Panoramica di Certificate Authority Service

Certificate Authority Service (CA Service) è un servizio Google Cloud a scalabilità elevata che ti consente di semplificare e automatizzare il deployment, la gestione e la sicurezza delle autorità di certificazione (CA) private. Le CA private emettono certificati digitali che includono identità dell'entità, identità dell'emittente e firme crittografiche. I certificati privati sono uno dei modi più comuni per autenticare utenti, macchine o servizi sulle reti. I certificati privati vengono spesso utilizzati in ambienti DevOps per proteggere container, microservizi, macchine virtuali e account di servizio.

Con CA Service puoi:

  • Crea CA radice e subordinate personalizzate.
  • Definisci l'oggetto, l'algoritmo della chiave e la posizione della CA.
  • Seleziona la regione di una CA subordinata indipendentemente dalla regione della CA radice.
  • Crea modelli riutilizzabili e con parametri per scenari di emissione di certificati comuni.
  • Integra la tua CA radice e configura altre CA in modo che si connettano alla CA radice esistente in esecuzione on-premise o in qualsiasi altra parte al di fuori di Google Cloud.
  • Archivia le chiavi CA private utilizzando Cloud HSM, conforme al livello 3 dello standard FIPS 140-2 e disponibile in diverse regioni delle Americhe, dell'Europa e dell'Asia Pacifico.
  • Ottieni i log e ottieni visibilità su autore, data/ora e posizione con Cloud Audit Logs.
  • Definisci controlli granulari degli accessi con Identity and Access Management (IAM) e perimetri di sicurezza virtuali con i Controlli di servizio VPC.
  • Gestisci volumi elevati di certificati sapendo che CA Service supporta l'emissione di massimo 25 certificati al secondo per CA (livello DevOps), il che significa che ogni CA può emettere milioni di certificati. Puoi creare più CA dietro un endpoint di emissione chiamato pool di CA e distribuire le richieste di certificato in entrata tra tutte le CA. Con questa funzionalità, puoi emettere in modo efficace fino a 100 certificati al secondo.
  • Gestisci, automatizza e integra le CA private nel modo che preferisci: utilizzando le API, Google Cloud CLI, la console Google Cloud o Terraform.

Casi d'uso dei certificati

Puoi utilizzare le CA private per emettere certificati per i seguenti casi d'uso:

  • Integrità della catena di fornitura del software e identità del codice: firma del codice, autenticazione degli artefatti e certificati di identità dell'applicazione.
  • Identità utente: certificati di autenticazione client utilizzati come identità utente per networking Zero Trust, VPN, firma di documenti, email, smartcard e altro ancora.
  • IoT e identità dei dispositivi mobili: certificati di autenticazione client utilizzati come identità e autenticazione dei dispositivi, ad esempio l'accesso wireless.
  • Identità intraservizio: certificati mTLS utilizzati dai microservizi.
  • Canali di integrazione continua e distribuzione continua (CI/CD): certificati di firma del codice utilizzati in tutta la build CI/CD per migliorare l'integrità e la sicurezza del codice.
  • Kubernetes e Istio: certificati per proteggere le connessioni tra i componenti Kubernetes e Istio.

Perché scegliere un'infrastruttura a chiave pubblica privata

In una tipica infrastruttura a chiave pubblica web (PKI) milioni di client in tutto il mondo si affidano a un insieme di autorità di certificazione (CA) indipendenti per l'asserzione delle identità (come i nomi di dominio) nei certificati. Nell'ambito delle proprie responsabilità, le CA si impegnano a emettere certificati solo se hanno convalidato in modo indipendente l'identità contenuta in tale certificato. Ad esempio, in genere una CA deve verificare che chi richiede un certificato per il nome di dominio example.com controlli effettivamente il dominio in questione prima di emettere un certificato. Poiché queste CA possono rilasciare certificati per milioni di clienti senza un rapporto diretto esistente, si limitano ad dichiarare identità pubblicamente verificabili. Queste CA sono limitate a determinati processi di verifica ben definiti che vengono applicati in modo coerente nell'infrastruttura a chiave pubblica web.

A differenza dell'infrastruttura a chiave pubblica web, un'infrastruttura a chiave pubblica privata spesso coinvolge una gerarchia CA più piccola, che è gestita direttamente da un'organizzazione. Un'infrastruttura a chiave pubblica privata invia certificati solo ai client che intrinsecamente ritengono che l'organizzazione disponga dei controlli appropriati (ad esempio, macchine di proprietà di tale organizzazione). Poiché spesso gli amministratori delle CA hanno a disposizione i propri metodi per convalidare le identità per cui rilasciano certificati (ad esempio, rilasciare certificati ai propri dipendenti), non sono limitati dagli stessi requisiti previsti per l'infrastruttura a chiave pubblica web. Questa flessibilità è uno dei principali vantaggi dell'infrastruttura a chiave pubblica privata rispetto all'infrastruttura a chiave pubblica web. Un'infrastruttura a chiave pubblica privata consente nuovi casi d'uso, come la protezione di siti web interni con nomi di dominio brevi senza richiedere la proprietà univoca di tali nomi o la codifica di formati di identità alternativi (come gli ID SPIFFE) in un certificato.

Inoltre, l'infrastruttura a chiave pubblica web richiede a tutte le CA di registrare tutti i certificati emessi nei log pubblici di Certificate Transparency, operazione che potrebbe non essere necessaria per le organizzazioni che rilasciano certificati ai propri servizi interni. L'infrastruttura a chiave pubblica privata consente alle organizzazioni di mantenere privata la topologia dell'infrastruttura interna, ad esempio i nomi delle applicazioni o dei servizi di rete, rispetto al resto del mondo.

Passaggi successivi