Prácticas recomendadas para el Servicio de Autoridades de Certificación
En esta página se describen algunas de las prácticas recomendadas que pueden ayudarte a utilizar el Servicio de Autoridades de Certificación de forma más eficaz.
Roles y control de acceso
Con Gestión de Identidades y Accesos (IAM), puedes asignar roles a los usuarios. Los roles son un conjunto de uno o varios permisos. Los roles de gestión de identidades y accesos pueden ser básicos, predefinidos o personalizados.
| Tipo de rol de gestión de identidades y accesos | Descripción |
|---|---|
| Básico | Incluye los roles de propietario, editor y lector que existían antes de la introducción de IAM. |
| Predefinidos | Google crea y mantiene los roles predefinidos. |
| Personalizado | Los roles personalizados los definen los usuarios y te permiten agrupar uno o varios permisos admitidos para satisfacer tus necesidades específicas. Para obtener más información, consulta el artículo Descripción de los roles personalizados. |
No se debe asignar más de un rol a una persona en un momento dado. Además, todos los usuarios que tengan un rol asignado deben recibir la información y la formación adecuadas sobre sus responsabilidades y prácticas de seguridad. Si quieres asignar un conjunto diverso de permisos a un usuario, te recomendamos que crees un rol personalizado con Gestión de identidades y accesos. Para obtener información sobre cómo crear un rol personalizado, consulta el artículo Crear y gestionar roles personalizados.
Para obtener información sobre los permisos y los roles de gestión de identidades y accesos predefinidos, consulta el artículo sobre el control de acceso con gestión de identidades y accesos.
Niveles del Servicio de Autoridades de Certificación
Se definen los niveles del grupo de autoridades de certificación. Todas las autoridades certificadoras de un grupo de autoridades certificadoras tienen asignado el mismo nivel. El servicio de AC ofrece dos niveles de servicio operativo para los grupos de AC: DevOps y Enterprise. Estos dos niveles ofrecen a las organizaciones un equilibrio entre las funciones de rendimiento y de gestión del ciclo de vida en función de los requisitos operativos.
- Te recomendamos que te pienses bien si quieres usar el nivel de DevOps, ya que no admite la revocación de certificados.
- En el caso de las autoridades de certificación del nivel de DevOps, los certificados emitidos no se almacenan. Solo puedes hacer un seguimiento de los certificados consultando los registros de auditoría de Cloud, si están habilitados. Te recomendamos que uses el nivel de DevOps solo para certificados de corta duración que no necesiten revocarse, como los certificados que se usan con microservicios, contenedores, certificados de sesión, máquinas virtuales no persistentes y otras necesidades aisladas.
- Una infraestructura de clave pública (PKI) puede constar de una combinación de autoridades de certificación en los niveles de DevOps y Enterprise para satisfacer diversas necesidades.
- En la mayoría de los casos, le recomendamos que utilice el nivel Enterprise para crear grupos de ACs que emitan certificados a otras ACs y entidades finales.
Para obtener más información sobre los niveles de servicio de las AC, consulta Seleccionar los niveles de operación.
Para obtener información sobre cómo habilitar Cloud Audit Logs, consulta el artículo sobre cómo configurar registros de auditoría de acceso a datos.
Claves de firma de autoridad de certificación
El control adecuado del par de claves criptográficas subyacente de los certificados de AC determina la seguridad y la integridad que ofrece la PKI. En esta sección se enumeran algunas prácticas recomendadas para proteger las claves de firma de la CA.
Módulos de seguridad de hardware (HSM)
Puedes configurar el servicio de AC para que use claves de cifrado y propiedad de Google que utilicen Cloud HSM para generar, almacenar y usar claves. Sin embargo, si quieres usar una clave de Cloud KMS que ya tengas, puedes usarla durante la configuración de la AC.
Para obtener más información sobre Cloud HSM, consulta Cloud HSM.
Para obtener más información sobre cómo importar una clave criptográfica en Cloud HSM o Cloud KMS, consulta Importar una clave en Cloud KMS.
Claves gestionadas por Google y claves gestionadas por el cliente
Si no tienes ningún requisito de seguridad u operativo personalizado que requiera la gestión directa de claves fuera del servicio de CA, te recomendamos que uses claves de cifrado , propiedad de Google basadas en Google Cloud .Estas claves proporcionan un sistema simplificado y seguro por defecto para generar, almacenar y utilizar claves.
Las claves de encriptado usan Cloud HSM y ninguna otra organización puede acceder a ellas ni usarlas. El acceso y el uso de las claves de firma de Cloud HSM se pueden auditar mediante los registros de auditoría de Cloud.
Para obtener más información sobre los modelos de gestión del ciclo de vida, consulta el artículo Gestionar recursos.
Importar CAs externas
No es posible importar certificados emitidos anteriormente en el servicio de CA. Te recomendamos que no importes una CA externa con certificados emitidos al Servicio de Autoridades de Certificación.
Custodia de claves
CA Service usa Cloud KMS y Cloud HSM para proteger las claves frente a la exportación y la extracción. Si tu organización quiere conservar una copia de sus claves de CA, puedes generarlas con herramientas locales. Para usar esas claves con el servicio de AC, impórtalas a Cloud KMS y Cloud HSM. Después, puedes depositar las claves de forma segura y mantener la posesión hasta que las necesites en el futuro.
Para obtener información sobre cómo importar claves en Cloud KMS, consulta Importar una clave en Cloud KMS.
Algoritmos y tamaños de clave de la autoridad de certificación
Los tamaños y los algoritmos de las claves criptográficas definen el tipo y la seguridad del par de claves asimétricas que se usa para firmar certificados y listas de revocación de certificados (CRL). Las autoridades de certificación pueden tener una duración relativamente larga. Por lo tanto, es importante que las claves sean lo suficientemente seguras durante todo el tiempo que la autoridad de certificación tenga previsto que duren.
Si tienes un entorno de infraestructura de clave pública bien definido con dispositivos modernos, el algoritmo de firma digital de curva elíptica (ECDSA) ofrece el mejor rendimiento y seguridad. En las organizaciones con una amplia gama de sistemas y dudas sobre la compatibilidad con claves, podría ser suficiente con usar claves basadas en RSA.
También hay otras consideraciones para las claves de firma de la autoridad certificadora, como el cumplimiento de las certificaciones, la compatibilidad con otros sistemas y los modelos de amenazas específicos. Ten en cuenta tu caso práctico a la hora de elegir el tamaño y el algoritmo de la clave.
Independientemente del tiempo de validez de la autoridad de certificación, del tamaño de la clave y del algoritmo, te recomendamos que configures un proceso para rotar las claves de la autoridad de certificación con regularidad.
Para obtener más información sobre cómo elegir un algoritmo para las claves de firma, consulta Elegir un algoritmo de claves.
Siguientes pasos
- Crear un grupo de autoridades de certificación
- Crear una autoridad de certificación raíz
- Crear una autoridad de certificación subordinada
- Crear una plantilla de certificado