Certificate Authority Service の概要

Certificate Authority Service(CA Service)は、プライベート認証局(CA)のデプロイ、管理、セキュリティを簡素化して自動化できるスケーラビリティの高い Google Cloud サービスです。プライベート CA は、エンティティ ID、発行者 ID、暗号署名を含むデジタル証明書を発行します。プライベート証明書は、ネットワークを介してユーザー、マシン、サービスを認証する最も一般的な方法の 1 つです。プライベート証明書は、コンテナ、マイクロサービス、仮想マシン、サービス アカウントを保護するために、DevOps 環境でよく使用されます。

CA Service を使用すると、次のことができます。

  • カスタムルート CA と下位 CA を作成します。
  • CA のサブジェクト、鍵アルゴリズム、ロケーションを定義します。
  • ルート CA のリージョンとは独立して下位 CA のリージョンを選択します。
  • 一般的な証明書発行シナリオで、再利用可能なパラメータ化されたテンプレートを作成します。
  • 独自のルート CA を用意し、他の CA を構成して、オンプレミスまたは Google Cloud の外部で実行されている既存のルート CA にチェーン接続します。
  • FIPS 140-2 レベル 3 で検証済みであり、南北アメリカ、欧州、アジア太平洋のいくつかのリージョンで利用可能な Cloud HSM を使用してプライベート CA の鍵を保管します。
  • Cloud Audit Logs でログを取得し、いつ、どこで、誰が、何を行ったかについての情報を可視化します。
  • Identity and Access Management(IAM)で詳細なアクセス制御を定義し、VPC Service Controls で仮想セキュリティ境界を定義します。
  • 大量の証明書を管理する場合(CA サービスは 1 秒あたり最大 25 件の証明書を CA ごとに発行できるため)(DevOps ティア)、各 CA が数百万個の証明書を発行できることに注意してください。CA プールと呼ばれる 1 つの発行エンドポイントの背後に複数の CA を作成し、受信証明書リクエストをすべての CA に分散できます。この機能を使用すると、1 秒あたり最大 100 件の証明書を発行できます。
  • API、Google Cloud CLI、Google Cloud コンソール、または Terraform を使用する最も便利な方法でプライベート CA を管理、自動化、統合します。

証明書のユースケース

プライベート CA を使用して、次のユースケースの証明書を発行できます。

  • ソフトウェア サプライ チェーンの整合性とコード ID: コード署名、アーティファクト認証、アプリケーション ID 証明書
  • ユーザー ID: ゼロトラスト ネットワーキング、VPN、ドキュメント署名、メール、スマートカードなどのユーザー ID として使用されるクライアント認証証明書。
  • IoT およびモバイル デバイスの ID: デバイス ID と認証に使用されるクライアント認証証明書(ワイヤレス アクセスなど)。
  • サービス内 ID: マイクロサービスで使用される mTLS 証明書。
  • 継続的インテグレーションと継続的デリバリー(CI/CD)チャネル: CI/CD ビルド全体で使用されるコード署名証明書により、コードの整合性とセキュリティを向上させます。
  • Kubernetes と Istio: Kubernetes と Istio コンポーネントの間の接続を保護するための証明書。

プライベート PKI を選択する理由

一般的なウェブ公開鍵基盤(PKI)では、世界中の何百万ものクライアントが証明書に ID(ドメイン名など)を表明する一連の独立した認証局(CA)を信頼しています。CA は、その責任の一環として、証明書の ID を個別に検証した場合にのみ証明書を発行することを確約します。たとえば CA は通常、ドメイン名 example.com の証明書をリクエストしている人が、そのドメインを実際にコントロールしていることを、実際に証明書を発行する前に確認する必要があります。これらの CA は、既存の直接関係を持たない可能性がある数百万の顧客に対して証明書を発行できるため、公開検証可能な ID のアサーションに限定されます。これらの CA は ウェブ PKI 全体に一貫して適用される、明確に定義された特定の検証プロセスに限定されます。

ウェブ PKI とは異なり、プライベート PKI は通常、組織によって直接管理される小さい CA 階層からなります。プライベート PKI は、適切な制御を行う組織を本質的に信頼しているクライアント(その組織が所有するマシンなど)にのみ証明書を送信します。CA 管理者は、証明書を発行する ID を検証する独自の方法(従業員に証明書を発行するなど)を持つことが多いため、ウェブ PKI と同じ要件による制限がありません。この柔軟性は、ウェブ PKI に対するプライベート PKI の主な利点の 1 つです。プライベート PKI は、名前の一意の所有権を必要とせずに、短いドメイン名を持つ内部ウェブサイトを保護する、または別の ID 形式(SPIFFE ID など)を証明書にエンコードするなど、新しいユースケースを可能にします。

さらに、Web PKI ではすべての CA が発行したすべての証明書を Certificate Transparency 公開ログに記録する必要があります。これは、内部サービスに証明書を発行する組織では不要な場合があります。プライベート PKI を使用すると、組織はネットワーク サービスやアプリケーションの名前などの内部インフラストラクチャ トポロジを世界中から非公開にできます。

次のステップ