Práticas recomendadas do Certificate Authority Service

Nesta página, descrevemos algumas das práticas recomendadas que podem ajudar você a usar o Certificate Authority Service com mais eficiência.

Funções e controle de acesso

Com o Identity and Access Management (IAM), é possível atribuir papéis a usuários. Os papéis são um pacote de uma ou mais permissões. Os papéis no IAM podem ser básicos, predefinidos ou personalizados.

Tipo de papel do IAM Descrição
Básico Inclui os papéis de Proprietário, Editor e Leitor que existiam antes da introdução do IAM.
Predefinido Os papéis predefinidos são criados e mantidos pelo Google.
Personalizado Os papéis personalizados são definidos pelo usuário e permitem agrupar uma ou mais permissões disponíveis para atender às suas necessidades específicas. Para mais informações, consulte Noções básicas sobre papéis personalizados.

Indivíduos não devem receber mais de uma função por vez. Além disso, todos que desempenham uma função atribuída devem receber o conhecimento e o treinamento adequados das suas responsabilidades e práticas de segurança. Se você quiser atribuir um conjunto diversificado de permissões a uma pessoa, recomendamos criar um papel personalizado usando o IAM. Para informações sobre como criar um papel personalizado, consulte Como criar e gerenciar papéis personalizados.

Para mais informações sobre permissões e papéis predefinidos do IAM, consulte Controle de acesso com o IAM.

Níveis de serviço de CA

Os níveis são definidos para o pool de autoridades certificadoras (CA). Todas as ACs em um pool de ACs são atribuídas ao mesmo nível. O CA Service fornece dois níveis de serviço operacional para pools de CA: DevOps e Enterprise. Esses dois níveis oferecem às organizações um equilíbrio entre desempenho e recursos de gerenciamento do ciclo de vida com base nos requisitos operacionais.

  • Recomendamos que você considere cuidadosamente usar o nível DevOps, porque ele não aceita a revogação de certificados.
  • Para CAs no nível DevOps, os certificados emitidos não são armazenados. Só é possível rastrear certificados consultando os Registros de auditoria do Cloud, se eles estiverem ativados. Recomendamos que você use o nível DevOps apenas para certificados de curta duração que não precisam ser revogados, como certificados usados com microsserviços, contêineres, certificados de sessão, máquinas virtuais não persistentes e outras necessidades isoladas.
  • Uma infraestrutura de chave pública (ICP) pode consistir em uma combinação de CAs em níveis de DevOps e Enterprise para atender a várias necessidades.
  • Na maioria dos casos, recomendamos que você use o nível Enterprise para criar pools de CAs que emitem certificados para outras CAs e entidades finais.

Para mais informações sobre os níveis de serviço da AC, consulte Selecionar os níveis de operação.

Para informações sobre como ativar os Registros de auditoria do Cloud, consulte Como configurar registros de auditoria de acesso a dados.

Chaves de assinatura da AC

O controle adequado do par de chaves criptográficas subjacente dos certificados de CA determina a segurança e a integridade oferecidas pela ICP. Esta seção lista algumas práticas recomendadas para proteger chaves de assinatura de CA.

Módulos de segurança de hardware (HSM)

É possível configurar o CA Service para usar chaves de propriedade e gerenciadas pelo Google que utilizam o Cloud HSM para gerar, armazenar e usar chaves. No entanto, é possível utilizar uma chave atual do Cloud KMS durante a configuração da CA.

Para mais informações sobre o Cloud HSM, consulte Cloud HSM.

Para mais informações sobre como importar uma chave criptográfica para o Cloud HSM ou o Cloud KMS, consulte Como importar uma chave para o Cloud KMS.

Diferenças entre chaves gerenciadas pelo Google e pelo cliente

Se você não tiver um requisito operacional ou de segurança personalizado que exija o gerenciamento direto de chaves fora do CA Service, recomendamos usar chaves de propriedade e gerenciadas pelo Google. As chaves de propriedade e gerenciadas pelo Google oferecem um sistema simplificado e seguro de geração, armazenamento e utilização de chaves.

As chaves de propriedade e gerenciadas pelo Google usam o Cloud HSM e não podem ser acessadas ou usadas por nenhuma outra organização. O acesso e o uso das chaves de assinatura do Cloud HSM são auditáveis por meio dos Registros de auditoria do Cloud.

Para mais informações sobre modelos de gerenciamento de ciclo de vida, consulte Gerenciar recursos.

Importação de ACs externas

Não é possível importar certificados emitidos anteriormente para o serviço da AC. Recomendamos que você não importe uma AC externa com certificados emitidos para o serviço da AC.

Chave em garantia

O CA Service usa o Cloud KMS e o Cloud HSM para proteger as chaves contra exportação e extração. Caso sua organização queira manter uma cópia das chaves de CA, gere as chaves usando ferramentas no local. Para usar essas chaves com o serviço de AC, importe-as para o Cloud KMS e o Cloud HSM. Assim, você pode sacar as chaves com segurança e manter a posse delas até que seja necessário.

Para informações sobre como importar chaves para o Cloud KMS, consulte Como importar uma chave para o Cloud KMS.

Tamanhos e algoritmos de chaves de CA

Os tamanhos e algoritmos de chaves criptográficas definem o tipo e a força do par de chaves assimétricas que é usado para assinar certificados e listas de revogação de certificado (CRLs). As CAs podem viver por um período relativamente longo. Por isso, é importante que as chaves sejam fortes o suficiente para serem seguras durante todo o ciclo de vida pretendido da AC.

Se você tem um ambiente de ICP bem definido com dispositivos modernos, o algoritmo de assinatura digital de curva elíptica (ECDSA, na sigla em inglês) oferece o melhor desempenho e segurança. Em organizações com uma ampla variedade de sistemas e incerteza sobre o suporte de chaves, pode ser suficiente usar chaves baseadas em RSA.

Há também outras considerações para chaves de assinatura de CAs, como conformidade com certificações, compatibilidade com outros sistemas e os modelos de ameaças específicos. Considere seu caso de uso ao escolher o tamanho e o algoritmo da chave.

Independentemente do ciclo de vida da CA ou do tamanho e do algoritmo da chave, recomendamos que você configure um processo para a rotação regular das chaves da CA.

Para mais informações sobre como escolher um algoritmo para assinar chaves, consulte Escolher um algoritmo de chave.

A seguir