Ringkasan Certificate Authority Service

Certificate Authority Service (CA Service) adalah layanan Google Cloud yang sangat skalabel yang memungkinkan Anda menyederhanakan dan mengotomatiskan deployment, pengelolaan, dan keamanan certificate authority (CA) pribadi. CA pribadi menerbitkan sertifikat digital yang mencakup identitas entitas, identitas penerbit, dan tanda tangan kriptografis. Sertifikat pribadi adalah salah satu cara yang paling umum untuk mengotentikasi pengguna, mesin, atau layanan melalui jaringan. Sertifikat pribadi sering digunakan di lingkungan DevOps untuk melindungi container, microservice, virtual machine, dan akun layanan.

Dengan menggunakan CA Service, Anda dapat melakukan hal berikut:

  • Membuat CA root dan subordinate kustom.
  • Tentukan subjek, algoritma kunci, dan lokasi CA.
  • Pilih region CA subordinat yang terpisah dari region root CA-nya.
  • Membuat template yang dapat digunakan kembali dan berparameter untuk skenario penerbitan sertifikat umum.
  • Gunakan root CA Anda sendiri dan konfigurasi CA lain untuk terhubung ke root CA yang ada, yang berjalan di infrastruktur lokal atau di mana pun di luar Google Cloud.
  • Simpan kunci CA pribadi Anda menggunakan Cloud HSM, yang divalidasi FIPS 140-2 Level 3 dan tersedia di beberapa region di benua Amerika, Eropa, dan Asia Pasifik.
  • Dapatkan log dan peroleh visibilitas terkait siapa yang melakukan apa, di mana, dan kapan dengan Cloud Audit Logs.
  • Tentukan kontrol akses terperinci dengan Identity and Access Management (IAM) dan perimeter keamanan virtual dengan Kontrol Layanan VPC.
  • Kelola volume sertifikat yang tinggi dengan mengetahui bahwa Layanan CA mendukung penerbitan hingga 25 sertifikat per detik per CA (tingkat DevOps), yang berarti bahwa setiap CA dapat menerbitkan jutaan sertifikat. Anda dapat membuat beberapa CA di belakang satu endpoint penerbitan yang disebut kumpulan CA dan mendistribusikan permintaan sertifikat yang masuk ke semua CA. Dengan fitur ini, Anda dapat secara efektif menerbitkan hingga 100 sertifikat per detik.
  • Kelola, otomatiskan, dan integrasikan CA pribadi dengan cara yang paling nyaman bagi Anda: menggunakan API, Google Cloud CLI, konsol Google Cloud, atau Terraform.

Kasus penggunaan sertifikat

Anda dapat menggunakan CA pribadi untuk menerbitkan sertifikat untuk kasus penggunaan berikut:

  • Integritas supply chain dan identitas kode software: Penandatanganan kode, autentikasi artefak, dan sertifikat identitas aplikasi.
  • Identitas pengguna: Sertifikat autentikasi klien yang digunakan sebagai identitas pengguna untuk jaringan zero-trust, VPN, penandatanganan dokumen, email, smartcard, dan lain-lain.
  • IoT dan identitas perangkat seluler: Sertifikat autentikasi klien yang digunakan sebagai identitas dan autentikasi perangkat, misalnya, akses nirkabel.
  • Intraservice identity: Sertifikat mTLS yang digunakan oleh microservice.
  • Saluran continuous integration dan continuous delivery (CI/CD): Sertifikat penandatanganan kode yang digunakan di seluruh build CI/CD untuk meningkatkan integritas dan keamanan kode.
  • Kubernetes dan Istio: Sertifikat untuk mengamankan koneksi antara komponen Kubernetes dan Istio.

Alasan memilih IKP pribadi

Pada Web Public Key Infrastructure (IKP) standar, jutaan klien di seluruh dunia memercayai sekumpulan certificate authority (CA) independen untuk menegaskan identitas (seperti nama domain) dalam sertifikat. Sebagai bagian dari tanggung jawabnya, CA hanya berkomitmen untuk menerbitkan sertifikat setelah mereka memvalidasi identitas dalam sertifikat tersebut secara independen. Misalnya, CA biasanya perlu memverifikasi bahwa seseorang yang meminta sertifikat untuk nama domain example.com benar-benar mengontrol domain tersebut sebelum mengeluarkan sertifikat kepadanya. Karena CA tersebut dapat menerbitkan sertifikat untuk jutaan pelanggan yang mungkin tidak memiliki hubungan langsung, hanya untuk menegaskan identitas yang dapat diverifikasi secara publik. CA tersebut terbatas pada proses verifikasi tertentu yang terdefinisi dengan baik yang secara konsisten diterapkan di seluruh IKP Web.

Tidak seperti IKP Web, IKP pribadi sering kali melibatkan hierarki CA yang lebih kecil, yang dikelola langsung oleh organisasi. IKP pribadi hanya mengirimkan sertifikat ke klien yang secara inheren memercayai organisasi tersebut untuk memiliki kontrol yang sesuai (misalnya, mesin yang dimiliki oleh organisasi tersebut). Karena admin CA sering kali memiliki caranya sendiri untuk memvalidasi identitas yang mereka gunakan untuk menerbitkan sertifikat (misalnya, menerbitkan sertifikat kepada karyawannya sendiri), mereka tidak dibatasi oleh persyaratan yang sama seperti untuk IKP Web. Fleksibilitas ini adalah salah satu keuntungan utama IKP pribadi dibandingkan IKP Web. IKP pribadi memungkinkan kasus penggunaan baru seperti mengamankan situs internal dengan nama domain pendek tanpa memerlukan kepemilikan unik atas nama tersebut, atau mengenkode format identitas alternatif (seperti ID SPIFFE) ke dalam sertifikat.

Selain itu, IKP Web mewajibkan semua CA untuk mencatat setiap sertifikat yang telah diterbitkan ke log Transparansi Sertifikat publik, yang mungkin tidak diwajibkan bagi organisasi yang menerbitkan sertifikat ke layanan internal mereka. IKP pribadi memungkinkan organisasi untuk menjaga topologi infrastruktur internal mereka, seperti nama layanan atau aplikasi jaringan, agar tidak dapat diakses oleh seluruh dunia.

Langkah selanjutnya