Best practice per Certificate Authority Service

Questa pagina illustra alcune best practice che possono aiutarti a utilizzare Certificate Authority Service in modo più efficace.

Ruoli e controllo dell'accesso

Con Identity and Access Management (IAM), puoi concedere ruoli agli utenti. I ruoli sono un insieme di una o più autorizzazioni. I ruoli in IAM possono essere di base, predefiniti o personalizzati.

Tipo di ruolo IAM Descrizione
Di base Sono inclusi i ruoli Proprietario, Editor e Visualizzatore esistenti prima dell'introduzione di IAM.
Predefinito I ruoli predefiniti vengono creati e gestiti da Google.
Personalizzato I ruoli personalizzati sono definiti dall'utente e ti consentono di raggruppare una o più autorizzazioni supportate per soddisfare le tue esigenze specifiche. Per ulteriori informazioni, consulta Informazioni sui ruoli personalizzati.

A un utente non devono essere assegnati più di un ruolo alla volta. Inoltre, tutti coloro che ricoprono un ruolo assegnato devono essere adeguatamente informati e addestrati sulle loro responsabilità e sulle pratiche di sicurezza. Se vuoi assegnare a un utente un insieme diverso di autorizzazioni, ti consigliamo di creare un ruolo personalizzato utilizzando IAM. Per informazioni sulla creazione di un ruolo personalizzato, vedi Creare e gestire i ruoli personalizzati.

Per informazioni sulle autorizzazioni e sui ruoli IAM predefiniti, consulta Controllo dell'accesso con IAM.

Livelli di CA Service

I livelli sono impostati per il pool di autorità di certificazione (CA). A tutte le CA in un pool di CA viene assegnato lo stesso livello. CA Service fornisce due livelli di servizio operativo per i pool di CA: DevOps ed Enterprise. Questi due livelli offrono alle organizzazioni un equilibrio tra prestazioni e funzionalità di gestione del ciclo di vita in base ai requisiti operativi.

  • Ti consigliamo di valutare attentamente l'utilizzo del livello DevOps perché non supporta la revoca dei certificati.
  • Per le CA di livello DevOps, i certificati emessi non vengono archiviati. Puoi monitorare i certificati solo esaminando gli audit log di Cloud, se abilitati. Ti consigliamo di utilizzare il livello DevOps solo per i certificati di breve durata che non devono essere revocati, ad esempio i certificati utilizzati con i microservizi, i contenitori, i certificati di sessione, le macchine virtuali non persistenti e altre esigenze isolate.
  • Un'infrastruttura a chiave pubblica (PKI) può essere costituita da una combinazione di CA nei livelli DevOps ed Enterprise per soddisfare varie esigenze.
  • Nella maggior parte dei casi, ti consigliamo di utilizzare il livello Enterprise per creare pool di CA che emettano certificati ad altre CA ed entità finali.

Per ulteriori informazioni sui livelli di servizio CA, consulta Selezionare i livelli di operazioni.

Per informazioni sull'abilitazione di Cloud Audit Logs, consulta Configurazione degli audit log di accesso ai dati.

Chiavi di firma CA

Il controllo corretto della coppia di chiavi crittografiche sottostanti per i certificati CA determina la sicurezza e l'integrità garantite dall'infrastruttura PKI. Questa sezione elenca alcune best practice per proteggere le chiavi di firma CA.

Moduli di sicurezza hardware (HSM)

Puoi configurare il servizio CA in modo che utilizzi chiavi di proprietà e gestite da Google che utilizzano Cloud HSM per la generazione, l'archiviazione e l'utilizzo delle chiavi. Tuttavia, se vuoi utilizzare una chiave Cloud KMS esistente, puoi utilizzarla durante la configurazione dell'autorità di certificazione.

Per ulteriori informazioni su Cloud HSM, consulta Cloud HSM.

Per ulteriori informazioni sull'importazione di una chiave di crittografia in Cloud HSM o Cloud KMS, consulta Importazione di una chiave in Cloud KMS.

Confronto tra chiavi gestite da Google e chiavi gestite dal cliente

Se non hai requisiti di sicurezza o operativi personalizzati che richiedono la gestione diretta delle chiavi al di fuori del servizio CA, ti consigliamo di utilizzare le chiavi di proprietà e gestite da Google. Le chiavi di proprietà di Google e gestite da Google forniscono un sistema semplificato e sicuro per la generazione, lo stoccaggio e l'utilizzo delle chiavi.

Le chiavi di proprietà di Google e gestite da Google utilizzano Cloud HSM e non sono accessibili o utilizzabili da altre organizzazioni. L'accesso e l'utilizzo delle chiavi di firma Cloud HSM sono verificabili tramite Cloud Audit Logs.

Per ulteriori informazioni sui modelli di gestione del ciclo di vita, consulta Gestire le risorse.

Importazione di CA esterne

Non è possibile importare i certificati emessi in precedenza nel servizio CA. Ti consigliamo di non importare nel servizio CA un'autorità di certificazione esterna esistente con certificati emessi.

Key Escrow

Il servizio CA utilizza Cloud KMS e Cloud HSM per proteggere le chiavi da esportazione ed estrazione. Se la tua organizzazione vuole mantenere una copia delle chiavi CA, puoi generare le chiavi utilizzando gli strumenti on-premise. Per utilizzarle con il servizio CA, importa le chiavi in Cloud KMS e Cloud HSM. In seguito, puoi mettere le chiavi in custodia in modo sicuro e mantenerne il possesso fino a quando non saranno necessarie in futuro.

Per informazioni sull'importazione delle chiavi in Cloud KMS, consulta Importazione di una chiave in Cloud KMS.

Dimensioni e algoritmi delle chiavi CA

Le dimensioni e gli algoritmi delle chiavi di crittografia definiscono il tipo e la sicurezza della coppia di chiavi asimmetriche utilizzata per firmare i certificati e gli elenchi di revoche dei certificati (CRL). Le CA possono rimanere attive per un periodo di tempo relativamente lungo. Pertanto, è importante che le chiavi siano sufficientemente robuste da essere sicure per tutta la durata prevista della CA.

Se hai un ambiente PKI ben definito con dispositivi moderni, l'algoritmo di firma digitale con curva ellittica (ECDSA) offre le migliori prestazioni e sicurezza. Nelle organizzazioni con una vasta gamma di sistemi e incertezze sul supporto delle chiavi, potrebbe essere sufficiente utilizzare chiavi basate su RSA.

Esistono anche altri aspetti da considerare per le chiavi di firma CA, come la conformità alle certificazioni, la compatibilità con altri sistemi e i modelli di minacce specifici. Tieni conto del caso d'uso quando scegli le dimensioni e l'algoritmo della chiave.

Indipendentemente dalla durata della CA o dalle dimensioni e dall'algoritmo della chiave, ti consigliamo di configurare una procedura per la rotazione regolare delle chiavi CA.

Per ulteriori informazioni sulla scelta di un algoritmo per la firma delle chiavi, consulta Scegliere un algoritmo chiave.

Passaggi successivi