Visão geral do Certificate Authority Service

O Certificate Authority Service (CA Service) é um serviçoGoogle Cloud altamente escalonável que permite simplificar e automatizar a implantação, o gerenciamento e a segurança de autoridades de certificação (AC) privadas. As ACs privadas emitem certificados digitais que incluem a identidade da entidade, a identidade do emissor e assinaturas criptográficas. Os certificados particulares são uma das maneiras mais comuns de autenticar usuários, máquinas ou serviços em redes. Os certificados particulares são usados com frequência em ambientes de DevOps para proteger contêineres, microsserviços, máquinas virtuais e contas de serviço.

Com o serviço de CA, é possível fazer o seguinte:

  • Crie ACs raiz e subordinadas personalizadas.
  • Defina o assunto, o algoritmo de chave e o local da CA.
  • Selecione uma região para a CA subordinada independente da região da CA raiz.
  • Crie modelos reutilizáveis e parametrizados para cenários comuns de emissão de certificados.
  • Traga sua própria CA raiz e configure outras CAs para se encadearem à CA raiz atual em execução no local ou em qualquer outro lugar fora do Google Cloud.
  • Armazene suas chaves de CA particulares usando o Cloud HSM, que é validado por FIPS 140-2 de nível 3 e está disponível em várias regiões das Américas, Europa e Ásia-Pacífico.
  • Crie registros e saiba quem fez o quê, quando e onde com os Registros de auditoria do Cloud.
  • Defina controles de acesso granulares com o Identity and Access Management (IAM) e perímetros virtuais de segurança com o VPC Service Controls.
  • Gerencie grandes volumes de certificados sabendo que o serviço de AC permite emitir até 25 certificados por segundo por AC (nível DevOps), o que significa que cada AC pode emitir milhões de certificados. É possível criar várias ACs por trás de um endpoint de emissão chamado pool de ACs e distribuir as solicitações de certificado recebidas em todas as ACs. Com esse recurso, é possível emitir até 100 certificados por segundo.
  • Gerencie, automatize e integre CAs particulares da forma mais conveniente para você: usando APIs, a Google Cloud CLI, o console Google Cloud ou o Terraform.

Casos de uso de certificado

É possível usar suas CAs particulares para emitir certificados nos seguintes casos de uso:

  • Integridade da cadeia de suprimentos de software e identidade do código: assinatura de código, autenticação de artefatos e certificados de identidade de aplicativos.
  • Identidade do usuário: certificados de autenticação do cliente usados como identidade do usuário para rede de confiança zero, VPN, assinatura de documentos, e-mail, smartcard e muito mais.
  • Identidade de dispositivos móveis e IoT: certificados de autenticação de cliente usados como identificador do dispositivo e autenticação, por exemplo, acesso sem fio.
  • Identidade entre serviços: certificados mTLS usados por microsserviços.
  • Canais de integração contínua e entrega contínua (CI/CD): certificados de assinatura de código usados em toda a build de CI/CD para melhorar a integridade e a segurança do código.
  • Kubernetes e Istio: certificados para proteger conexões entre os componentes do Kubernetes e do Istio.

Por que escolher uma PKI privada

Em uma PKI (infraestrutura de chave pública) típica da Web, milhões de clientes em todo o mundo confiam em um conjunto de autoridades de certificação (CAs) independentes para declarar identidades (como nomes de domínio) em certificados. Como parte das responsabilidades, as CAs se comprometem a emitir certificados somente quando validam de forma independente a identidade neles. Por exemplo, uma CA geralmente precisa verificar se alguém que solicita um certificado para o nome de domínio example.com realmente controla esse domínio antes de emitir um certificado para ele. Como essas CAs podem emitir certificados para milhões de clientes sem ter um relacionamento direto com eles, elas só podem declarar identidades que são verificáveis publicamente. Essas CAs são limitadas a determinados processos de verificação bem definidos que são aplicados de forma consistente em toda a Web PKI.

Ao contrário da ICP da Web, uma ICP particular geralmente envolve uma hierarquia de AC menor, que é gerenciada diretamente por uma organização. Uma PKI particular envia certificados apenas para clientes que confiam na organização para ter os controles adequados (por exemplo, máquinas pertencentes a essa organização). Como os administradores de AC geralmente têm maneiras próprias de validar identidades para as quais emitem certificados (por exemplo, emitir certificados para os próprios funcionários), eles não estão limitados pelos mesmos requisitos da PKI da Web. Essa flexibilidade é uma das principais vantagens da PKI privada em relação à PKI da Web. Uma PKI privada permite novos casos de uso, como proteger sites internos com nomes de domínio curtos sem exigir propriedade exclusiva desses nomes ou codificar formatos de identidade alternativos (como IDs do SPIFFE) em um certificado.

Além disso, a PKI da Web exige que todas as CAs registrem cada certificado emitido em registros públicos de Transparência dos certificados, o que pode não ser necessário para organizações que emitem certificados para serviços internos. Com a PKI particular, as organizações podem manter a topologia da infraestrutura interna, como os nomes dos serviços ou aplicativos de rede, em sigilo para o restante do mundo.

A seguir