dei principali vantaggi della PKI privata rispetto alla PKI web. Una PKI privata consente nuovi casi d'uso, ad esempio la protezione di siti web interni con nomi di dominio brevi senza richiedere la proprietà univoca di questi nomi o la codifica di formati di identità alternativi (come gli ID SPIFFE) in un certificato.

Inoltre, la PKI web richiede a tutte le CA di registrare ogni certificato emesso in log di Certificate Transparency pubblici, il che potrebbe non essere necessario per le organizzazioni che emettono certificati per i propri servizi interni. La PKI privata consente alle organizzazioni di mantenere privata la topologia dell'infrastruttura interna, ad esempio i nomi dei servizi di rete o delle applicazioni, rispetto al resto del mondo.

Passaggi successivi