Descripción general de Certificate Authority Service

Certificate Authority Service (servicio de AC) es un servicio altamente escalable Google Cloud que te permite simplificar y automatizar la implementación, la administración y la seguridad de las autoridades certificadoras (AC) privadas. Las AC privadas emiten certificados digitales que incluyen la identidad de la entidad, la identidad del emisor y las firmas criptográficas. Los certificados privados son una de las formas más comunes de autenticar usuarios, máquinas o servicios en redes. Los certificados privados suelen usarse en entornos de DevOps para proteger contenedores, microservicios, máquinas virtuales y cuentas de servicio.

Con CA Service, puedes hacer lo siguiente:

  • Crear AC raíz y subordinadas personalizadas
  • Definir el asunto, el algoritmo de clave y la ubicación de la AC
  • Seleccionar la región de una AC subordinada, independientemente de la región de su AC raíz
  • Crear plantillas reutilizables y parametrizadas para situaciones comunes de emisión de certificados
  • Traer tu propia AC raíz y configurar otras AC para encadenar a la AC raíz existente que se ejecuta de forma local o en cualquier otro lugar Google Cloud.
  • Almacenar tus claves de AC privadas con Cloud HSM, que está certificado con el nivel 3 del estándar FIPS 140‑2 y se encuentra disponible en varias regiones de América, Europa y Asia‑Pacífico.
  • Generar registros y obtener visibilidad de quién hizo qué, cuándo y dónde, gracias a los Registros de auditoría de Cloud.
  • Definir controles de acceso detallados con Identity and Access Management (IAM) y perímetros de seguridad virtual con los Controles del servicio de VPC
  • Administrar grandes volúmenes de certificados sabiendo que CA Service admite la emisión de hasta 25 certificados por segundo por AC (nivel de DevOps), lo que significa que cada AC puede emitir millones de certificados Puedes crear varias AC detrás de un extremo de emisión llamado grupo de AC y distribuir las solicitudes de certificados entrantes en todas las AC. Con esta función, puedes emitir hasta 100 certificados por segundo de manera eficaz.
  • Administrar, automatizar y, luego, integrar las AC privadas de la manera más conveniente para ti, ya sea a través de las APIs, la Google Cloud CLI, la Google Cloud consola o Terraform.

Casos de uso de certificados

Puedes usar tus AC privadas para emitir certificados para los siguientes casos de uso:

  • Integridad de la cadena de suministro de software y la identidad del código: Firma de código, autenticación de artefactos y certificados de identidad de la aplicación
  • Identidad del usuario: Certificados de autenticación de cliente que se usan como identidad del usuario para redes de confianza cero, VPN, firma de documentos, correo electrónico, tarjeta inteligente y mucho más
  • Identidad de dispositivos móviles y de IoT: Certificados de autenticación de cliente que se usan como identidad y autenticación del dispositivo, por ejemplo, acceso inalámbrico
  • Identidad intraservicio: Certificados mTLS que usan los microservicios
  • Canales de integración continua y entrega continua (CI/CD): Certificados de firma de código que se usan en toda la compilación de CI/CD para mejorar la integridad y la seguridad del código
  • Kubernetes e Istio: Certificados para proteger las conexiones entre los componentes de Kubernetes e Istio

Por qué elegir una PKI privada

En una infraestructura de clave pública (PKI) web típica, millones de clientes de todo el mundo confían en un conjunto de autoridades certificadoras (AC) independientes para confirmar identidades (como nombres de dominio) en los certificados. Como parte de sus responsabilidades, las AC se comprometen a emitir certificados solo cuando hayan validado de forma independiente la identidad en ese certificado. Por ejemplo, una AC suele necesitar verificar que alguien que solicita un certificado para el nombre de dominio example.com realmente controle dicho dominio antes de emitirle un certificado. Dado que esas AC pueden emitir certificados para millones de clientes con los que es posible que no tengan una relación directa existente, se limitan a confirmar identidades que se puedan verificar públicamente. Esas AC se limitan a ciertos procesos de verificación bien definidos que se aplican de manera coherente en toda la PKI web.

A diferencia de la PKI web, una PKI privada suele incluir una jerarquía de AC más pequeña, que administra directamente una organización. Una PKI privada envía certificados solo a los clientes que confían de forma inherente en que la organización tiene los controles adecuados (por ejemplo, máquinas que pertenecen a esa organización). Dado que los administradores de AC suelen tener sus propias formas de validar las identidades para las que emiten certificados (por ejemplo, emitir certificados a sus propios empleados), no están limitados por los mismos requisitos que para la PKI web. Esta flexibilidad es una de las principales ventajas de la PKI privada sobre la PKI web. Una PKI privada habilita casos de uso nuevos, como proteger sitios web internos con nombres de dominio cortos sin requerir la propiedad única de esos nombres o codificar formatos de identidad alternativos (como IDs de SPIFFE) en un certificado.

Además, la PKI web requiere que todas las AC registren cada certificado que emitieron en los registros públicos de Transparencia de certificados, lo que podría no ser necesario para las organizaciones que emiten certificados a sus servicios internos. La PKI privada permite que las organizaciones mantengan la topología de su infraestructura interna, como los nombres de sus servicios o aplicaciones de red, de forma privada para el resto del mundo.

¿Qué sigue?