Certificate Authority Service のベスト プラクティス
このページでは、Certificate Authority Service をより効果的に使用するためのベスト プラクティスの概要について説明します。
ロールとアクセス制御
Identity and Access Management(IAM)を使用して、ユーザーにロールを付与できます。役割は、1 つ以上の権限をまとめたものです。IAM のロールは、基本、事前定義、カスタムのいずれかです。
| IAM ロールのタイプ | 説明 |
|---|---|
| 基本 | IAM の導入前に存在していたオーナー、編集者、閲覧者のロールが含まれます。 |
| 事前定義 | 事前定義された役割は、Google によって作成、管理されます。 |
| カスタム | カスタムロールはユーザー定義であり、特定のニーズに合わせて 1 つ以上のサポートされている権限をバンドルできます。詳細については、カスタムロールについてをご覧ください。 |
1 人に同時に複数のロールを割り当てることはできません。また、割り当てられたロールを担うすべてのユーザーに、そのロールに伴う責任とセキュリティ対策について適切な説明とトレーニングを行う必要があります。さまざまな権限を個人に割り当てる場合は、IAM を使用してカスタムロールを作成することをおすすめします。カスタムロールの作成については、カスタムロールの作成と管理をご覧ください。
権限と事前定義された IAM ロールの詳細については、IAM によるアクセス制御をご覧ください。
CA サービスティア
認証局(CA)プールに階層が設定されます。CA プール内のすべての CA に同じ階層が割り当てられます。CA Service は、CA プールに DevOps と Enterprise という 2 つの運用サービス階層を提供します。この 2 つの階層により、組織は運用要件に基づいてパフォーマンスとライフサイクル管理機能のバランスを取ることができます。
- DevOps 階層では証明書の取り消しがサポートされていないため、その使用を慎重に検討することをおすすめします。
- DevOps 階層の CA の場合、発行された証明書は保存されません。証明書は、Cloud Audit Logs(有効になっている場合)を確認することによってのみ追跡できます。DevOps 階層は、マイクロサービス、コンテナ、セッション証明書、非永続仮想マシン、その他の孤立したニーズで使用される証明書など、取り消す必要のない短命の証明書にのみ使用することをおすすめします。
- 公開鍵基盤(PKI)は、さまざまなニーズに対応するため、DevOps と Enterprise の階層の CA の組み合わせで構成できます。
- ほとんどの場合、他の CA やエンド エンティティに証明書を発行する CA プールの作成に、エンタープライズ ティアを使用することをおすすめします。
CA サービスティアの詳細については、オペレーション ティアを選択するをご覧ください。
Cloud Audit Logs を有効にする方法については、データアクセス監査ログの構成をご覧ください。
CA 署名鍵
CA 証明書の基盤となる暗号鍵ペアを適切に管理することで、PKI によるセキュリティと完全性が保たれます。このセクションでは、CA 署名鍵を保護するためのベスト プラクティスについて説明します。
ハードウェア セキュリティ モジュール(HSM)
鍵を生成、保存、使用するための Cloud HSM を使用する Google 所有の鍵と Google が管理する鍵を使用するように CA Service を構成できます。ただし、既存の Cloud KMS 鍵を使用する場合は、CA の設定時にその鍵を使用できます。
Cloud HSM の詳細については、Cloud HSM をご覧ください。
暗号鍵を Cloud HSM または Cloud KMS にインポートする方法については、Cloud KMS への鍵のインポートをご覧ください。
Google が管理する鍵とお客様が管理する鍵
CA Service の外部で鍵を直接管理する必要があるカスタムのセキュリティ要件や運用要件がない場合は、Google が所有し Google が管理する鍵を使用することをおすすめします。Google が所有し Google が管理する鍵は、簡素化された、デフォルトで安全な鍵の生成、保存、利用システムを提供します。
Google が所有し Google が管理する鍵は Cloud HSM を使用しており、他の組織はアクセスできないか、使用できません。Cloud HSM 署名鍵へのアクセスと使用は Cloud Audit Logs で監査できます。
ライフサイクル管理モデルの詳細については、リソースを管理するをご覧ください。
外部 CA のインポート
以前に発行された証明書を CA Service にインポートすることはできません。発行済みの証明書を含む既存の外部 CA を CA Service にインポートしないことをおすすめします。
鍵の預託
CA Service は、Cloud KMS と Cloud HSM を使用して、鍵がエクスポートまたは抽出されないように保護します。組織で CA 鍵のコピーを保持する場合は、オンプレミスのツールを使用して鍵を生成できます。CA Service でこれらの鍵を使用するには、鍵を Cloud KMS と Cloud HSM にインポートします。その後、鍵を安全にエスクローして、将来必要になるまで保持できます。
Cloud KMS への鍵のインポートについては、Cloud KMS への鍵のインポートをご覧ください。
CA 鍵のサイズとアルゴリズム
暗号鍵のサイズとアルゴリズムは、証明書と証明書失効リスト(CRL)の署名に使用する非対称鍵ペアのタイプと強度を定義します。CA は比較的長期間存続できます。したがって、鍵は CA の意図された存続期間全体を通じて安全性を保証するのに十分な強度を備えることが重要です。
最新のデバイスによる明確に定義された PKI 環境がある場合は、楕円曲線デジタル署名アルゴリズム(ECDSA)が最高のパフォーマンスとセキュリティを提供します。システムが多種多様で、鍵のサポートが不確実な組織では、RSA ベースの鍵で十分です。
また、認証の遵守、他のシステムとの互換性、特定の脅威モデルなど、CA 署名鍵については他にも考慮事項があります。鍵のサイズとアルゴリズムを選択する際は、ユースケースを考慮してください。
CA の有効期間や鍵のサイズやアルゴリズムに関係なく、CA 鍵を定期的にローテーションするプロセスを設定することをおすすめします。
署名鍵のアルゴリズムの選択については、鍵アルゴリズムを選択するをご覧ください。