Présentation de Certificate Authority Service

Certificate Authority Service (CA Service) est un service Google Cloud hautement évolutif qui vous permet de simplifier et d'automatiser le déploiement, la gestion et la sécurité d'autorités de certification privées. Les CA privées émettent des certificats numériques incluant l'identité des entités, l'identité de l'émetteur et des signatures cryptographiques. Les certificats privés sont l'un des moyens les plus courants d'authentifier des utilisateurs, des machines ou des services sur des réseaux. Les certificats privés sont souvent utilisés dans les environnements DevOps pour protéger les conteneurs, les microservices, les machines virtuelles et les comptes de service.

À l'aide de CA Service, vous pouvez effectuer les opérations suivantes:

  • Créez des autorités de certification racine et subordonnées personnalisées.
  • Définissez l'objet, l'algorithme de clé et l'emplacement de l'autorité de certification.
  • Sélectionnez une région d'autorité de certification subordonnée indépendante de la région de sa CA racine.
  • Créez des modèles réutilisables et paramétrés pour les scénarios courants d'émission de certificats.
  • Utilisez votre propre CA racine et configurez d'autres autorités de certification pour qu'elles soient reliées à la CA racine existante s'exécutant sur site ou ailleurs en dehors de Google Cloud.
  • Stockez vos clés de CA privées à l'aide de Cloud HSM, un service certifié FIPS 140-2 de niveau 3 et disponible dans plusieurs régions des Amériques, d'Europe et d'Asie-Pacifique.
  • Cloud Audit Logs vous permet d'obtenir des journaux et de savoir qui a fait quoi, quand et où.
  • Définissez des contrôles d'accès précis avec Identity and Access Management (IAM) et des périmètres de sécurité virtuels avec VPC Service Controls.
  • Gérez des volumes élevés de certificats en sachant que CA Service permet d'émettre jusqu'à 25 certificats par seconde et par autorité de certification (niveau DevOps), ce qui signifie que chaque autorité de certification peut émettre des millions de certificats. Vous pouvez créer plusieurs autorités de certification derrière un point de terminaison d'émission appelé "pool d'autorités de certification" et répartir les requêtes de certificat entrantes entre toutes les autorités de certification. Grâce à cette fonctionnalité, vous pouvez émettre jusqu'à 100 certificats par seconde.
  • Gérez, automatisez et intégrez des CA privées de la manière qui vous convient le mieux: à l'aide des API, de Google Cloud CLI, de la console Google Cloud ou de Terraform.

Cas d'utilisation de certificats

Vous pouvez utiliser vos autorités de certification privées pour émettre des certificats dans les cas d'utilisation suivants:

  • Intégrité de la chaîne d'approvisionnement logicielle et identité du code: signature de code, authentification des artefacts et certificats d'identité des applications.
  • Identité de l'utilisateur: certificats d'authentification client utilisés comme identité utilisateur pour la mise en réseau zéro confiance, les VPN, la signature de documents, les e-mails, les cartes à puce, etc.
  • Identité des appareils mobiles et IoT: certificats d'authentification client utilisés comme identité et authentification de l'appareil (par exemple, accès sans fil).
  • Identité intraservice: certificats mTLS utilisés par les microservices.
  • Canaux d'intégration et de livraison continues (CI/CD): certificats de signature de code utilisés tout au long de la compilation CI/CD pour améliorer l'intégrité et la sécurité du code.
  • Kubernetes et Istio: certificats pour sécuriser les connexions entre les composants Kubernetes et Istio

Pourquoi choisir une PKI privée ?

Dans une infrastructure à clé publique (PKI) classique, des millions de clients à travers le monde font confiance à un ensemble d'autorités de certification (CA) indépendantes pour revendiquer des identités (telles que les noms de domaine) dans les certificats. Dans le cadre de leurs responsabilités, les autorités de certification s'engagent à n'émettre des certificats que lorsqu'elles ont validé l'identité de ce certificat de manière indépendante. Par exemple, une autorité de certification doit généralement vérifier qu'une personne demandant un certificat pour le nom de domaine example.com contrôle bien ce domaine avant de lui délivrer un certificat. Étant donné que ces autorités de certification peuvent émettre des certificats pour des millions de clients lorsqu'ils n'ont peut-être pas de relation directe existante, elles sont limitées à la déclaration d'identités publiquement vérifiables. Ces autorités de certification sont limitées à certains processus de vérification bien définis qui sont appliqués de manière cohérente à l'infrastructure PKI Web.

Contrairement à l'infrastructure PKI Web, une ICP privée implique souvent une hiérarchie de CA plus petite, directement gérée par une organisation. Une PKI privée n'envoie des certificats qu'aux clients qui font intrinsèquement confiance à l'organisation pour disposer des contrôles appropriés (par exemple, des machines appartenant à cette organisation). Étant donné que les administrateurs d'autorités de certification ont souvent leur propre méthode de validation des identités pour lesquelles ils émettent des certificats (par exemple, émettre des certificats pour leurs propres employés), ils ne sont pas limités par les mêmes exigences que pour l'infrastructure PKI Web. Cette flexibilité est l'un des principaux avantages de l'ICP privée par rapport à l'ICP Web. Une PKI privée permet de nouveaux cas d'utilisation, tels que la sécurisation de sites Web internes avec des noms de domaine courts sans exiger de propriété unique de ces noms ou d'encodage d'autres formats d'identités (tels que les ID SPIFFE) dans un certificat.

En outre, l'infrastructure PKI Web exige que toutes les autorités de certification enregistrent chaque certificat qu'elles ont délivré dans des journaux publics de transparence des certificats, lesquels ne sont peut-être pas nécessaires pour les organisations qui émettent des certificats à leurs services internes. L'infrastructure PKI privée permet aux entreprises de préserver la topologie de leur infrastructure interne, telle que les noms de leurs services réseau ou de leurs applications, pour qu'elles restent privées du reste du monde.

Étapes suivantes