Visão geral do Certificate Authority Service

O Certificate Authority Service (CA Service) é um serviço do Google Cloud altamente escalonável que permite simplificar e automatizar a implantação, o gerenciamento e a segurança de autoridades de certificação (AC) particulares. As ACs particulares emitem certificados digitais que incluem a identidade da entidade, a identidade do emissor e assinaturas criptográficas. Os certificados privados são uma das maneiras mais comuns de autenticar usuários, máquinas ou serviços em redes. Certificados privados são usados com frequência em ambientes de DevOps para proteger contêineres, microsserviços, máquinas virtuais e contas de serviço.

Com o serviço de CA, é possível fazer o seguinte:

  • Crie ACs raiz e subordinadas personalizadas.
  • Defina o assunto, o algoritmo de chave e o local da AC.
  • Selecione a região de uma AC subordinada independente da região da AC raiz.
  • Crie modelos reutilizáveis e parametrizados para cenários comuns de emissão de certificados.
  • Traga sua própria AC raiz e configure outras ACs para se conectar à AC raiz existente em execução no local ou em qualquer outro lugar fora do Google Cloud.
  • Armazene suas chaves privadas da AC usando o Cloud HSM, que é validado por FIPS 140-2 de nível 3 e está disponível em várias regiões nas Américas, Europa e Ásia-Pacífico.
  • Tenha registros e saiba quem fez o quê, quando e onde com os Registros de auditoria do Cloud.
  • Defina controles de acesso granulares com o gerenciamento de identidade e acesso (IAM) e perímetros virtuais de segurança com o VPC Service Controls.
  • Gerencie grandes volumes de certificados sabendo que o serviço de AC suporta a emissão de até 25 certificados por segundo por AC (nível DevOps), o que significa que cada AC pode emitir milhões de certificados. É possível criar várias ACs em um endpoint de emissão chamado pool de ACs e distribuir as solicitações de certificado para todas as ACs. Com esse recurso, é possível emitir até 100 certificados por segundo.
  • Gerencie, automatize e integre ACs particulares da forma mais conveniente para você: usando APIs, a Google Cloud CLI, o console do Google Cloud ou o Terraform.

Casos de uso de certificados

É possível usar as ACs particulares para emitir certificados para os seguintes casos de uso:

  • Integridade da cadeia de suprimentos de software e identidade do código: assinatura de código, autenticação de artefatos e certificados de identidade do aplicativo.
  • Identidade do usuário: certificados de autenticação do cliente usados como identidade do usuário para redes de confiança zero, VPN, assinatura de documentos, e-mail, smartcard e muito mais.
  • Identidade de dispositivos móveis e IoT: certificados de autenticação do cliente usados como identidade e autenticação do dispositivo, por exemplo, acesso sem fio.
  • Identidade intraserviço: certificados mTLS usados por microsserviços.
  • Canais de integração e entrega contínua (CI/CD): certificados de assinatura de código usados em todo o build de CI/CD para melhorar a integridade e a segurança do código.
  • Kubernetes e Istio: certificados para proteger conexões entre os componentes do Kubernetes e do Istio.

Por que escolher uma PKI privada

Em uma infraestrutura de chave pública (PKI, na sigla em inglês) típica da Web, milhões de clientes em todo o mundo confiam em um conjunto de autoridades certificadoras (ACs) independentes para declarar identidades (como nomes de domínio) em certificados. Como parte das responsabilidades, as ACs se comprometem a emitir certificados somente quando validam de forma independente a identidade no certificado. Por exemplo, uma AC geralmente precisa verificar se alguém que solicita um certificado para o nome de domínio example.com realmente controla esse domínio antes de emitir um certificado para ele. Como essas ACs podem emitir certificados para milhões de clientes sem ter um relacionamento direto, elas são limitadas a declarar identidades que são publicamente verificáveis. Essas ACs são limitadas a determinados processos de verificação bem definidos que são aplicados de forma consistente na PKI da Web.

Ao contrário da PKI da Web, uma PKI particular geralmente envolve uma hierarquia de AC menor, que é gerenciada diretamente por uma organização. Uma PKI privada envia certificados apenas para clientes que confiam inerentemente na organização para ter os controles adequados (por exemplo, máquinas pertencentes a essa organização). Como os administradores de AC geralmente têm próprias maneiras de validar identidades para as quais emitem certificados (por exemplo, emitir certificados para os próprios funcionários), eles não são limitados pelos mesmos requisitos da PKI da Web. Essa flexibilidade é uma das principais vantagens da PKI privada em relação à PKI da Web. Uma PKI privada permite novos casos de uso, como a proteção de sites internos com nomes de domínio curtos sem exigir a propriedade exclusiva desses nomes ou codificar formatos de identidade alternativos (como IDs SPIFFE) em um certificado.

Além disso, a PKI da Web exige que todas as ACs registrem todos os certificados que emitiram nos registros públicos de Transparência dos certificados, o que pode não ser necessário para organizações que emitem certificados para seus serviços internos. A PKI privada permite que as organizações mantenham a topologia da infraestrutura interna, como os nomes dos serviços de rede ou aplicativos, privados do restante do mundo.

A seguir