Ringkasan Certificate Authority Service

Certificate Authority Service (CA Service) adalah layanan Google Cloud yang sangat skalabel yang memungkinkan Anda menyederhanakan dan mengotomatiskan deployment, pengelolaan, dan pengamanan certificate authority (CA) pribadi. CA pribadi menerbitkan sertifikat digital yang mencakup identitas entitas, identitas penerbit, dan tanda tangan kriptografis. Sertifikat pribadi adalah salah satu cara paling umum untuk mengautentikasi pengguna, mesin, atau layanan melalui jaringan. Sertifikat pribadi sering digunakan di lingkungan DevOps untuk melindungi penampung, microservice, virtual machine, dan akun layanan.

Dengan menggunakan Layanan CA, Anda dapat melakukan hal berikut:

  • Membuat CA root dan CA bawahan kustom.
  • Tentukan subjek, algoritma kunci, dan lokasi CA.
  • Pilih region CA subordinat yang tidak bergantung pada region CA root-nya.
  • Buat template yang dapat digunakan kembali dan berparameter untuk skenario penerbitan sertifikat umum.
  • Gunakan CA root Anda sendiri dan konfigurasikan CA lain untuk dihubungkan ke CA root yang ada dan berjalan di infrastruktur lokal atau di tempat lain di luar Google Cloud.
  • Simpan kunci CA pribadi Anda menggunakan Cloud HSM, yang divalidasi FIPS 140-2 Level 3 dan tersedia di beberapa region di benua Amerika, Eropa, dan Asia Pasifik.
  • Dapatkan log dan peroleh visibilitas terkait siapa yang melakukan apa, kapan, dan di mana dengan Cloud Audit Logs.
  • Tentukan kontrol akses terperinci dengan Identity and Access Management (IAM) dan perimeter keamanan virtual dengan Kontrol Layanan VPC.
  • Kelola sertifikat dalam volume tinggi dengan mengetahui bahwa Layanan CA mendukung penerbitan hingga 25 sertifikat per detik per CA (tingkat DevOps), yang berarti setiap CA dapat menerbitkan jutaan sertifikat. Anda dapat membuat beberapa CA di belakang satu endpoint penerbitan yang disebut kumpulan CA dan mendistribusikan permintaan sertifikat yang masuk ke semua CA. Dengan menggunakan fitur ini, Anda dapat secara efektif menerbitkan hingga 100 sertifikat per detik.
  • Kelola, otomatiskan, dan integrasikan CA pribadi dengan cara yang paling nyaman bagi Anda: menggunakan API, Google Cloud CLI, konsol Google Cloud, atau Terraform.

Kasus penggunaan sertifikat

Anda dapat menggunakan CA pribadi untuk menerbitkan sertifikat untuk kasus penggunaan berikut:

  • Integritas supply chain software dan identitas kode: Penandatanganan kode, autentikasi artefak, dan sertifikat identitas aplikasi.
  • Identitas pengguna: Sertifikat autentikasi klien yang digunakan sebagai identitas pengguna untuk jaringan zero trust, VPN, penandatanganan dokumen, email, smartcard, dan lainnya.
  • Identitas IoT dan perangkat seluler: Sertifikat autentikasi klien yang digunakan sebagai identitas dan autentikasi perangkat, misalnya, akses nirkabel.
  • Identitas intra-layanan: Sertifikat mTLS yang digunakan oleh microservice.
  • Saluran continuous integration dan continuous delivery (CI/CD): Sertifikat penandatanganan kode yang digunakan di seluruh build CI/CD untuk meningkatkan integritas dan keamanan kode.
  • Kubernetes dan Istio: Sertifikat untuk mengamankan koneksi antara komponen Kubernetes dan Istio.

Alasan memilih PKI pribadi

Dalam Infrastruktur Kunci Publik (PKI) Web standar, jutaan klien di seluruh dunia memercayai sekumpulan certificate authority (CA) independen untuk menyatakan identitas (seperti nama domain) dalam sertifikat. Sebagai bagian dari tanggung jawabnya, CA berkomitmen untuk hanya menerbitkan sertifikat jika mereka telah memvalidasi identitas dalam sertifikat tersebut secara independen. Misalnya, CA biasanya perlu memverifikasi bahwa seseorang yang meminta sertifikat untuk nama domain example.com benar-benar mengontrol domain tersebut sebelum menerbitkan sertifikat kepadanya. Karena CA tersebut dapat menerbitkan sertifikat untuk jutaan pelanggan yang mungkin tidak memiliki hubungan langsung, CA tersebut hanya dapat menyatakan identitas yang dapat diverifikasi secara publik. CA tersebut dibatasi pada proses verifikasi tertentu yang ditentukan dengan baik dan diterapkan secara konsisten di seluruh PKI Web.

Tidak seperti PKI Web, PKI pribadi sering kali melibatkan hierarki CA yang lebih kecil, yang dikelola langsung oleh organisasi. PKI pribadi hanya mengirimkan sertifikat kepada klien yang secara inheren memercayai organisasi untuk memiliki kontrol yang sesuai (misalnya, mesin yang dimiliki oleh organisasi tersebut). Karena admin CA sering kali memiliki cara mereka sendiri untuk memvalidasi identitas yang sertifikatnya mereka terbitkan (misalnya, menerbitkan sertifikat kepada karyawan mereka sendiri), mereka tidak dibatasi oleh persyaratan yang sama seperti untuk Web PKI. Fleksibilitas ini adalah salah satu keunggulan utama PKI pribadi dibandingkan PKI Web. PKI pribadi memungkinkan kasus penggunaan baru seperti mengamankan situs internal dengan nama domain pendek tanpa memerlukan kepemilikan unik nama tersebut, atau mengenkode format identitas alternatif (seperti ID SPIFFE) ke dalam sertifikat.

Selain itu, PKI Web mewajibkan semua CA untuk mencatat setiap sertifikat yang telah mereka terbitkan ke log Transparansi Sertifikat publik, yang mungkin tidak diperlukan untuk organisasi yang menerbitkan sertifikat ke layanan internal mereka. PKI pribadi memungkinkan organisasi menjaga topologi infrastruktur internal mereka, seperti nama layanan jaringan atau aplikasi mereka, agar tetap bersifat pribadi dari seluruh dunia.

Langkah selanjutnya