Google Cloud CA Service の一般提供の発表
Google Cloud Japan Team
※この投稿は米国時間 2021 年 7 月 12 日に、Google Cloud blog に投稿されたものの抄訳です。
このたび、Google Cloud が提供する Certificate Authority Service(Google Cloud CAS)の一般提供が開始されたことを発表いたします。Google Cloud CAS は、デジタル世界で証明書がかつてない勢いで増加している状況に対処するための、スケーラビリティと可用性に優れたプライベート認証局(CA)を提供します。証明書のこのような急増は、クラウド コンピューティングの台頭、コンテナへの移行、高速接続の一般化、モノのインターネット(IoT)やスマート デバイスの普及など、過去数年間におけるさまざまな要因の同時発生により、フライホイール効果のようなものが生じているためです(このトピックについては、ホワイトペーパーをご覧ください)。
次の動画で、Google Cloud CAS を使用して CA を設定することがどれだけ簡単かをご覧いただけます。
10 月に公開プレビュー版を発表して以来、このサービスは市場で広く受け入れられ、お客様の革新的なユースケースで利用されてきました。CAS の代表的な使用例として、お客様の声をいくつかご紹介します。
「Credit Karma では、セキュリティは最優先事項であり、常にセキュリティ体制を強化する方法を模索しています。ワークロードの ID に加え、当社のセキュリティと DevOps のチームが実行する必要がある、時間のかかるタスクの一部をプラットフォームの機能を活用してクラウドにオフロードする方法については、もう 1 年以上 Google と連携しています。これまで当社のフィードバックを反映して進化してきた GCP の現状には非常に満足しています。CA Service は、クラウドによる、クラウドで働く強固な ID 機能を実現するうえで基礎的な部分になると思います。」- Credit Karma セキュリティ エンジニア Jason Roberts 氏
「Commerzbank AG では、データのセキュリティにとても真剣に取り組んでいます。Google Cloud Platform は高いレベルの組み込みのセキュリティ管理機能を備えていますが、当行はそれをさらに強化するために、データ転送に最高レベルのセキュリティ基準を適用する必要がありました。そのためには、Commerzbank が所有する証明書に基づいて GCP の信頼性を高める必要があります。Google は当行のニーズを理解し、Certificate Authority Service を使用した機能に投資してくれました。そのおかげで、完全に自動化されたスケーラブルな証明書処理を実現しながら、信頼できる証明書とセキュリティ基準を利用できるようになりました。それにより、GCE、GKE、その他の承認済みサービスを使用して、商品や価値を提供することが可能になっています。」- Commerzbank AG サイバー センター オブ エクセレンス責任者 Christian Gorke 氏
「セキュリティとコンプライアンスを確保した PKI システムの構築は、複雑で費用のかかる試みであり、規制対象となる多くの政府取引では法外な費用がかかると言われています。GCP の Certificate Authority Service(CAS)の助けを借りて、Vitu Authority Trust のデジタル署名サービスは、米国で完全にデジタルの自動車購入体験を提供する、初の認可された政府デジタル署名サービス プロバイダとなりました。GCP の Certificate Authority Service のおかげで、Vitu Authority Trust は最高レベルのコンプライアンスを手頃な料金で確保でき、クラウドを通じてデジタル証明書管理の負担を軽減できるようになりました。」- Vitu テクニカル オペレーション担当バイス プレジデント Arash Nikoo 氏
お客様にとって望ましい CAS の特長の上位 3 つは以下のとおりです。
1 つ目はスケーリングと可用性です。これはお客様が Google Cloud CAS に最も望んでいる特長でもあります。この場合のスケーリングは、a)1 秒あたりに発行される証明書の数と b)プロジェクトごとに許可されている証明書または CA の合計数として測定されます。可用性は、リージョンごとの、SLA に基づく証明書発行の稼働時間です。このプロダクトの構築を計画していたときに、お客様が直面する最も一般的な問題は、クラウド変革の中でマシンとサービスの ID に対処する方法に関するものだということがわかりました。お客様が手動のデプロイによってオンプレミスで行うことと比べると大部分のクラウド ワークロードはよりエフェメラル(一時的)という特徴があるため、このことは特に問題でした(良い例としては、有効期間の短いコンテナやマイクロサービスがあります)。証明書発行に必要なスケーリングでは、お客様の既存の CA に対する大きな需要と不確実性が生じますが、多くの場合、お客様はそれに対応できません。お客様が最も望まないのは、特別なイベントに対応しようと動的にスケールアウトするときに、ID インフラストラクチャがスケーラビリティのボトルネックになることです。特別なイベントの例としては、小売業界であれば、ブラック フライデーのセールなどがあります。つまり、セール中、数千のノードや VM がフル稼働して売り上げの急増に対応しますが、その後すぐに不要となり、ブラック フライデーに対応するためだけに行った投資は無駄になってしまうような状況です。 新たにスケーリングに関心が集まったもう一つの理由は、ゼロトラスト アクセス モデルへの移行です。このモデルの導入は、COVID-19(新型コロナウイルス感染症)と在宅勤務の必要性によって促進されました。インターネット全体でデバイス管理を開始するというコアニーズにより、インターネットを介してデバイスをセキュリティ保護するための、証明書登録の新たなスケーリング要件が生まれました。
スケーリングと可用性に続いて、お客様にとっての Google Cloud CAS の主なメリットの 2 つ目は、代替ソリューションの構築費用と比較した場合の費用削減です。代替ソリューションを構築する場合、ハードウェア セキュリティ モジュール(HSM)の購入、ソフトウェアのライセンスの取得、サーバー デバイスの購入、複数の冗長なルート鍵マテリアルのロケーションのセキュリティ保護、その後さらに、大規模にシステムを運用するための専門 PKI / DevOps チームの雇用が必要になります(資本支出と運用支出が多くなります)。お客様は、対応できるプロジェクトが限られているため、慎重に選択する必要があるとおっしゃっています。CA と証明書はお客様のビジネスを後押しするものとなり、社内でスケーリングの問題解決などを担当していたリソースを解放して、よりビジネス クリティカルなタスクに対応させるとともに、サービスを利用するプロジェクトを加速させることができる可能性を秘めています。Google Cloud CAS ではハードウェア セキュリティ モジュール(HSM)が使用されており、お客様が HSM の購入、プロビジョニング、管理に直接関わる必要はありません。Google Cloud CAS による費用削減を受けて、一部のお客様は HSM の注文をキャンセルしています。
お客様が Google Cloud CAS を検討する一般的な理由の 3 つ目はセキュリティです。他のクラウド サービスとシームレスに統合される Cloud CA は、クラウド ワークロードに対するセキュリティに優れたソリューションを提供します。また、このサービスにより、お客様自身でソフトウェア、ハードウェア、ファームウェアを最新の状態に維持する必要がなくなります。
CAS のよくあるシナリオ(DevOps)以外では、証明書ライフサイクル管理パートナー(公開プレビュー版のローンチ パートナーは Venafi と AppViewx)を利用して従来の IT とオンプレミス CA の機能をモダナイズするという Google の戦略が好評を得ています。お客様は、CA をクラウドに移行して運用支出と資本支出を節約することの価値を実感しており、CA 機能を DevOps と従来の IT の両方に統合して完全に一元的な制御性と管理性の機能を実現する機会として捉えています。「PKI チームが証明書の操作を可視化できないため、最新の DevOps チームを管理できないのではないかと心配している」という話を何度も耳にしました。CAS はその問題を解決するための理想的な方法です。ゼロトラスト アクセス モデルに移行するお客様も、CAS に価値を見出しています。
公開プレビュー版のリリース以降、お客様が希望するパートナーも CAS と連携できるようパートナー エコシステムを拡張してほしいというご要望をいただいています。このたび、既存のメンバーである Venafi と AppViewx に加えて、Key Factor、Jetstack、Smallstep(CAS 用の ACME サポートを提供)の 3 社が新しいメンバーとしてパートナー プログラムに加わりました。
また、当初は潜在的なターゲットとは考えていなかった意外なシナリオがお客様からもたらされました。興味深いことに、そのほとんどは IoT 分野のものです。ワイヤレス充電器、USB デバイス、ケーブルなどの IoT 周辺機器を開発している中小企業が証明書を必要としていました。このような企業にとって PKI と CA は中核事業ではなく、自社の市場規模を考えるとコスト的に割に合わないため、PKI と CA に投資することは望ましくありません。CAS は、このようなケースに最適な従量課金制モデルを提供します。また、CAS は簡単に実装、運用、管理して、シナリオに合わせて拡張できます。
これらストーリーによって、私たちの判断と開発した機能が正しいものであったことがわかり安心しましたが、改善の余地もありました。幸運にも、非常に協力的で熱心なお客様が素晴らしいフィードバックをくださるので、プロダクトで不足している機能を特定することができています。いただいたフィードバックのおかげで、プロダクトを改善し、一般提供開始時には優れた機能をいくつか追加できたことに心から感謝しています。
すべての新機能を列挙する前に、一般提供版の CAS の業界をリードする新機能を 2 つご紹介します。
CA 証明書の有効期限が近い場合の CA ローテーションは困難であり、通常、有効期限が近い CA を新しい CA に置き換えるために中断を伴うフローが必要になります。そのため、プロセスを完全にシームレスにするようお客様から求められていました。これを受けて、CA プールという新機能を一般提供版に追加しました。CA プールを使用すると、同じ受信リクエスト キューを処理する CA のグループが利用可能になります。CA ローテーションは、プールに新しい CA を追加し、古い CA をプールから削除するだけで簡単に実現でき、ワークロードやクライアント コードを変更する必要はありません。また、プール内のサービング CA は均一な方法で選択されるため、スループットが向上します。
証明書発行ポリシーのより細かい制御も、ご要望の多かった機能です。一般提供版では、ユーザー グループごとにポリシーを定義できるようポリシーを強化しました。また、管理者は、発行された証明書の(一部またはすべての)パラメータをオーバーライドする証明書テンプレートを定義して、すべての発行済み証明書に適用できます。
以下は、一般提供版の一部として利用できるようにする、その他の新機能と統合の概要です。
コードとしての構成と、Google Cloud CAS を構成および管理するための Terraform サポートが必要であるというご意見をいただきました。そこで、Google Cloud CAS 用の Terraform プロバイダを作成しました。
また、cert-manager が Google Cloud CAS と確実に連携するようにしたいというご要望も多数ありました。1 日あたり 160 万回以上ダウンロードされる cert-manager は、Kubernetes 環境内で証明書のライフサイクル管理を自動化するために特によく使用されているオープンソース ツールの一つです。このご要望にお応えするため、Google は Jetstack と提携して、cert-manager.io と統合する機能を作成しました。
ポリシー エンジンとして Hashicorp Vault を愛用しているお客様から、この新しいサービスで Hashicorp Vault を引き続き使用したいというご要望がありました。そこで、Hashicorp Vault プラグインを作成しました。これにより、Hashicorp Vault プラグインをポリシーの参照元にして、Google Cloud CAS を証明書の発行者にすることができます。
前述の機能や統合に加えて、一般提供版の一部として以下のアップデートも行います。
料金体系: シンプルな従量課金制モデルです。大口のお客様のために、需要が予測できない場合の請求のあいまいさを排除できるサブスクリプション モデルもご用意しています。
SLA: Google の SLA は現在一般公開されており、証明書の作成に対してリージョンあたり 99.9% の可用性を実現しています。
その他のリージョン: CAS をご利用可能なリージョンが新たに多数追加されました(サンパウロ、モントリオール、フランクフルト、ロンドン、シドニー、ムンバイ、東京など)。
コンプライアンス: CAS は、ISO 27001、27017、27018、SOC1、SOC2、SOC3、BSI C5、PCI 監査の一部として含まれています。また、FedRAMP 監査に CAS を含めるよう取り組んでいます。さらに、CAS は、FIPS 140-2 レベル 3 で検証された秘密鍵保護に Google Cloud HSM をデフォルトで使用します。
Google Cloud CAS は、発行された証明書の総数に対して、エンタープライズ クラスの SLA に裏打ちされた最新のスケールに対応できるレートで実質的に無制限の割り当てを提供します。そのため、お客様自身で管理するデプロイメントが Google Cloud CAS よりも勝っている点を見つけるのは非常に困難です。CAS が可能にするクラウド対応の CA プラットフォームへの移行の計画を開始しましょう。
ホワイトペーパー(1)(2)で CAS の詳細をご覧になり、こちらから有効化してください。
- Product Manager Anoosh Saboori, Head of Solutions Strategy Anton Chuvakin