Praktik terbaik untuk Certificate Authority Service

Halaman ini menguraikan beberapa praktik terbaik yang dapat membantu Anda menggunakan Certificate Authority Service secara lebih efektif.

Peran dan kontrol akses

Dengan menggunakan Identity and Access Management (IAM), Anda dapat memberikan peran kepada pengguna. Peran adalah paket yang terdiri dari satu atau beberapa izin. Peran di IAM dapat bersifat dasar, standar, atau kustom.

Jenis peran IAM	Deskripsi
Dasar	Mencakup peran Pemilik, Editor, dan Viewer yang ada sebelum pengenalan IAM.
Bawaan	Peran yang telah ditetapkan dibuat dan dikelola oleh Google.
Khusus	Peran khusus ditentukan oleh pengguna, dan memungkinkan Anda menggabungkan satu atau beberapa izin yang didukung untuk memenuhi kebutuhan spesifik Anda. Untuk informasi selengkapnya, lihat Memahami peran khusus.

Individu tidak boleh diberi lebih dari satu peran secara bersamaan. Selain itu, setiap orang yang memegang peran harus diberi pengarahan dengan benar dan dilatih mengenai tanggung jawab dan praktik keamanan mereka. Jika Anda ingin menetapkan beragam izin kepada seseorang, sebaiknya buat peran khusus menggunakan IAM. Untuk informasi tentang cara membuat peran khusus, lihat Membuat dan mengelola peran khusus.

Untuk mengetahui informasi tentang izin dan peran bawaan IAM, baca Kontrol akses dengan IAM.

Tingkat CA Service

Tingkatan ditetapkan untuk kumpulan certificate authority (CA). Semua CA dalam kumpulan CA diberi tingkat yang sama. CA Service menyediakan dua tingkat layanan operasional untuk kumpulan CA: DevOps dan Enterprise. Kedua tingkat ini memberi organisasi keseimbangan antara kemampuan performa dan pengelolaan siklus proses berdasarkan persyaratan operasional.

Sebaiknya pertimbangkan dengan cermat penggunaan tingkat DevOps karena tidak mendukung pencabutan sertifikat.
Untuk CA di tingkat DevOps, sertifikat yang diterbitkan tidak disimpan. Anda hanya dapat melacak sertifikat dengan meninjau Cloud Audit Logs, jika diaktifkan. Sebaiknya gunakan tingkat DevOps hanya untuk sertifikat berumur pendek yang tidak perlu dicabut, seperti sertifikat yang digunakan dengan microservice, container, sertifikat sesi, virtual machine yang tidak tetap, dan kebutuhan terisolasi lainnya.
Infrastruktur Kunci Publik (PKI) dapat terdiri dari kombinasi CA di tingkat DevOps dan Perusahaan untuk memenuhi berbagai kebutuhan.
Di sebagian besar kasus, sebaiknya gunakan tingkat Enterprise untuk membuat kumpulan CA yang menerbitkan sertifikat ke CA dan entity akhir lainnya.

Untuk mengetahui informasi selengkapnya tentang tingkat Layanan CA, lihat Memilih tingkat operasi.

Untuk mengetahui informasi tentang cara mengaktifkan Cloud Audit Logs, lihat Mengonfigurasi log audit Akses Data.

Kunci penandatanganan CA

Kontrol yang tepat atas pasangan kunci kriptografis dasar untuk sertifikat CA menentukan keamanan dan integritas yang diberikan oleh IKP. Bagian ini mencantumkan beberapa praktik terbaik untuk mengamankan kunci penandatanganan CA.

Modul Keamanan Hardware (HSM)

Anda dapat mengonfigurasi CA Service agar menggunakan kunci yang dikelola Google yang menggunakan Cloud HSM untuk membuat, menyimpan, dan menggunakan kunci. Namun, jika ingin menggunakan kunci Cloud KMS yang ada, Anda dapat menggunakan kunci tersebut selama penyiapan CA.

Untuk mengetahui informasi selengkapnya tentang Cloud HSM, lihat Cloud HSM.

Untuk mengetahui informasi selengkapnya tentang cara mengimpor kunci kriptografis ke Cloud HSM atau Cloud KMS, lihat Mengimpor kunci ke Cloud KMS.

Kunci yang dikelola Google versus kunci yang dikelola pelanggan

Jika Anda tidak memiliki persyaratan keamanan atau operasional khusus yang memerlukan pengelolaan langsung kunci di luar CA Service, sebaiknya gunakan kunci yang dikelola Google. Kunci yang dikelola Google menyediakan sistem pembuatan, penyimpanan, dan pemanfaatan kunci yang disederhanakan dan aman secara default.

Kunci yang dikelola Google menggunakan Cloud HSM dan tidak dapat diakses atau digunakan oleh organisasi lain. Akses dan penggunaan kunci penandatanganan Cloud HSM dapat diaudit melalui Cloud Audit Logs.

Untuk informasi selengkapnya tentang model pengelolaan siklus proses, lihat Mengelola resource.

Mengimpor CA eksternal

Sertifikat yang telah diterbitkan sebelumnya tidak dapat diimpor ke CA Service. Sebaiknya Anda tidak mengimpor CA eksternal yang ada dengan sertifikat yang diterbitkan ke CA Service.

Dana Jaminan Kunci

CA Service menggunakan Cloud KMS dan Cloud HSM untuk melindungi kunci dari ekspor dan ekstraksi. Jika organisasi Anda ingin mempertahankan salinan kunci CA, Anda dapat membuat kunci menggunakan alat lokal. Untuk menggunakan kunci tersebut dengan CA Service, impor kunci tersebut ke Cloud KMS dan Cloud HSM. Kemudian, Anda dapat menyimpan kunci dengan aman dan mempertahankan kepemilikan hingga diperlukan di masa mendatang.

Untuk mengetahui informasi tentang cara mengimpor kunci ke Cloud KMS, lihat Mengimpor kunci ke Cloud KMS.

Algoritma dan ukuran kunci CA

Algoritma dan ukuran kunci kriptografis menentukan jenis dan kekuatan pasangan kunci asimetris yang digunakan untuk menandatangani sertifikat dan Daftar Pencabutan Sertifikat (CRL). CA dapat aktif untuk jangka waktu yang relatif lama. Oleh karena itu, kunci harus cukup kuat agar aman selama masa pakai CA yang dimaksudkan.

Jika Anda memiliki lingkungan IKP yang ditetapkan dengan baik dengan perangkat modern, Elliptic Curve Digital Signature Algorithm (ECDSA) menawarkan performa dan keamanan terbaik. Di organisasi dengan berbagai sistem dan ketidakpastian tentang dukungan kunci, penggunaan kunci berbasis RSA mungkin cukup.

Ada juga pertimbangan lain untuk kunci penandatanganan CA, seperti kepatuhan dengan sertifikasi, kompatibilitas dengan sistem lain, dan model ancaman tertentu. Pertimbangkan kasus penggunaan Anda saat memilih ukuran kunci dan algoritme.

Terlepas dari masa aktif CA, atau ukuran dan algoritma kunci, sebaiknya siapkan proses rotasi kunci CA secara teratur.

Untuk mengetahui informasi selengkapnya tentang cara memilih algoritma untuk menandatangani kunci, lihat Memilih algoritma kunci.