Best practice per Certificate Authority Service

Questa pagina illustra alcune delle best practice che possono aiutarti a utilizzare Certificate Authority Service in modo più efficace.

Ruoli e controllo dell'accesso

Utilizzando Identity and Access Management (IAM), puoi concedere ruoli agli utenti. I ruoli sono un bundle di una o più autorizzazioni. I ruoli in IAM possono essere di base, predefiniti o personalizzati.

Tipo di ruolo IAM Descrizione
Base Include i ruoli di proprietario, editor e visualizzatore esistenti prima dell'introduzione di IAM.
Predefinita I ruoli predefiniti vengono creati e gestiti da Google.
Valore personalizzato I ruoli personalizzati sono definiti dall'utente e consentono di raggruppare una o più autorizzazioni supportate per soddisfare le tue esigenze specifiche. Per ulteriori informazioni, consulta la sezione Informazioni sui ruoli personalizzati.

Ai singoli utenti non deve essere assegnato più di un ruolo alla volta. Inoltre, chiunque abbia un ruolo assegnato deve essere adeguatamente istruito e addestrato sulle proprie responsabilità e sulle proprie prassi di sicurezza. Se vuoi assegnare un insieme eterogeneo di autorizzazioni a un singolo individuo, ti consigliamo di creare un ruolo personalizzato utilizzando IAM. Per informazioni sulla creazione di un ruolo personalizzato, consulta Creazione e gestione di ruoli personalizzati.

Per informazioni sulle autorizzazioni e sui ruoli IAM predefiniti, consulta Controllo dell'accesso con IAM.

CA Service Tiers

I livelli sono impostati per il pool di autorità di certificazione (CA). A tutte le CA in un pool di CA viene assegnato lo stesso livello. CA Service offre due livelli di servizio operativi per i pool di CA: DevOps ed Enterprise. Questi due livelli forniscono alle organizzazioni un equilibrio tra prestazioni e capacità di gestione del ciclo di vita in base ai requisiti operativi.

  • Ti consigliamo di valutare attentamente l'utilizzo del livello DevOps perché non supporta la revoca dei certificati.
  • Per le CA nel livello DevOps, i certificati emessi non vengono archiviati. Puoi monitorare i certificati solo esaminando Cloud Audit Logs, se abilitato. Ti consigliamo di utilizzare il livello DevOps solo per i certificati di breve durata che non devono essere revocati, ad esempio i certificati utilizzati con microservizi, container, certificati di sessione, macchine virtuali non permanenti e altre esigenze isolate.
  • Un'infrastruttura a chiave pubblica (PKI) può essere costituita da una combinazione di CA nei livelli DevOps ed Enterprise per soddisfare varie esigenze.
  • Nella maggior parte dei casi, consigliamo di utilizzare il livello Enterprise per creare pool di CA che emettono certificati ad altre CA ed entità finali.

Per saperne di più sui livelli di servizio CA, consulta Selezionare i livelli delle operazioni.

Per informazioni sull'abilitazione di Cloud Audit Logs, consulta Configurazione degli audit log di accesso ai dati.

Chiavi di firma CA

Il controllo appropriato della coppia di chiavi di crittografia sottostante per i certificati CA determina la sicurezza e l'integrità offerte dall'infrastruttura a chiave pubblica. Questa sezione elenca alcune best practice per proteggere le chiavi di firma CA.

Moduli di sicurezza hardware (HSM)

Puoi configurare CA Service in modo che utilizzi chiavi di proprietà di Google e gestite da Google che utilizzano Cloud HSM per la generazione, l'archiviazione e l'utilizzo delle chiavi. Tuttavia, se vuoi utilizzare una chiave Cloud KMS esistente, puoi utilizzarla durante la configurazione della CA.

Per ulteriori informazioni su Cloud HSM, consulta Cloud HSM.

Per ulteriori informazioni sull'importazione di una chiave di crittografia in Cloud HSM o Cloud KMS, consulta Importazione di una chiave in Cloud KMS.

Chiavi gestite da Google e dal cliente

Se non hai un requisito operativo o di sicurezza personalizzato che richiede la gestione diretta delle chiavi al di fuori di CA Service, ti consigliamo di utilizzare le chiavi di proprietà di Google e gestite da Google. Le chiavi di proprietà di Google e gestite da Google offrono un sistema di generazione, archiviazione e utilizzo delle chiavi semplificato e sicuro per impostazione predefinita.

Le chiavi di proprietà di Google e gestite da Google utilizzano Cloud HSM e non sono accessibili o utilizzabili da altre organizzazioni. L'accesso e l'uso delle chiavi di firma di Cloud HSM sono controllabili tramite Cloud Audit Logs.

Per saperne di più sui modelli di gestione del ciclo di vita, consulta Gestire le risorse.

Importazione di CA esterne

Non è possibile importare certificati emessi in precedenza nel servizio CA. Ti consigliamo di non importare nel servizio CA una CA esterna esistente con certificati emessi.

Deposito a garanzia di chiavi

CA Service utilizza Cloud KMS e Cloud HSM per proteggere le chiavi dall'esportazione e dall'estrazione. Se la tua organizzazione vuole conservare una copia delle proprie chiavi CA, puoi generare le chiavi utilizzando strumenti on-premise. Per utilizzare queste chiavi con il servizio CA, importa le chiavi in Cloud KMS e Cloud HSM. Puoi quindi lasciare in sicurezza le chiavi e mantenerne il possesso fino a quando non ne avrai bisogno in futuro.

Per informazioni sull'importazione di chiavi in Cloud KMS, consulta Importazione di una chiave in Cloud KMS.

Dimensioni e algoritmi delle chiavi CA

Le dimensioni e gli algoritmi delle chiavi di crittografia definiscono il tipo e l'efficacia della coppia di chiavi asimmetriche utilizzata per firmare certificati ed elenchi di revoche di certificati (CRL). Le CA possono vivere per un periodo relativamente lungo. È quindi importante che le chiavi siano sufficientemente resistenti da essere sicure per tutta la durata prevista della CA.

Se disponi di un ambiente PKI ben definito con dispositivi moderni, l'algoritmo ECDSA (Elliptic Curve Digital Signature Algorithm) offre prestazioni e sicurezza ottimali. Nelle organizzazioni con un'ampia gamma di sistemi e incertezze sul supporto chiave, potrebbe essere sufficiente usare chiavi basate su RSA.

Ci sono anche altre considerazioni per le chiavi di firma CA, come la conformità alle certificazioni, la compatibilità con altri sistemi e i modelli di minaccia specifici. Prendi in considerazione il tuo caso d'uso quando scegli una dimensione e un algoritmo della chiave.

Indipendentemente dalla durata della CA, dalle dimensioni e dall'algoritmo della chiave, ti consigliamo di configurare un processo per la rotazione regolare delle chiavi CA.

Per ulteriori informazioni sulla scelta di un algoritmo per le chiavi di firma, consulta Scegliere un algoritmo chiave.

Passaggi successivi