Prácticas recomendadas para Certificate Authority Service

En esta página, se describen algunas de las prácticas recomendadas que pueden ayudarte a usar Certificate Authority Service de forma más eficaz.

Roles y control de acceso

Con Identity and Access Management (IAM), puedes otorgar roles a los usuarios. Los roles son un paquete de uno o más permisos. Los roles de IAM pueden ser básicos, predefinidos o personalizados.

Tipo de rol de IAM Descripción
Básico Incluye los roles de propietario, editor y visualizador que existían antes de la introducción de IAM.
Predefinido Google crea y mantiene las funciones predefinidas.
Personalizado Los roles personalizados están definidos por el usuario y te permiten agrupar uno o más permisos compatibles para satisfacer tus necesidades específicas. Para obtener más información, consulta Comprende las funciones personalizadas.

No se les debe asignar más de una función a las personas a la vez. Además, todas las personas que tengan un rol asignado deben recibir una capacitación y una explicación adecuadas sobre sus responsabilidades y prácticas de seguridad. Si quieres asignar un conjunto diverso de permisos a una persona, recomendamos que crees un rol personalizado con IAM. Para obtener información sobre cómo crear un rol personalizado, consulta Crea y administra roles personalizados.

Para obtener información sobre los permisos y los roles de IAM predefinidos, consulta Control de acceso con IAM.

Niveles de servicio de CA

Los niveles se establecen para el grupo de autoridades certificadoras (AC). A todas las AC de un grupo de AC se les asigna el mismo nivel. El servicio de AC proporciona dos niveles de servicio operativo para los grupos de AC: DevOps y Enterprise. Estos dos niveles proporcionan a las organizaciones un equilibrio entre las capacidades de administración de rendimiento y ciclo de vida según los requisitos operativos.

  • Te recomendamos que consideres cuidadosamente el uso del nivel de DevOps, ya que no admite la revocación de certificados.
  • En el caso de las AC en el nivel DevOps, los certificados emitidos no se almacenan. Solo puedes hacer un seguimiento de los certificados si revisas los Registros de auditoría de Cloud, si están habilitados. Te recomendamos que uses el nivel de DevOps solo para certificados de corta duración que no necesiten revocarse, como los certificados que se usan con microservicios, contenedores, certificados de sesión, máquinas virtuales no persistentes y otras necesidades aisladas.
  • Una infraestructura de clave pública (PKI) puede constar de una combinación de AC en los niveles DevOps y Enterprise para satisfacer diversas necesidades.
  • En la mayoría de los casos, te recomendamos que uses el nivel Enterprise para crear grupos de AC que emitan certificados a otras AC y entidades finales.

Para obtener más información sobre los niveles de servicio de la AC, consulta Cómo seleccionar los niveles de operación.

Para obtener información sobre cómo habilitar los Registros de auditoría de Cloud, consulta Configura los registros de auditoría de acceso a los datos.

Claves de firma de la AC

El control adecuado del par de claves criptográficas subyacente para los certificados de la AC determina la seguridad y la integridad que ofrece la PKI. En esta sección, se enumeran algunas prácticas recomendadas para proteger las claves de firma de la AC.

Módulos de seguridad de hardware (HSM)

Puedes configurar CA Service para usar claves de propiedad y administración de Google que usan Cloud HSM para generar, almacenar y usar claves Sin embargo, si deseas usar una clave de Cloud KMS existente, puedes usarla durante la configuración de la AC.

Para obtener más información sobre Cloud HSM, consulta Cloud HSM.

Para obtener más información sobre la importación de una clave criptográfica a Cloud HSM o Cloud KMS, consulta Importa una clave a Cloud KMS.

Claves administradas por Google frente a claves administradas por el cliente

Si no tienes un requisito operativo o de seguridad personalizado que exija la administración directa de claves fuera del servicio de CA, recomendamos usa claves que son propiedad de Google y que administra Google. Las claves de propiedad y administración de Google proporcionan una un sistema de generación, almacenamiento y utilización de claves con seguridad predeterminada.

Las claves que son propiedad de Google y las que administra Google usan Cloud HSM y ninguna otra persona puede acceder a ellas otra organización. El acceso y el uso de las claves de firma de Cloud HSM se pueden auditar a través de los registros de auditoría de Cloud.

Para obtener más información sobre los modelos de administración de ciclo de vida, consulta Administra recursos.

Cómo importar AC externas

No es posible importar certificados emitidos anteriormente al servicio de AC. Te recomendamos que no importes una AC externa existente con certificados emitidos al servicio de AC.

Custodia de claves

El servicio de AC usa Cloud KMS y Cloud HSM para proteger las claves de la exportación y la extracción. Si tu organización quiere conservar una copia de sus claves de AC, puedes generar claves con herramientas locales. Para usar esas claves con el servicio de AC, impórtalas a Cloud KMS y Cloud HSM. Luego, puedes depositar las claves de forma segura y mantener la posesión hasta que las necesites en el futuro.

Si quieres obtener más información para importar claves a Cloud KMS, consulta Importa una clave a Cloud KMS.

Algoritmos y tamaños de claves de CA

Los algoritmos y tamaños de claves criptográficas definen el tipo y la seguridad del par de claves asimétricas que se usa para firmar certificados y listas de revocación de certificados (CRL). Las AC pueden permanecer activas durante un período relativamente largo. Por lo tanto, es importante que las claves sean lo suficientemente seguras para que sean seguras durante el ciclo de vida previsto de la AC.

Si tienes un entorno con PKI bien definido con dispositivos modernos, el algoritmo de firma digital Elliptic Curve (ECDSA) ofrece el mejor rendimiento y seguridad. En organizaciones con una amplia gama de sistemas y la incertidumbre de la asistencia clave, podría ser suficiente usar claves basadas en RSA.

También hay otras consideraciones para las claves de firma de AC, como el cumplimiento de las certificaciones, la compatibilidad con otros sistemas y los modelos específicos de amenazas. Considera tu caso de uso cuando elijas un tamaño de clave y un algoritmo.

Sin importar la vida útil de la AC, o el tamaño de la clave y el algoritmo, te recomendamos que configures un proceso para la rotación regular de las claves de AC.

Si quieres obtener más información para elegir un algoritmo para firmar claves, consulta Elige un algoritmo clave.

¿Qué sigue?