Informações gerais sobre o Certificate Authority Service

O Certificate Authority Service (CA Service) é um serviço altamente escalonável do Google Cloud que permite simplificar e automatizar a implantação, o gerenciamento e a segurança de autoridades de certificação (CA, na sigla em inglês) privadas. As CAs particulares emitem certificados digitais que incluem a identidade da entidade, a identidade do emissor e assinaturas criptográficas. Os certificados privados são uma das maneiras mais comuns de autenticar usuários, máquinas ou serviços por redes. Os certificados particulares costumam ser usados em ambientes de DevOps para proteger contêineres, microsserviços, máquinas virtuais e contas de serviço.

Com o serviço de CA, é possível fazer o seguinte:

  • Criar CAs raiz e subordinadas personalizadas.
  • Defina o assunto, o algoritmo de chave e a localização da CA.
  • Selecione a região de uma CA subordinada independente da região da CA raiz.
  • Crie modelos reutilizáveis e parametrizados para cenários comuns de emissão de certificados.
  • Traga sua própria CA raiz e configure outras CAs para encadear à CA raiz atual em execução no local ou em qualquer outro lugar fora do Google Cloud.
  • Armazene suas chaves de CA particulares usando o Cloud HSM, que tem validação FIPS 140-2 Nível 3 e está disponível em várias regiões nas Américas, Europa e Ásia-Pacífico.
  • Crie registros e saiba quem fez o quê, quando e onde com os Registros de auditoria do Cloud.
  • Defina controles de acesso granulares com o Identity and Access Management (IAM) e perímetros de segurança virtual com o VPC Service Controls.
  • Gerencie grandes volumes de certificados sabendo que o serviço de CA oferece suporte à emissão de até 25 certificados por segundo por CA (nível de DevOps), o que significa que cada CA pode emitir milhões de certificados. É possível criar várias CAs por trás de um endpoint de emissão chamado pool de CAs e distribuir as solicitações de certificado recebidas em todas as CAs. Com ele, é possível emitir até 100 certificados por segundo.
  • Gerencie, automatize e integre CAs particulares da forma que for mais conveniente para você: usando APIs, a Google Cloud CLI, o console do Google Cloud ou o Terraform.

Casos de uso do certificado

Use suas CAs particulares para emitir certificados nos seguintes casos de uso:

  • Integridade da cadeia de suprimentos de software e identidade do código: assinatura de código, autenticação de artefatos e certificados de identidade do aplicativo.
  • Identidade do usuário: certificados de autenticação do cliente usados como identidade do usuário para redes de confiança zero, VPN, assinatura de documentos, e-mail, cartão inteligente e muito mais.
  • IoT e identidade de dispositivos móveis: certificados de autenticação do cliente usados como identidade e autenticação do dispositivo, por exemplo, acesso sem fio.
  • Identidade entre serviços: certificados mTLS usados por microsserviços.
  • Canais de integração contínua e entrega contínua (CI/CD): certificados de assinatura de código usados em todo o build de CI/CD para melhorar a integridade e a segurança do código.
  • Kubernetes e Istio: certificados para proteger conexões entre os componentes do Kubernetes e do Istio.

Por que escolher uma ICP particular?

Em uma infraestrutura de chave pública da Web (ICP) típica, milhões de clientes em todo o mundo confiam em um conjunto de autoridades de certificação (CAs, na sigla em inglês) independentes para declarar identidades (como nomes de domínio) em certificados. Como parte das responsabilidades delas, as CAs só emitem certificados quando validam de maneira independente a identidade nesse certificado. Por exemplo, uma CA normalmente precisa verificar se alguém que solicita um certificado para o nome de domínio example.com realmente controla esse domínio antes de emitir um certificado para essa pessoa. Como essas CAs podem emitir certificados para milhões de clientes em que talvez não tenham um relacionamento direto, elas estão limitadas a declarar identidades que podem ser verificadas publicamente. Essas CAs estão limitadas a determinados processos de verificação bem definidos que são aplicados de maneira consistente na ICP da Web.

Ao contrário da ICP na Web, uma ICP particular geralmente envolve uma hierarquia de CA menor, que é gerenciada diretamente por uma organização. Uma ICP particular envia certificados apenas para clientes que confiam inerentemente na organização para ter os controles apropriados (por exemplo, máquinas de propriedade dessa organização). Como os administradores de CA geralmente têm maneiras próprias de validar identidades para as quais emitem certificados (por exemplo, emitindo certificados para os próprios funcionários), eles não são limitados pelos mesmos requisitos da ICP da Web. Essa flexibilidade é uma das principais vantagens da ICP particular em relação à ICP Web. Uma ICP particular permite novos casos de uso, como proteger sites internos com nomes de domínio curtos sem exigir a propriedade exclusiva desses nomes ou codificar formatos de identidade alternativos (como IDs SPIFFE) em um certificado.

Além disso, a ICP da Web exige que todas as CAs registrem todos os certificados emitidos em registros públicos da Transparência dos certificados, o que pode não ser necessário para organizações que emitem certificados para os serviços internos. A ICP particular permite que as organizações mantenham a topologia de infraestrutura interna, como os nomes dos aplicativos ou serviços de rede, privada do restante do mundo.

A seguir