Visão geral do Certificate Authority Service

O Certificate Authority Service (CA Service) é um serviço altamente escalonável Google Cloud que permite simplificar e automatizar a implantação, o gerenciamento e a segurança de autoridades de certificação (AC) privadas. As ACs privadas emitem certificados digitais que incluem a identidade da entidade, a identidade do emissor e assinaturas criptográficas. Os certificados particulares são uma das maneiras mais comuns de autenticar usuários, máquinas ou serviços em redes. Os certificados particulares são usados com frequência em ambientes de DevOps para proteger contêineres, microsserviços, máquinas virtuais e contas de serviço.

Com o CA Service, é possível fazer o seguinte:

  • Criar ACs raiz e subordinadas personalizadas.
  • Definir o assunto, o algoritmo de chave e o local da AC.
  • Selecionar a região de uma AC subordinada independente da região da AC raiz.
  • Criar modelos reutilizáveis e parametrizados para cenários comuns de emissão de certificados.
  • Trazer sua própria AC raiz e configurar outras ACs para encadeamento à AC raiz atual em execução no local ou em qualquer outro lugar Google Cloud.
  • Armazenar suas chaves de AC privadas usando Cloud HSM, que é validado por FIPS 140-2 de nível 3 e está disponível em várias regiões nas Américas, Europa e Ásia-Pacífico.
  • Obtenha registros e tenha visibilidade de quem fez o quê, quando e onde com Registros de auditoria do Cloud.
  • Definir controles de acesso granulares com o Identity and Access Management (IAM) e perímetros virtuais de segurança com o VPC Service Controls.
  • Gerenciar grandes volumes de certificados sabendo que o CA Service oferece suporte à emissão de até 25 certificados por segundo por AC (nível de DevOps), o que significa que cada AC pode emitir milhões de certificados. É possível criar várias ACs por trás de um endpoint de emissão chamado pool de ACs e distribuir as solicitações de certificado recebidas em todas as ACs. Usando esse recurso, é possível emitir até 100 certificados por segundo.
  • Gerenciar, automatizar e integrar ACs privadas da maneira mais conveniente para você: usando APIs, a Google Cloud CLI, o Google Cloud console ou Terraform.

Casos de uso de certificados

É possível usar suas ACs privadas para emitir certificados para os seguintes casos de uso:

  • Integridade da cadeia de suprimentos de software e identidade de código: certificados de assinatura de código, autenticação de artefato e identidade de aplicativo.
  • Identidade do usuário: certificados de autenticação de cliente usados como identidade do usuário para rede zero trust, VPN, assinatura de documentos, e-mail, smartcard e muito mais.
  • Identidade de dispositivos móveis e IoT: certificados de autenticação de cliente usados como identidade e autenticação de dispositivos, por exemplo, acesso sem fio.
  • Identidade intraserviço: certificados mTLS usados por microsserviços.
  • Canais de integração e entrega contínua (CI/CD): certificados de assinatura de código usados em toda a build de CI/CD para melhorar a integridade e a segurança do código.
  • Kubernetes e Istio: certificados para proteger conexões entre os componentes do Kubernetes e do Istio.

Por que escolher uma PKI privada

Em uma infraestrutura de chave pública (PKI, na sigla em inglês) típica da Web, milhões de clientes em todo o mundo confiam em um conjunto de autoridades de certificação (ACs) independentes para declarar identidades (como nomes de domínio) em certificados. Como parte das responsabilidades, as ACs se comprometem a emitir certificados somente quando validam de forma independente a identidade nesse certificado. Por exemplo, uma AC normalmente precisa verificar se alguém que solicita um certificado para o nome de domínio example.com realmente controla o domínio em questão antes de emitir um certificado para ele. Como essas ACs podem emitir certificados para milhões de clientes em que talvez não tenham um relacionamento direto, elas estão limitadas a declarar identidades que são verificáveis publicamente. Essas ACs estão limitadas a determinados processos de verificação bem definidos que são aplicados de forma consistente na PKI da Web.

Ao contrário da PKI da Web, uma PKI privada geralmente envolve uma hierarquia de AC menor, que é gerenciada diretamente por uma organização. Uma PKI privada envia certificados apenas para clientes que confiam inerentemente na organização para ter os controles adequados (por exemplo, máquinas pertencentes a essa organização). Como os administradores de ACs geralmente têm suas próprias maneiras de validar identidades para as quais emitem certificados (por exemplo, emitir certificados para os próprios funcionários), eles não estão limitados pelos mesmos requisitos da PKI da Web. Essa flexibilidade é uma das principais vantagens da PKI privada em relação à PKI da Web. Uma PKI privada permite novos casos de uso, como proteger sites internos com nomes de domínio curtos sem exigir a propriedade exclusiva de esses nomes ou codificar formatos de identidade alternativos (como IDs SPIFFE) em um certificado.

Além disso, a ICP da Web exige que todas as ACs registrem todos os certificados emitidos em registros públicos de Transparência dos certificados, o que pode não ser necessário para organizações que emitem certificados para serviços internos. A PKI privada permite que as organizações mantenham a topologia da infraestrutura interna, como os nomes dos serviços ou aplicativos de rede, privados do resto do mundo.

A seguir