Certificate Authority Service のベスト プラクティス
このページでは、Certificate Authority Service をより効果的に使用できるようにするいくつかのベスト プラクティスの概要を説明します。
ロールとアクセス制御
Identity and Access Management(IAM)を使用して、ユーザーにロールを付与できます。役割は、1 つ以上の権限をまとめたものです。IAM のロールは、基本、事前定義、カスタムのいずれかです。
| IAM のロールのタイプ | 説明 |
|---|---|
| 基本 | IAM の導入前に存在していたオーナー、編集者、閲覧者のロールが含まれます。 |
| 事前定義 | 事前定義された役割は、Google によって作成、管理されます。 |
| カスタム | カスタムロールはユーザー定義であり、特定のニーズに合わせて 1 つ以上のサポートされている権限をバンドルできます。詳細については、カスタムロールについてをご覧ください。 |
一度に複数のロールを割り当てることはできません。さらに、割り当てられたロールを持つすべてのユーザーが、それぞれの責任とセキュリティ対策について簡単に説明し、トレーニングを受ける必要があります。個人にさまざまな権限セットを割り当てる場合は、IAM を使用してカスタムロールを作成することをおすすめします。カスタムロールの作成について詳しくは、カスタムロールの作成と管理をご覧ください。
権限と事前定義された IAM ロールの詳細については、IAM によるアクセス制御をご覧ください。
CA サービスティア
階層は認証局(CA)プール用に設定されます。CA プール内のすべての CA には、同じ階層が割り当てられます。CA Service には、DevOps と Enterprise という 2 つの運用サービスティアがあります。これら 2 つの階層で、組織は運用要件に基づいて、パフォーマンスとライフサイクルの管理機能のバランスをとることができます。
- DevOps 階層は証明書の取り消しをサポートしていないため、慎重に使用することをおすすめします。
- DevOps ティアの CA の場合、発行済みの証明書は保存されません。証明書の追跡は、Cloud Audit Logs が有効になっている場合にのみ可能です(有効になっている場合)。DevOps ティアは、マイクロサービス、コンテナ、セッション証明書、非永続仮想マシン、その他の分離されたニーズで使用される証明書など、取り消す必要のない有効期間が短い証明書にのみ使用することをおすすめします。
- 公開鍵基盤(PKI)は、さまざまなニーズを満たす DevOps とエンタープライズ階層の CA の組み合わせで構成できます。
- ほとんどの場合、他の CA やエンド エンティティに証明書を発行する CA プールの作成に、エンタープライズ ティアを使用することをおすすめします。
CA サービスティアの詳細については、オペレーション ティアを選択するをご覧ください。
Cloud Audit Logs の有効化については、データアクセス監査ログの構成をご覧ください。
CA 署名鍵
CA 証明書の基盤となる暗号鍵ペアを適切に制御することで、PKI によって提供されるセキュリティと整合性が決まります。このセクションでは、CA 署名鍵を保護するためのベスト プラクティスを紹介します。
ハードウェア セキュリティ モジュール(HSM)
Cloud HSM を使用して鍵を生成、保存、使用する Google 管理の鍵を使用するように CA Service を構成できます。ただし、既存の Cloud KMS 鍵を使用する場合は、CA の設定時にその鍵を使用できます。
Cloud HSM の詳細については、Cloud HSM をご覧ください。
Cloud HSM または Cloud KMS への暗号鍵のインポートの詳細については、Cloud KMS への鍵のインポートをご覧ください。
Google が管理する鍵とお客様が管理する鍵
CA Service の外部で鍵を直接管理する必要があるカスタム セキュリティや運用要件がない場合は、Google が管理する鍵を使用することをおすすめします。Google が管理する鍵により、シンプルで安全なデフォルトの鍵生成、ストレージ、使用率システムが提供されます。
Google が管理する鍵は Cloud HSM を使用し、他の組織からはアクセスまたは使用できません。Cloud HSM 署名鍵へのアクセスと使用は、Cloud 監査ログによって監査できます。
ライフサイクル管理モデルの詳細については、リソースの管理をご覧ください。
外部 CA のインポート
以前に発行した証明書を CA サービスにインポートすることはできません。発行済みの証明書がある既存の外部 CA を CA サービスにインポートしないことをおすすめします。
鍵のエスケープ
CA Service は Cloud KMS と Cloud HSM を使用して、エクスポートと抽出から鍵を保護します。組織で CA キーのコピーを保持したい場合は、オンプレミス ツールを使用して鍵を生成できます。これらの鍵を CA Service で使用するには、Cloud KMS と Cloud HSM に鍵をインポートします。そうしない場合は、鍵をエスカリングして、将来必要になるまで所有を維持できます。
Cloud KMS への鍵のインポートについては、Cloud KMS への鍵のインポートをご覧ください。
CA の鍵のサイズとアルゴリズム
暗号鍵のサイズとアルゴリズムは、証明書と証明書失効リスト(CRL)の署名に使用される非対称鍵ペアのタイプと強度を定義します。CA の有効期間は比較的長くなります。したがって、CA の意図した存続期間を通して、鍵が十分に安全であることが重要です。
最新のデバイスを使用して明確に定義された PKI 環境がある場合、楕円曲線デジタル署名アルゴリズム(ECDSA)は、最高のパフォーマンスとセキュリティを提供します。幅広いシステムがあり、鍵のサポートが不確実な組織では、RSA ベースの鍵を使用するだけで十分です。
CA 署名鍵には、認定資格の遵守、他のシステムとの互換性、特定の脅威モデルなど、その他の考慮事項もあります。鍵のサイズとアルゴリズムを選択する際は、ユースケースを考慮してください。
CA の有効期間や鍵のサイズやアルゴリズムに関係なく、CA 鍵を定期的にローテーションするプロセスを設定することをおすすめします。
鍵に署名するアルゴリズムの選択方法については、鍵アルゴリズムの選択をご覧ください。