Google Cloud CA サービスでゼロトラストのアクセスを強化
Google Cloud Japan Team
※この投稿は米国時間 2020 年 10 月 20 日に、Google Cloud blog に投稿されたものの抄訳です。
より多くの組織がデジタル変革を遂げ、IT インフラストラクチャを進化させ、パブリック クラウドに移行するにつれて、デジタル証明書の役割は非常に大きくなります。証明書と認証局(CA)は DevOps などの最新の IT モデルと、従来のエンタープライズ IT の進化で重要な役割を果たします。
8 月に発表した Certificate Authority Service(CAS)は高いスケーラビリティと可用性を備えたサービスで、プライベート CA の管理とデプロイの簡素化や自動化を行うと同時に、最新のシステムやアプリケーションを構築、実行する今日のデベロッパーのニーズに対応します。CA の設定がいかに簡単かを示す数分間の動画をご覧ください。
リリース時には、CAS によって DevOps セキュリティ責任者がいかに使用環境の実行に集中し、時間と費用のかかるインフラストラクチャの設定をクラウドに任せられるようになるかをご案内しました。さらに、リモートワークが拡大し続けるにつれ、ゼロトラスト ネットワーク アクセスが急速に広まり(例)、DevOps 環境外のさまざまなタイプのデバイスやシステムに対して発行しなければならない証明書がますます増えています。ここで、証明書の数と変更率がともに上昇するという問題が新たに生じました。従来のオンプレミス CA から大規模な在宅勤務(WFH)ワークフォースをサポートすることはきわめて困難であり、かつオンプレミス CA をデプロイする施設を保有していることが前提となります。
こうした新しい WFH 関連のシナリオに適切に備えるために、マシンとユーザーの ID に合わせて最適化された新たな Enterprise ティアをご案内します。これらのユースケースには有効期間の長い証明書がより適しており、証明書のライフサイクルに対するより高度な制御機能(ユーザーがデバイスを紛失した際に証明書を取り消すなど)が必要となります。この新しいティアは DevOps ティアを補完します。DevOps ティアは高スループット環境向けに最適化され、非常に高い QPS(1 秒あたりに発行される証明書の数)で有効期間が短い証明書(用途はコンテナ、マイクロサービス、ロードバランサなど)を発行する用途により適しています。
簡単に言えば、新しい Enterprise ティアの目標は既存のオンプレミス CA を簡単にリフト&シフトできるようにすることです。現在 CAS では「独自のルートの利用」のサポートを開始しており、CA の既存のルート オブ トラストを引き続き CAS 向けのルート オブ トラストになることができるようになっています。これにより、スケーリングと可用性の管理をクラウドに任せながら、ルート オブ トラストを完全に制御できます。また、PKI を再発行せずにクラウド間でワークロードを自由に移動し、移行コストを大幅に削減することも可能です。
さらに、広くデプロイされた証明書ライフサイクル マネージャー(Venafi や AppViewX など)との統合により、クラウドへの既存の CA のリフト&シフトが簡単になるため、使い慣れたツールを引き続き使用し、CA をクラウドに移動できます。CAS は FIPS 140-2 レベル 3 検証済み HSM を活用して、秘密鍵のマテリアルを保護します。
CAS の 2 つのティア(Enterprise と DevOps)を使用することで、すべての証明書のニーズ(DevOps 環境向けまたは企業のマシンとユーザー ID 向け)に 1 か所で対応できるようになりました。これは環境内のセキュリティ エンジニアと CA 管理者にとって朗報です。ご利用の環境での証明書管理、ポリシー作成、監査、セキュリティ インシデントへの対応が 1 つのコンソールで可能になりました。可視性と有効期限は常に PKI の二大課題であり、CAS と Google のパートナー ソリューションを使用すると、これらの課題を 1 か所で解決できます。
そのため、証明書と CA を使い始める場合も、既存の CA があり、WFH や新しい DevOps 環境によって需要の急増に対処しきれなくなっている場合も、CA サービスは Google Cloud のセキュリティと信頼性のメリットにより、パフォーマンス、利便性、容易なデプロイや運用の融合を実現することができます。CAS はどなたでもプレビュー版でお試しいただけます。
行動を促すフレーズ:
Google Cloud Security Talks で CAS に関する動画「プライベート CA と証明書でアプリケーションを保護」をご確認ください。
DevOps 環境のサポートなど、他の CAS のユースケースについては、「CAS のご紹介: プライベート CA と証明書でアプリケーションを保護」をご確認ください。
お客様の組織に合わせて Certificate Authority Service をお試しください。
-プロダクト マネージャー Anoosh Saboori
-ソリューション戦略担当責任者 Anton Chuvakin