Certificate Authority Service の概要
Certificate Authority Service(CA Service)は、プライベート認証局(CA)のデプロイ、管理、セキュリティを簡素化、自動化できる、高度にスケーラブルな Google Cloud サービスです。プライベート CA は、エンティティ ID、発行元 ID、暗号署名を含むデジタル証明書を発行します。プライベート証明書は、ネットワークを介してユーザー、マシン、サービスを認証する最も一般的な方法の 1 つです。プライベート証明書は、コンテナ、マイクロサービス、仮想マシン、サービス アカウントを保護するために、DevOps 環境でよく使用されます。
CA Service を使用すると、次のことができます。
- カスタムのルート CA と下位 CA を作成します。
- CA のサブジェクト、鍵アルゴリズム、ロケーションを定義します。
- ルート CA のリージョンに関係なく下位 CA のリージョンを選択します。
- 一般的な証明書発行シナリオで再利用可能なパラメータ化されたテンプレートを作成する。
- 独自のルート CA を持ち込み、オンプレミスまたは Google Cloud の外部で実行されている既存のルート CA に連結するように他の CA を構成します。
- FIPS 140-2 レベル 3 で検証済みであり、南北アメリカ、欧州、アジア太平洋のいくつかのリージョンで利用可能な Cloud HSM を使用してプライベート CA の鍵を保管します。
- Cloud Audit Logs でログを取得し、いつ、どこで、誰が、何を行ったかについての情報を可視化します。
- Identity and Access Management(IAM)を使用してきめ細かいアクセス制御を定義し、VPC Service Controls を使用して仮想セキュリティ境界を定義します。
- 大量の証明書を管理する場合(CA サービスは 1 秒あたり最大 25 件の証明書を CA ごとに発行できるため)(DevOps ティア)、各 CA が数百万個の証明書を発行できることに注意してください。1 つの発行エンドポイント(CA プール)の背後に複数の CA を作成し、受信した証明書リクエストをすべての CA に分散できます。この機能を使用すると、1 秒あたり最大 100 個の証明書を効率的に発行できます。
- API、Google Cloud CLI、Google Cloud コンソール、Terraform のうち最も便利な方法を使って、プライベート CA を管理、自動化、統合できます。
証明書のユースケース
プライベート CA を使用して、次のユースケースの証明書を発行できます。
- ソフトウェアのサプライ チェーンの整合性とコード ID: コード署名、アーティファクト認証、アプリケーション ID 証明書。
- ユーザー ID: ゼロトラスト ネットワーキング、VPN、ドキュメント署名、メール、スマートカードなどのユーザー ID として使用されるクライアント認証証明書。
- IoT とモバイル デバイスの ID: ワイヤレス アクセスなど、デバイスの ID と認証に使用されるクライアント認証証明書。
- サービス内 ID: マイクロサービスで使用される mTLS 証明書。
- 継続的インテグレーションと継続的デリバリー(CI/CD)チャネル: CI/CD ビルド全体で使用されるコード署名証明書。コードの完全性とセキュリティを向上させます。
- Kubernetes と Istio: Kubernetes コンポーネントと Istio コンポーネント間の接続を保護する証明書。
プライベート PKI を選択する理由
一般的なウェブ公開鍵基盤(PKI)では、世界中の何百万ものクライアントが証明書に ID(ドメイン名など)を表明する一連の独立した認証局(CA)を信頼しています。CA は、その証明書の ID を独自に検証した場合にのみ証明書を発行することを約束しています。たとえば CA は通常、ドメイン名 example.com
の証明書をリクエストしている人が、そのドメインを実際にコントロールしていることを、実際に証明書を発行する前に確認する必要があります。これらの CA は、既存の直接関係を持たない可能性がある数百万の顧客に対して証明書を発行できるため、公開検証可能な ID のアサーションに限定されます。これらの CA は ウェブ PKI 全体に一貫して適用される、明確に定義された特定の検証プロセスに限定されます。
ウェブ PKI とは異なり、プライベート PKI には、組織によって直接管理される小さな CA 階層が含まれることがよくあります。プライベート PKI は、適切なコントロールを備えていると本質的に信頼できるクライアント(その組織が所有するマシンなど)にのみ証明書を送信します。CA 管理者は、証明書を発行する ID を検証する独自の方法(従業員に証明書を発行するなど)を持つことが多いため、ウェブ PKI と同じ要件による制限がありません。この柔軟性は、Web PKI よりもプライベート PKI の大きな利点の一つです。プライベート PKI は、名前の一意の所有権を必要とせずに、短いドメイン名を持つ内部ウェブサイトを保護する、または別の ID 形式(SPIFFE ID など)を証明書にエンコードするなど、新しいユースケースを可能にします。
さらに、Web PKI ではすべての CA が発行したすべての証明書を Certificate Transparency 公開ログに記録する必要があります。これは、内部サービスに証明書を発行する組織では不要な場合があります。プライベート PKI を使用すると、組織はネットワーク サービスやアプリケーションの名前など、内部インフラストラクチャ トポロジを外部から非公開にできます。
次のステップ
- CA Service の料金を理解する。
- セキュリティとコンプライアンスについて学習する。
- CA Service のロケーションを確認する
- CA Service を使ってみる。