Práticas recomendadas para o Certificate Authority Service (em inglês)

Nesta página, descrevemos algumas práticas recomendadas para usar o Certificate Authority Service com mais eficiência.

Funções e controle de acesso

Com o Identity and Access Management (IAM), é possível conceder papéis a usuários. Os papéis são um pacote de uma ou mais permissões. Os papéis no IAM podem ser básicos, predefinidos ou personalizados.

Tipo de papel do IAM Descrição
Básico Inclui os papéis de Proprietário, Editor e Leitor que existiam antes da introdução do IAM.
Predefinido Os papéis predefinidos são criados e mantidos pelo Google.
Personalizadas Os papéis personalizados são definidos pelo usuário e permitem agrupar uma ou mais permissões compatíveis para atender às suas necessidades específicas. Para mais informações, consulte Noções básicas sobre papéis personalizados.

Os indivíduos não devem receber mais de uma função ao mesmo tempo. Além disso, todos que exercem uma função atribuída devem ser devidamente informados e treinados sobre suas responsabilidades e práticas de segurança. Para atribuir um conjunto diversificado de permissões a uma pessoa, recomendamos criar um papel personalizado usando o IAM. Para informações sobre como criar um papel personalizado, consulte Como criar e gerenciar papéis personalizados.

Para informações sobre permissões e papéis predefinidos do IAM, consulte Controle de acesso com o IAM.

Níveis de serviço de CA

Os níveis são definidos para o pool da autoridade de certificação (CA). Todas as CAs em um pool de CAs são atribuídas à mesma camada. O serviço de CA oferece dois níveis de serviço operacional para pools de CAs: DevOps e Enterprise. Esses dois níveis fornecem às organizações um equilíbrio entre recursos de desempenho e gerenciamento do ciclo de vida com base nos requisitos operacionais.

  • Recomendamos usar o nível DevOps com cuidado, porque ele não oferece suporte à revogação de certificados.
  • Para CAs no nível DevOps, os certificados emitidos não são armazenados. Só é possível rastrear certificados analisando os Registros de auditoria do Cloud, se ativados. Recomendamos que você use o nível DevOps apenas para certificados de curta duração que não precisam ser revogados, como certificados usados com microsserviços, contêineres, certificados de sessão, máquinas virtuais não persistentes e outras necessidades isoladas.
  • Uma infraestrutura de chave pública (ICP) pode consistir em uma combinação de CAs nos níveis DevOps e Enterprise para atender a várias necessidades.
  • Na maioria dos casos, recomendamos o uso do nível Enterprise para criar pools de CAs que emitem certificados para outras CAs e entidades finais.

Para mais informações sobre os níveis de serviço de CA, consulte Selecionar os níveis de operação.

Saiba mais sobre como ativar os Registros de auditoria do Cloud em Como configurar registros de auditoria de acesso a dados.

Chaves de assinatura de CA

O controle adequado do par de chaves criptográficas nos certificados de CA determina a segurança e a integridade oferecidas pela ICP. Nesta seção, listamos algumas práticas recomendadas para proteger chaves de assinatura de CA.

Módulos de segurança de hardware (HSM)

É possível configurar o CA Service para usar chaves gerenciadas pelo Google que utilizam o Cloud HSM para gerar, armazenar e usar chaves. No entanto, se você quiser usar uma chave atual do Cloud KMS, poderá usá-la durante a configuração da CA.

Para mais informações sobre o Cloud HSM, consulte Cloud HSM.

Para mais informações sobre como importar uma chave criptográfica para o Cloud HSM ou o Cloud KMS, consulte Como importar uma chave para o Cloud KMS.

Chaves gerenciadas pelo Google x chaves gerenciadas pelo cliente

Se você não tiver um requisito operacional ou de segurança personalizado que exija o gerenciamento direto de chaves fora do serviço de CA, recomendamos usar chaves gerenciadas pelo Google. As chaves gerenciadas pelo Google oferecem um sistema simplificado e seguro por padrão para geração, armazenamento e utilização de chaves.

As chaves gerenciadas pelo Google usam o Cloud HSM e não são acessíveis ou utilizáveis por nenhuma outra organização. O acesso e o uso das chaves de assinatura do Cloud HSM são auditáveis com os Registros de auditoria do Cloud.

Para mais informações sobre modelos de gerenciamento de ciclo de vida, consulte Gerenciar recursos.

Como importar CAs externas

Não é possível importar certificados emitidos anteriormente para o serviço de CA. Recomendamos que você não importe uma CA externa atual com certificados emitidos para o serviço de CA.

Chaves em garantia

O CA Service usa o Cloud KMS e o Cloud HSM para proteger as chaves contra exportação e extração. Se a organização quiser manter uma cópia das chaves da CA, gere chaves usando ferramentas no local. Para usar essas chaves com o CA Service, importe-as para o Cloud KMS e o Cloud HSM. Assim, você pode garantir com segurança as chaves e manter a posse até que seja necessário no futuro.

Para mais informações sobre como importar chaves para o Cloud KMS, consulte Como importar uma chave para o Cloud KMS.

Algoritmos e tamanhos de chave de CA

Os tamanhos e algoritmos de chave criptográfica definem o tipo e a força do par de chaves assimétricas usado para assinar certificados e listas de revogação de certificados (CRLs). As CAs podem permanecer ativas por um período relativamente longo. Portanto, é importante que as chaves sejam fortes o suficiente para serem seguras durante o ciclo de vida pretendido da CA.

Se você tem um ambiente de ICP bem definido com dispositivos modernos, o Algoritmo de assinatura digital de curva elíptica (ECDSA, na sigla em inglês) oferece o melhor desempenho e segurança. Em organizações com uma grande variedade de sistemas e incertezas sobre o suporte a chaves, usar chaves baseadas em RSA pode ser suficiente.

Há também outras considerações para as chaves de assinatura de CA, como conformidade com certificações, compatibilidade com outros sistemas e modelos de ameaça específicos. Considere seu caso de uso ao escolher um tamanho e um algoritmo de chave.

Recomendamos que você configure um processo de rotação regular de chaves de CA, seja qual for o ciclo de vida da CA ou o tamanho e o algoritmo da chave.

Para mais informações sobre como escolher um algoritmo para chaves de assinatura, consulte Escolher um algoritmo de chave.

A seguir