Certificate Authority Service のベスト プラクティス
このページでは、Certificate Authority Service をより効果的に使用できるようにするベスト プラクティスについて説明します。
ロールとアクセス制御
Identity and Access Management(IAM)を使用して、ユーザーにロールを付与できます。役割は、1 つ以上の権限をまとめたものです。IAM のロールには、基本ロール、事前定義ロール、カスタムロールがあります。
| IAM ロールのタイプ | 説明 |
|---|---|
| 基本 | IAM の導入前に存在していたオーナー、編集者、閲覧者のロールが含まれます。 |
| 定義済み | 事前定義された役割は、Google によって作成、管理されます。 |
| カスタム | カスタムロールはユーザー定義であり、特定のニーズに合わせて 1 つ以上のサポートされている権限をバンドルできます。詳細については、IAM カスタムロールについてをご覧ください。 |
1 人に同時に複数のロールを割り当てることはできません。また、割り当てられたロールを持っているすべてのユーザーは、自分の責任とセキュリティ対策について適切な説明を受け、トレーニングを受ける必要があります。さまざまな権限セットを 1 人に割り当てる場合は、IAM を使用してカスタムロールを作成することをおすすめします。カスタムロールの作成については、カスタムロールの作成と管理をご覧ください。
権限と事前定義された IAM ロールの詳細については、IAM によるアクセス制御をご覧ください。
CA サービスティア
ティアは、認証局(CA)プールに設定されます。CA プール内のすべての CA には同じティアが割り当てられます。CA Service は、CA プールに DevOps と Enterprise という 2 つの運用サービス階層を提供します。この 2 つのティアにより、組織は運用要件に基づいてパフォーマンスとライフサイクル管理機能をバランス良く実現できます。
- DevOps ティアは証明書の取り消しをサポートしていないため、使用を慎重に検討することをおすすめします。
- DevOps 階層の CA の場合、発行された証明書は保存されません。証明書は、Cloud Audit Logs(有効になっている場合)を確認することによってのみ追跡できます。DevOps ティアは、マイクロサービス、コンテナ、セッション証明書、非永続仮想マシン、その他の分離しているニーズで使用される証明書など、取り消す必要のない有効期間の短い証明書にのみ使用することをおすすめします。
- 公開鍵基盤(PKI)は、さまざまなニーズに対応するため、DevOps と Enterprise の階層の CA の組み合わせで構成できます。
- ほとんどの場合、他の CA やエンド エンティティに証明書を発行する CA プールの作成に、エンタープライズ ティアを使用することをおすすめします。
CA サービスティアの詳細については、オペレーション ティアを選択するをご覧ください。
Cloud Audit Logging の有効化については、データアクセス監査ログの構成をご覧ください。
CA 署名鍵
CA 証明書の基盤となる暗号鍵ペアを適切に管理することで、PKI によるセキュリティと完全性が保たれます。このセクションでは、CA 署名鍵を保護するためのベスト プラクティスについて説明します。
ハードウェア セキュリティ モジュール(HSM)
鍵を生成、保存、使用するための Cloud HSM を使用する Google が所有し、Google が管理する 暗号鍵を使用するように CA Service を構成できます。ただし、既存の Cloud KMS 鍵を使用する場合は、CA の設定時にその鍵を使用できます。
Cloud HSM の詳細については、Cloud HSM をご覧ください。
暗号鍵を Cloud HSM または Cloud KMS にインポートする方法については、Cloud KMS に鍵をインポートするをご覧ください。
Google が管理する鍵とお客様が管理する鍵
CA Service の外部で鍵を直接管理する必要があるカスタムのセキュリティ要件や運用要件がない場合は、 Google が所有し Google が管理する 暗号鍵を使用することをおすすめします。 Google が所有し Google が管理する 暗号鍵は、シンプルかつデフォルトで保護された鍵の生成、保存、使用システムを提供します。
Google が所有し Google が管理する 暗号鍵は Cloud HSM を使用しており、他の組織はアクセスできないか、使用できません。Cloud HSM 署名鍵へのアクセスと使用は Cloud Audit Logs で監査できます。
ライフサイクル管理モデルの詳細については、リソースを管理するをご覧ください。
外部 CA のインポート
以前に発行された証明書を CA Service にインポートすることはできません。発行済みの証明書を含む既存の外部 CA を CA Service にインポートしないことをおすすめします。
鍵の預託
CA Service は、Cloud KMS と Cloud HSM を使用して、鍵のエクスポートと抽出から鍵を保護します。組織が CA 鍵のコピーを保持する場合は、オンプレミス ツールを使用して鍵を生成できます。これらの鍵を CA Service で使用するには、鍵を Cloud KMS と Cloud HSM にインポートします。その後、鍵を安全にエスクローし、将来必要になるまで保持できます。
Cloud KMS への鍵のインポートについては、Cloud KMS への鍵のインポートをご覧ください。
CA の鍵のサイズとアルゴリズム
暗号鍵のサイズとアルゴリズムは、証明書と証明書失効リスト(CRL)の署名に使用する非対称鍵ペアのタイプと強度を定義します。CA は比較的長期間使用できます。したがって、鍵は CA の意図された存続期間全体を通じて安全性を保証するのに十分な強度を備えることが重要です。
最新のデバイスによる明確に定義された PKI 環境がある場合は、楕円曲線デジタル署名アルゴリズム(ECDSA)が最高のパフォーマンスとセキュリティを提供します。システムが多種多様で、鍵のサポートが不確実な組織では、RSA ベースの鍵で十分です。
CA 署名鍵には、認証のコンプライアンス、他のシステムとの互換性、特定の脅威モデルなど、その他の考慮事項もあります。鍵のサイズとアルゴリズムを選択する際は、ユースケースを考慮してください。
CA の有効期間や鍵のサイズやアルゴリズムに関係なく、CA 鍵を定期的にローテーションするプロセスを設定することをおすすめします。
署名鍵のアルゴリズムの選択の詳細については、鍵アルゴリズムを選択するをご覧ください。