מעקב אחרי האישורים

לוח הבקרה של סקירת Certificate Manager (דור שני) עוזר לכם לשמור על סביבת אישורים מאובטחת ותקינה. אפשר להשתמש בלוח הבקרה כדי לזהות תעודות שתוקפן עומד לפוג, לבדוק את מצב האבטחה ולעקוב אחרי מגמות ההנפקה.

לוח הבקרה של הסקירה הכללית כולל את תרשימי המעקב הבאים:

  • מספר האישורים שהונפקו ב-7 הימים האחרונים: מעקב אחרי המספר הכולל של האישורים שהונפקו ב-7 הימים האחרונים.
  • אישורים שהונפקו לפי סוג הרשות: אישורים מקובצים לפי סוג הרשות (ציבורית, פרטית או לא ידועה).
  • אישורים שהונפקו לפי מיקום: מיון האישורים לפי מיקום גיאוגרפי, לפי מיקום הפריסה.
  • אישורים שתוקפם עומד לפוג: מוצגים אישורים שתוקפם עומד לפוג תוך 7 ימים ותוך 30 ימים.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Certificate Authority Service, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Certificate Authority Service, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לכם למעקב אחרי אישורים, בקשו מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

גישה ללוח הבקרה של הסקירה הכללית

כדי לגשת ללוח הבקרה ולראות את מדדי האישורים:

  1. נכנסים לדף Certificate Manager במסוף Google Cloud .

    מעבר ללוח הבקרה של Certificate Manager

  2. אופציונלי: כדי לשנות את טווח הזמן, משתמשים בבורר הזמן שבפינה השמאלית העליונה של לוח הבקרה. כברירת מחדל, בלוח הבקרה מוצגים מדדים מ-7 הימים האחרונים.

הנתונים בלוח הבקרה מתעדכנים כל 24 שעות.

מעקב אחרי תקינות האישורים ותאריכי התפוגה שלהם

לוח הבקרה מספק מדדים שמתמקדים באישורים לטווח ארוך, כלומר אישורים עם משך חיים של יותר מ-72 שעות.

ב-Certificate Manager (דור שני) לא נכללים אישורים לטווח קצר (עם תוקף של פחות מ-72 שעות), כי הם עוברים רוטציה אוטומטית בתדירות גבוהה ולא נדרש מעקב ידני כמו באישורים לטווח ארוך.

כדי לעקוב אחרי תעודות שתוקפן עומד לפוג ונדרשת התערבות ידנית כדי לחדש אותן, פועלים לפי השלבים הבאים:

  1. מחפשים את התרשים Expiring certificates (אישורים שתוקפם עומד לפוג) בלוח הבקרה.
  2. בודקים את האזהרות לגבי אישורים שעומדים לפוג.
  3. אם קיבלתם אזהרה על תפוגה, חפשו במלאי באמצעות זהות האישור כדי לוודא שאישור חלופי כבר הוגדר. למידע נוסף, ראו סינון רשימת האישורים.

ביקורת על מלאי האישורים

אפשר להשתמש בקטע מדדי מלאי בלוח הבקרה כדי לבדוק את האישורים הפעילים בסביבה שלכם במהלך טווח הזמן שבחרתם.

כדי לבדוק את מלאי המוצרים, צריך לעיין באישורים שמסווגים לפי הקריטריונים הבאים:

  • View active certificates by resource: Track certificate volume based on the Google Cloud resource that issued them. ‫Certificate Manager (דור שני) מזהה אישורים שהונפקו על ידי זהות מנוהלת של עומס עבודה או איזון עומסים. אישורים אחרים שהונפקו דרך Certificate Authority Service מסווגים כלא מוגדרים. מידע נוסף זמין במאמר בנושא שירותים נתמכים.
  • צפייה באישורים פעילים לפי אלגוריתם מפתח: אפשר לבדוק את תקני ההצפנה על ידי קיבוץ האישורים לפי אלגוריתם מפתח העלה (לדוגמה, RSA או ECDSA). כך אפשר להבטיח עמידה בסעיפי מדיניות האבטחה של הארגון.
  • הצגת אישורים פעילים לפי פרופיל שימוש במפתח: קיבוץ אישורים לפי השימוש המיועד שלהם. Certificate Manager מתייג אישורים לפי הפרופיל התואם הקרוב ביותר. אם אי אפשר לקבוע את הפרופיל, הוא מסומן בתווית אחר.

כדי לראות את האישורים הספציפיים בכל אחת מהקטגוריות האלה, לוחצים על הצגת האישורים כדי לפתוח את דף המלאי.

מעקב אחר מגמות בהנפקת אישורים

בתרשים Issuance metrics אפשר לעקוב אחרי האופן שבו השירותים שהגדרתם יוצרים אישורים לאורך זמן. הגישה הזו עוזרת לעקוב אחרי הצמיחה ולזהות אנומליות פוטנציאליות בהנפקת אישורים.

כדי לעקוב אחרי מגמות הנפקה, כדאי לעקוב אחרי המדדים הבאים:

  1. אישורים שהונפקו לפי מיקום: אפשר לראות את מספר האישורים שהונפקו בכל מיקום כדי להבין את ההתפלגות הגיאוגרפית של נפח האישורים.
  2. אישורים שהונפקו לפי סוג הרשות: אפשר לראות את מספר האישורים שהונפקו על ידי רשויות אישורים ציבוריות (כמו Public Certificate Authority) לעומת רשויות אישורים פרטיות (כמו CA Service).
  3. מספר האישורים הכולל שהונפקו: אפשר לעקוב אחרי המספר הכולל של האישורים שהונפקו בטווח הזמן שנבחר כדי להבין את גודל הסביבה.

המאמרים הבאים