Certificate Authority Service をデプロイする方法
Google Cloud Japan Team
※この投稿は米国時間 2021 年 4 月 10 日に、Google Cloud blog に投稿されたものの抄訳です。
Certificate Authority Service(CAS)は可用性の高いスケーラブルな Google Cloud サービスであり、プライベート認証局(CA)のデプロイ、管理、セキュリティを簡素化、自動化、カスタマイズできます。CAS の一般提供開始が近づいているため、本日、実際のシナリオで CAS をデプロイする方法について説明したホワイトペーパーを公開いたします。CAS が構築された方法と理由について詳しく説明したホワイトペーパーもご用意しています。
「How to deploy a secure and reliable public key infrastructure with Google Cloud Certificate Authority Service(Google Cloud の Certificate Authority Service を使用して安全で信頼性の高い公開鍵基盤をデプロイする方法)」(PKI Solutions の Mark Cooper 氏と Google Cloud の Anoosh Saboori が共同で執筆)では、組織が Google Cloud CAS を使用するためのセキュリティとアーキテクチャに関する推奨事項を取り上げ、CAS を基盤にして PKI の保護とデプロイを行うための重要なコンセプトについて説明しています。
証明書を発行する公開鍵基盤(PKI)の目的は、PKI で発行した証明書が使用される環境に応じて大きく変わります。サイトへの訪問者がホスト側にはほとんどわからないウェブサイトやホストなど、インターネットに接続された一般的なサービスの場合、ホストのシームレスな検証を確保するには、訪問者から信頼される証明書が必要です。訪問者のブラウザが証明書の発行元の PKI を信頼するように構成されていない場合、エラーが発生します。このプロセスを円滑に進めるために、公的に信頼できる認証局は、世界中で広く信頼されている証明書を発行します。ただし、こうした認証局の構造、ID 要件、証明書の制限、証明書の費用により、モノのインターネット(IoT)や DevOps をはじめとする組織エコシステムやプライベート エコシステム内では証明書のニーズに応えられません。
内部で信頼できる証明書を必要とし、外部で信頼できる証明書が必要ないかほぼ必要としない組織は、商用プロバイダから証明書ごとに課金されずに、証明書の柔軟性、制御、セキュリティを高めることができます。
プライベート PKI は、組織が幅広いユースケースに必要な証明書を発行するように構成でき、大規模に自動で発行するように構成することも可能です。さらに組織は、外部で発行された証明書を利用して組織のリソースにアクセスしたり接続したりされないように徹底できます。
Google Cloud の Certificate Authority Service(CAS)を使用すれば、組織は独自のプライベート PKI を確立、保護、運用できます。CAS で発行した証明書は、組織が PKI を信頼するように構成したデバイスとサービスのみから信頼されます。
ここからは、ホワイトペーパーの中から、特に気に入っている箇所を抜粋してご紹介します。
「CAS を使用することで、組織はニーズに合わせて PKI を柔軟に拡張、統合、確立できます。CAS は組織の PKI 全体を確立して運用するように使うことも、オンプレミスや他の CA とともに PKI 内で 1 つ以上の CA コンポーネントとして機能するように使うこともできます。」
「組織と PKI 内で目標を達成するために実装できるアーキテクチャは、クラウドルート CA やクラウド発行 CA など複数あります。」
「CAS のリージョン指定によって、可用性の高い分散型 PKI を組織に提供する作業を大幅に簡略化できます。CA のデプロイ時に、CA の場所を簡単に指定できます。」
「CAS は DevOps と Enterprise という 2 つの運用サービスティアを CA に提供します。この 2 つのティアにより、組織は運用要件に基づいてパフォーマンスとセキュリティをバランス良く実現できます。」
「How to deploy a secure and reliable public key infrastructure with Google Cloud Certificate Authority Service(Google Cloud の Certificate Authority Service を使用して安全で信頼性の高い公開鍵基盤をデプロイする方法)」をぜひご覧ください。CAS にはこちらからお申し込みいただけます。
-ソリューション戦略担当責任者 Anton Chuvakin
-プロダクト マネージャー Anoosh Saboori