Prácticas recomendadas para Certificate Authority Service

En esta página, se describen algunas de las prácticas recomendadas que pueden ayudarte a usar Certificate Authority Service de forma más eficaz.

Roles y control de acceso

Con Identity and Access Management (IAM), puedes asignar roles a los usuarios. Los roles son un paquete de uno o más permisos. Los roles en IAM pueden ser básicos, predefinidos o personalizados.

Tipo de rol de IAM Descripción
Básico Incluye los roles de propietario, editor y visualizador que existían antes de la introducción de IAM.
Predefinido Google crea y mantiene las funciones predefinidas.
Personalizado Los roles personalizados están definidos por el usuario y te permiten agrupar uno o más permisos compatibles para satisfacer tus necesidades específicas. Para obtener más información, consulta Comprende las funciones personalizadas.

No se debe asignar más de una función a las personas a la vez. Además, todas las personas que tengan un rol asignado deben estar debidamente informadas y capacitados sobre sus responsabilidades y prácticas de seguridad. Si quieres asignar un conjunto diverso de permisos a una persona, te recomendamos que crees un rol personalizado con IAM. Para obtener información sobre cómo crear un rol personalizado, consulta Crea y administra roles personalizados.

Para obtener información sobre los permisos y las funciones predefinidas de IAM, consulta Control de acceso con IAM.

Niveles de servicio de CA

Los niveles se configuran para el grupo de autoridades certificadoras (CA). A todas las CA de un grupo de CA se les asigna el mismo nivel. El servicio de CA proporciona dos niveles de servicio operativos para los grupos de CA: DevOps y Enterprise. Estos dos niveles ofrecen a las organizaciones un equilibrio entre las capacidades de administración del rendimiento y el ciclo de vida basadas en los requisitos operativos.

  • Te recomendamos que consideres con cuidado usar el nivel de DevOps, ya que no admite la revocación de certificados.
  • En el caso de las CA en el nivel DevOps, los certificados emitidos no se almacenan. Solo puedes hacer un seguimiento de los certificados revisando los Registros de auditoría de Cloud, si están habilitados. Recomendamos que uses el nivel DevOps solo para certificados de corta duración que no necesiten revocarse, como certificados usados con microservicios, contenedores, certificados de sesión, máquinas virtuales no persistentes y otras necesidades aisladas.
  • Una infraestructura de clave pública (PKI) puede consistir en una combinación de AC en los niveles de DevOps y Enterprise para satisfacer diversas necesidades.
  • En la mayoría de los casos, recomendamos que uses el nivel Enterprise para crear grupos de AC que emitan certificados a otras AC y entidades finales.

Para obtener más información sobre los niveles del Servicio de CA, consulta Selecciona los niveles de operación.

Si quieres obtener información para habilitar los Registros de auditoría de Cloud, consulta Configura registros de auditoría de acceso a los datos.

Claves de firma de CA

El control adecuado del par de claves criptográficas subyacente para los certificados de AC determina la seguridad y la integridad que ofrece la PKI. En esta sección, se enumeran algunas prácticas recomendadas para proteger las claves de firma de CA.

Módulos de seguridad de hardware (HSM)

Puedes configurar el servicio de CA de modo que use claves administradas por Google que utilizan Cloud HSM para generar, almacenar y usar claves. Sin embargo, si quieres usar una clave de Cloud KMS existente, puedes usarla durante la configuración de la AC.

Para obtener más información sobre Cloud HSM, consulta Cloud HSM.

Para obtener más información sobre cómo importar una clave criptográfica a Cloud HSM o Cloud KMS, consulta Importa una clave a Cloud KMS.

Claves administradas por Google frente a claves administradas por el cliente

Si no tienes un requisito operativo o de seguridad personalizado que requiera la administración directa de claves fuera de CA Service, te recomendamos que uses las claves administradas por Google. Las claves administradas por Google proporcionan un sistema de generación, almacenamiento y uso de claves simplificado y seguro de forma predeterminada.

Las claves administradas por Google usan Cloud HSM y ninguna otra organización puede acceder a ellas ni usarlas. El acceso a las claves de firma de Cloud HSM y su uso se pueden auditar mediante los Registros de auditoría de Cloud.

Para obtener más información sobre los modelos de administración del ciclo de vida, consulta Administra recursos.

Importa AC externas

No es posible importar al Servicio de CA certificados que se hayan emitido con anterioridad. Te recomendamos no importar al Servicio de CA una AC externa existente con certificados emitidos.

custodia de claves

CA Service usa Cloud KMS y Cloud HSM para proteger las claves contra la exportación y la extracción. Si tu organización quiere mantener una copia de sus claves de CA, puedes generar claves con las herramientas locales. Para usar esas claves con el servicio de CA, impórtalas a Cloud KMS y Cloud HSM. De este modo, podrás dejar las claves en custodia y conservar su posesión hasta que las necesites en el futuro.

Para obtener información sobre la importación de claves a Cloud KMS, consulta Importa una clave a Cloud KMS.

Algoritmos y tamaños de claves de CA

Los algoritmos y tamaños de claves criptográficas definen el tipo y la seguridad del par de claves asimétrico que se usa para firmar certificados y listas de revocación de certificados (CRL). Las AC pueden tener una vida activa por un período relativamente largo. Por lo tanto, es importante que las claves tengan la seguridad suficiente para ser seguras durante el ciclo de vida previsto de la AC.

Si tienes un entorno de PKI bien definido con dispositivos modernos, el algoritmo de firma digital de curva elíptica (ECDSA) ofrece el mejor rendimiento y seguridad. En organizaciones con una amplia gama de sistemas y la incertidumbre acerca de la compatibilidad de claves, el uso de claves basadas en RSA podría ser suficiente.

También hay otras consideraciones para las claves de firma de AC, como el cumplimiento de las certificaciones, la compatibilidad con otros sistemas y los modelos de amenaza específicos. Ten en cuenta tu caso de uso cuando elijas un tamaño de clave y un algoritmo.

Sin importar la vida útil de la AC, o el tamaño de la clave y el algoritmo, te recomendamos configurar un proceso para la rotación regular de las claves de AC.

Si quieres obtener más información para elegir un algoritmo para firmar claves, consulta Elige un algoritmo de clave.

¿Qué sigue?