Best practice per Certificate Authority Service

Questa pagina descrive alcune delle best practice che possono aiutarti a utilizzare Certificate Authority Service in modo più efficace.

Ruoli e controllo dell'accesso

Con Identity and Access Management (IAM), puoi concedere i ruoli agli utenti. I ruoli sono un pacchetto di una o più autorizzazioni. I ruoli in IAM possono essere di base, predefiniti o personalizzati.

Tipo di ruolo IAM	Descrizione
Base	Include i ruoli Proprietario, Editor e Visualizzatore esistenti prima dell'introduzione di IAM.
Predefinita	I ruoli predefiniti sono creati e gestiti da Google.
Personalizzata	I ruoli personalizzati sono definiti dall'utente e ti consentono di raggruppare una o più autorizzazioni supportate per soddisfare le tue esigenze specifiche. Per ulteriori informazioni, consulta la sezione Informazioni sui ruoli personalizzati.

Ai singoli utenti non deve essere assegnato più di un ruolo alla volta. Inoltre, tutti coloro che ricoprono un ruolo assegnato devono essere adeguatamente informati e formati sulle proprie responsabilità e sulle proprie pratiche di sicurezza. Se vuoi assegnare un insieme eterogeneo di autorizzazioni a una singola persona, ti consigliamo di creare un ruolo personalizzato utilizzando IAM. Per informazioni sulla creazione di un ruolo personalizzato, vedi Creazione e gestione di ruoli personalizzati.

Per informazioni sulle autorizzazioni e sui ruoli IAM predefiniti, consulta Controllo dell'accesso con IAM.

CA Service Tiers

I livelli sono impostati per il pool di autorità di certificazione (CA). A tutte le CA in un pool di CA viene assegnato lo stesso livello. CA Service offre due livelli di servizio operativi per i pool di CA: DevOps ed Enterprise. Questi due livelli offrono alle organizzazioni un equilibrio tra funzionalità di prestazioni e gestione del ciclo di vita in base ai requisiti operativi.

Ti consigliamo di valutare attentamente l'utilizzo del livello DevOps perché non supporta la revoca dei certificati.
Per le CA nel livello DevOps, i certificati emessi non vengono archiviati. Puoi tenere traccia dei certificati solo esaminando la sezione Audit log di Cloud, se abilitata. Ti consigliamo di utilizzare il livello DevOps solo per i certificati di breve durata che non devono essere revocati, ad esempio i certificati utilizzati con microservizi, container, certificati di sessione, macchine virtuali non permanenti e altre esigenze isolate.
Un'infrastruttura a chiave pubblica (PKI) può essere costituita da una combinazione di CA nei livelli DevOps ed Enterprise per soddisfare varie esigenze.
Nella maggior parte dei casi, consigliamo di utilizzare il livello Enterprise per creare pool di CA che emettono certificati per altre CA ed entità finali.

Per ulteriori informazioni sui livelli di servizio CA, vedi Selezionare i livelli di operazione.

Per informazioni sull'abilitazione di Cloud Audit Logs, consulta Configurazione degli audit log di accesso ai dati.

Chiavi di firma CA

Il controllo adeguato della coppia di chiavi di crittografia sottostante per i certificati CA determina la sicurezza e l'integrità offerte dall'infrastruttura a chiave pubblica. Questa sezione elenca alcune best practice per la protezione delle chiavi di firma CA.

Moduli di sicurezza hardware (HSM)

Puoi configurare il servizio CA in modo che utilizzi chiavi gestite da Google che impiegano Cloud HSM per la generazione, l'archiviazione e l'utilizzo delle chiavi. Tuttavia, se vuoi utilizzare una chiave Cloud KMS esistente, puoi utilizzarla durante la configurazione della CA.

Per ulteriori informazioni su Cloud HSM, consulta Cloud HSM.

Per ulteriori informazioni sull'importazione di una chiave di crittografia in Cloud HSM o Cloud KMS, consulta Importazione di una chiave in Cloud KMS.

Chiavi gestite da Google e gestite dal cliente

Se non hai un requisito operativo o di sicurezza personalizzato che richiede la gestione diretta delle chiavi al di fuori di CA Service, ti consigliamo di utilizzare le chiavi gestite da Google. Le chiavi gestite da Google offrono un sistema di generazione, archiviazione e utilizzo delle chiavi semplificato e sicuro per impostazione predefinita.

Le chiavi gestite da Google utilizzano Cloud HSM e non sono accessibili o utilizzabili da parte di altre organizzazioni. L'accesso e l'utilizzo delle chiavi di firma di Cloud HSM sono controllabili tramite Cloud Audit Logs.

Per saperne di più sui modelli di gestione del ciclo di vita, vedi Gestire le risorse.

Importazione di CA esterne

Non è possibile importare nel servizio CA i certificati emessi in precedenza. Ti consigliamo di non importare nel servizio CA una CA esterna esistente con certificati emessi.

Deposito a garanzia

CA Service utilizza Cloud KMS e Cloud HSM per proteggere le chiavi dall'esportazione e dall'estrazione. Se la tua organizzazione vuole conservare una copia delle proprie chiavi CA, puoi generare le chiavi utilizzando strumenti on-premise. Per utilizzare queste chiavi con CA Service, importale in Cloud KMS e Cloud HSM. Puoi quindi depositare le chiavi in sicurezza e conservarne il possesso fino a quando non ne avrai bisogno in futuro.

Per informazioni sull'importazione di chiavi in Cloud KMS, vedi Importazione di una chiave in Cloud KMS.

Dimensioni e algoritmi della chiave CA

Le dimensioni e gli algoritmi delle chiavi di crittografia definiscono il tipo e la forza della coppia di chiavi asimmetriche utilizzate per firmare i certificati e gli elenchi di revoche di certificati (CRL). Le autorità di certificazione possono avere una durata relativamente lunga. Di conseguenza, è importante che le chiavi siano abbastanza resistenti da garantirne la sicurezza per tutta la durata prevista della CA.

Se disponi di un ambiente PKI ben definito con dispositivi moderni, l'algoritmo di firma digitale Elliptic Curve Digital Signature (ECDSA) offre le migliori prestazioni e sicurezza. Nelle organizzazioni con un'ampia gamma di sistemi e con incertezze sul supporto delle chiavi, potrebbe essere sufficiente utilizzare chiavi basate su RSA.

Esistono anche altre considerazioni relative alle chiavi di firma delle CA, come la conformità alle certificazioni, la compatibilità con altri sistemi e i modelli di minaccia specifici. Considera il tuo caso d'uso quando scegli una dimensione e un algoritmo della chiave.

Indipendentemente dalla durata della CA o dalle dimensioni e dall'algoritmo della chiave, consigliamo di configurare una procedura per la rotazione regolare delle chiavi CA.

Per saperne di più sulla scelta di un algoritmo per le chiavi di firma, consulta Scegliere un algoritmo della chiave.