コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
セキュリティ & アイデンティティ

Certificate Manager の導入による SaaS 規模の TLS と証明書管理の簡素化

2022年2月7日
Google Cloud Japan Team

※この投稿は米国時間 2022 年 2 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。

Certificate Manager の公開プレビューと外部 HTTPS ロード バランシングとの統合を発表いたします。Certificate Manager を使用すると、必要な数の証明書やドメインで外部 HTTPS ロード バランシングを使えるようになります。Google Cloud で使用したい既存の証明書ライフサイクル管理ソリューションがある場合は、独自の TLS 証明書と鍵を使用できます。また、便利なフルマネージド TLS サービスを利用することも可能です。  

Google ネットワークのセキュリティとパフォーマンスの顧客への拡張

Certificate Manager は、顧客ごとに複数の証明書をサポートします。自動スケーリング機能やフェイルオーバー機能を備えたグローバル エニーキャスト ロード バランシング ソリューションと組み合わせると、堅牢な SaaS サービスや PaaS サービスを構築するための強力なプラットフォームとなります。これにより、最小限のレイテンシと最高レベルの可用性を活かして、顧客のカスタム ドメインをサポートできます。

Alon Kochba 氏(ウェブサイト構築サービス Wix のウェブ パフォーマンス責任者)は、新機能によりワークロードが軽減されたと説明しています。

「SaaS サービスを提供する当社は、何百万ものカスタム ドメインと証明書の SSL を終端させる必要があります。GCP の Certificate Manager と外部 HTTPS ロード バランシングを利用することで、SSL を終端させる独自のカスタム ソリューションに頼らなくても、クライアントに近いエッジでこれを実行できます」と Kochba 氏は述べています。

外部 HTTPS ロード バランシングに切り替えたお客様は、Cloud Armor を採用することにより、サービス拒否攻撃OWASP トップ 10 リスク、その他の一般的なウェブ攻撃から SaaS ユーザーを保護できます。

DNS 認証

また、このリリースでは、Google が管理する証明書を DNS ベースの認証でプロビジョニングして、ロード バランシング本番環境の設定が完了する前に使用できるようになりました。これにより、たとえば Google Cloud への移行プロセスを効率化できます。DNS 認証を作成するには、以下のコマンドを使用します。

読み込んでいます...

このコマンドは _acme-challenge.example.com の CNAME レコードを返します。CNAME レコードは、ターゲット ドメインの DNS ゾーンの DNS 構成に追加しておく必要があります。この CNAME レコードは Google Cloud ドメイン(534959-1a8a-40cf-90b6-b1f5f8d22517.2.authorize.certificatemanager.goog など)を指し、ドメインの所有権を確認するために使用されます。

上記の認証に基づいて証明書を要求すると、Cloud Certificate Manager は認証局と自動的に連係し、該当するドメインの証明書を取得した後、更新します。

ワイルドカードのサポート

この DNS ベースのドメイン管理認証により、ワイルドカード証明書もサポート可能となりました。ワイルドカード証明書の使用を設定するには、上述のようにまず DNS 認証を設定する必要があります。この設定が完了したら、以下のコマンドでワイルドカード証明書の使用を設定できます。以下の例では、トップレベルの登録済みドメインとそのワイルドカード サブドメインを対象としています。

読み込んでいます...

証明書の有効期限のモニタリング

このサービスで利用可能となるもうひとつの新機能は、Google Cloud Logging で証明書の有効期限をモニタリングする機能です。Cloud Logging は証明書の有効期限レコードを作成します。certificatemanager.googleapis.com/Project のモニタリング対象リソースを使用し、以下のようなメッセージで表されます。

読み込んでいます...

このログ メッセージは 1 時間ごとに配信され、有効期限が近い、またはすでに有効期限が切れている証明書のサンプルが記載されます。

料金

最大のメリットは、最初の 100 件の証明書については Certificate Manager の使用に追加料金がかからないことです。100 件以上の証明書を管理ツールで使用する場合は、証明書ごとの月額料金となります。この料金体系により、必要な数の証明書をできる限り費用対効果の高い方法で導入できます。この料金は、本ソリューションが一般提供となった時点で有効となります。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Certificate_Manager_pricing_2.max-2000x2000.jpg

これらの新機能Certificate Manager が提供するプログラマビリティを組み合わせることで、HTTPS のデプロイ方法を簡素化し、よりスケーラブルで安全なサービスを提供できるものと期待しています。


- セキュリティ担当プロダクト マネージャー Ryan Hurst
- ロード バランシング担当プロダクト マネージャー Babi Seal
セキュリティ & アイデンティティ
クラウドの商機を安全に最大化するために、取締役会で問いかけるべき 10 の質問

新しい Google Cloud のホワイトペーパーに掲載されている、取締役会が組織のクラウド移行を安全に進めるための 10 の質問をご紹介します。

執筆者: Google Cloud Japan Team • 所要時間: 2 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/cybersecurity_action_team_jl2RU0c.max-900x900.jpg
投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/17_-_Security__Identity_NrORvDT.max-700x700.jpg
Security & Identity

Google Cloud と Swift、支払いに関する不正行為に対する対策として高度 AI / フェデレーション ラーニング技術を先駆けて開発

執筆者: Vineet Dave • 所要時間: 9 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/hero_image_melcari_horizontal.max-700x700.jpg
Customers

メルカリ: Mandiant のサイバー防御ソリューションを活用し、安心・安全なサービス基盤をさらに強化

執筆者: Google Cloud Japan Team • 所要時間: 3 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/17_-_Security__Identity_NrORvDT.max-700x700.jpg
Security & Identity

Defender’s Advantage - 防御側の優位性 :効果的なサイバー防御のためのアプローチと考え方

執筆者: Mandiant • 所要時間: 3 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/security_AkwXJZn.max-700x700.png
Public Sector

AI のセキュリティを確保: 国家安全保障のミッションを推進

執筆者: Ron Bushar • 所要時間: 2 分