Best practice per Certificate Authority Service

Questa pagina illustra alcune delle best practice che possono aiutarti a utilizzare Certificate Authority Service in modo più efficace.

Ruoli e controllo dell'accesso

Utilizzando Identity and Access Management (IAM), puoi concedere ruoli agli utenti. I ruoli sono un insieme di una o più autorizzazioni. I ruoli in IAM possono essere di base, predefiniti o personalizzati.

Tipo di ruolo IAM Descrizione
Di base Sono inclusi i ruoli Proprietario, Editor e Visualizzatore esistenti prima dell'introduzione di IAM.
Predefinito I ruoli predefiniti vengono creati e gestiti da Google.
Personalizzato I ruoli personalizzati sono definiti dall'utente e ti consentono di raggruppare una o più autorizzazioni supportate per soddisfare le tue esigenze specifiche. Per ulteriori informazioni, consulta Informazioni sui ruoli personalizzati.

A un utente non devono essere assegnati più di un ruolo alla volta. Inoltre, tutti coloro che ricoprono un ruolo assegnato devono essere adeguatamente informati e addestrati sulle loro responsabilità e sulle pratiche di sicurezza. Se vuoi assegnare un insieme eterogeneo di autorizzazioni a un singolo individuo, ti consigliamo di creare un ruolo personalizzato utilizzando IAM. Per informazioni sulla creazione di un ruolo personalizzato, vedi Creare e gestire i ruoli personalizzati.

Per informazioni sulle autorizzazioni e sui ruoli IAM predefiniti, consulta Controllo dell'accesso con IAM.

Livelli di CA Service

I livelli sono impostati per il pool di autorità di certificazione (CA). A tutte le CA in un pool di CA viene assegnato lo stesso livello. CA Service offre due livelli di servizio operativi per i pool di CA: DevOps ed Enterprise. Questi due livelli forniscono alle organizzazioni un equilibrio tra prestazioni e capacità di gestione del ciclo di vita in base ai requisiti operativi.

  • Ti consigliamo di valutare attentamente l'utilizzo del livello DevOps perché non supporta la revoca dei certificati.
  • Per le CA nel livello DevOps, i certificati emessi non vengono archiviati. Puoi monitorare i certificati solo esaminando Cloud Audit Logs, se abilitato. Ti consigliamo di utilizzare il livello DevOps solo per i certificati di breve durata che non devono essere revocati, ad esempio i certificati utilizzati con i microservizi, i contenitori, i certificati di sessione, le macchine virtuali non persistenti e altre esigenze isolate.
  • Un'infrastruttura a chiave pubblica (PKI) può essere costituita da una combinazione di CA nei livelli DevOps ed Enterprise per soddisfare varie esigenze.
  • Nella maggior parte dei casi, consigliamo di utilizzare il livello Enterprise per creare pool di CA che emettono certificati ad altre CA ed entità finali.

Per saperne di più sui livelli di servizio CA, consulta Selezionare i livelli delle operazioni.

Per informazioni sull'abilitazione degli audit log di Cloud, consulta Configurazione degli audit log di accesso ai dati.

Chiavi di firma CA

Il controllo corretto della coppia di chiavi crittografiche sottostanti per i certificati CA determina la sicurezza e l'integrità garantite dall'infrastruttura a chiave pubblica. Questa sezione elenca alcune best practice per proteggere le chiavi di firma CA.

Moduli di sicurezza hardware (HSM)

Puoi configurare CA Service in modo che utilizzi le chiavi di proprietà di Google e gestite da Google che utilizzano Cloud HSM per la generazione, l'archiviazione e l'utilizzo delle chiavi. Tuttavia, se vuoi una chiave Cloud KMS esistente, puoi utilizzarla durante la configurazione la CA.

Per saperne di più su Cloud HSM, consulta Cloud HSM.

Per ulteriori informazioni sull'importazione di una chiave di crittografia in Cloud HSM o Cloud KMS, consulta Importazione di una chiave in Cloud KMS.

Chiavi gestite da Google e gestite dal cliente

Se non hai un requisito operativo o di sicurezza personalizzato che richiede la gestione diretta delle chiavi al di fuori del servizio CA, ti consigliamo di utilizzare le chiavi di proprietà e gestite da Google. Le chiavi di proprietà di Google e gestite da Google offrono una soluzione la generazione, l'archiviazione e l'utilizzo delle chiavi in modo sicuro per impostazione predefinita.

Le chiavi di proprietà di Google e gestite da Google utilizzano Cloud HSM e non sono accessibili o utilizzabili da altre organizzazioni. L'accesso e l'utilizzo delle chiavi di firma Cloud HSM sono verificabili tramite gli audit log di Cloud.

Per ulteriori informazioni sui modelli di gestione del ciclo di vita, consulta Gestire le risorse.

Importazione di CA esterne

Non è possibile importare i certificati emessi in precedenza nel servizio CA. Ti consigliamo di non importare nel servizio CA una CA esterna esistente con certificati emessi.

Key Escrow

Il servizio CA utilizza Cloud KMS e Cloud HSM per proteggere le chiavi da esportazione ed estrazione. Se la tua organizzazione vuole conservare una copia delle proprie chiavi CA, puoi generare le chiavi utilizzando strumenti on-premise. Per utilizzarle con il servizio CA, importa le chiavi in Cloud KMS e Cloud HSM. Puoi quindi lasciare in sicurezza le chiavi e mantenerne il possesso fino a quando non ne avrai bisogno in futuro.

Per informazioni sull'importazione delle chiavi in Cloud KMS, consulta Importazione di una chiave in Cloud KMS.

Dimensioni e algoritmi delle chiavi CA

Le dimensioni e gli algoritmi delle chiavi di crittografia definiscono il tipo e l'efficacia della coppia di chiavi asimmetriche utilizzata per firmare certificati ed elenchi di revoche di certificati (CRL). Le CA possono rimanere attive per un periodo di tempo relativamente lungo. È quindi importante che le chiavi siano sufficientemente resistenti da essere sicure per tutta la durata prevista della CA.

Se disponi di un ambiente PKI ben definito con dispositivi moderni, l'algoritmo ECDSA (Elliptic Curve Digital Signature Algorithm) offre prestazioni e sicurezza ottimali. Nelle organizzazioni con una vasta gamma di sistemi e incertezze sul supporto delle chiavi, potrebbe essere sufficiente utilizzare chiavi basate su RSA.

Ci sono anche altre considerazioni per le chiavi di firma CA, come la conformità alle certificazioni, la compatibilità con altri sistemi e i modelli di minaccia specifici. Prendi in considerazione il tuo caso d'uso quando scegli una dimensione e un algoritmo della chiave.

Indipendentemente dalla durata della CA, dalle dimensioni e dall'algoritmo della chiave, ti consigliamo di configurare un processo per la rotazione regolare delle chiavi CA.

Per ulteriori informazioni sulla scelta di un algoritmo per le chiavi di firma, consulta Scegli un algoritmo chiave.

Passaggi successivi