Práticas recomendadas para o serviço de autoridade de certificação

Esta página descreve algumas das práticas recomendadas que podem ajudar a usar o serviço de autoridade de certificação de forma mais eficaz.

Funções e controlo de acesso

Através da gestão de identidade e de acesso (IAM), pode conceder funções aos utilizadores. As funções são um conjunto de uma ou mais autorizações. As funções na IAM podem ser básicas, predefinidas ou personalizadas.

Tipo de função de IAM Descrição
Básico Inclui as funções Proprietário, Editor e Leitor que existiam antes da introdução da IAM.
Predefinido As funções predefinidas são criadas e mantidas pela Google.
Personalizado As funções personalizadas são definidas pelo utilizador e permitem-lhe agrupar uma ou mais autorizações suportadas para satisfazer as suas necessidades específicas. Para mais informações, consulte o artigo Compreender as funções personalizadas.

Os indivíduos não devem ter mais do que uma função atribuída em qualquer momento. Além disso, todas as pessoas com uma função atribuída devem receber informações e formação adequadas sobre as respetivas responsabilidades e práticas de segurança. Se quiser atribuir um conjunto diversificado de autorizações a um indivíduo, recomendamos que crie uma função personalizada através do IAM. Para ver informações sobre como criar uma função personalizada, consulte o artigo Criar e gerir funções personalizadas.

Para ver informações sobre autorizações e funções de IAM predefinidas, consulte o artigo Controlo de acesso com a IAM.

Níveis de serviços de AC

Os níveis são definidos para o conjunto de autoridades de certificação (AC). Todas as ACs num conjunto de ACs têm o mesmo nível atribuído. O serviço de AC oferece dois níveis de serviço operacional para conjuntos de AC: DevOps e Enterprise. Estes dois níveis oferecem às organizações um equilíbrio entre o desempenho e as capacidades de gestão do ciclo de vida com base nos requisitos operacionais.

  • Recomendamos que considere cuidadosamente a utilização do nível DevOps, uma vez que não suporta a revogação de certificados.
  • Para as ACs no nível DevOps, os certificados emitidos não são armazenados. Só pode acompanhar os certificados revendo os registos de auditoria do Cloud, se estiverem ativados. Recomendamos que use o nível DevOps apenas para certificados de curta duração que não precisam de ser revogados, como certificados usados com microsserviços, contentores, certificados de sessão, máquinas virtuais não persistentes e outras necessidades isoladas.
  • Uma infraestrutura de chave pública (PKI) pode consistir numa combinação de ACs nos níveis DevOps e Enterprise para satisfazer várias necessidades.
  • Na maioria dos casos, recomendamos que use o nível Enterprise para criar conjuntos de ACs que emitem certificados para outras ACs e entidades finais.

Para mais informações acerca dos níveis de serviço da CA, consulte o artigo Selecione os níveis de operação.

Para obter informações sobre como ativar os registos de auditoria do Cloud, consulte o artigo Configurar registos de auditoria de acesso a dados.

Chaves de assinatura da AC

O controlo adequado do par de chaves criptográficas subjacente para os certificados da AC determina a segurança e a integridade proporcionadas pela PKI. Esta secção apresenta algumas práticas recomendadas para proteger as chaves de assinatura da AC.

Módulos de segurança de hardware (HSM)

Pode configurar o CA Service para usar chaves de encriptação detidas e geridas pela Google que usam o Cloud HSM para gerar, armazenar e usar chaves. No entanto, se quiser usar uma chave do Cloud KMS existente, pode usar a chave durante a configuração da AC.

Para mais informações sobre o Cloud HSM, consulte o artigo Cloud HSM.

Para mais informações sobre a importação de uma chave criptográfica para o Cloud HSM ou o Cloud KMS, consulte o artigo Importar uma chave para o Cloud KMS.

Chaves geridas pela Google versus chaves geridas pelo cliente

Se não tiver um requisito operacional ou de segurança personalizado que exija a gestão direta de chaves fora do serviço de AC, recomendamos que use chaves de encriptação com tecnologia do Google Cloud.As chaves de encriptação com tecnologia do Google Cloud oferecem um sistema de geração, armazenamento e utilização de chaves simplificado e seguro por predefinição.

As chaves de encriptação, com tecnologia do Google Cloud, usam o Cloud HSM e não são acessíveis nem utilizáveis por nenhuma outra organização. O acesso e a utilização de chaves de assinatura do Cloud HSM são auditáveis através dos registos de auditoria na nuvem.

Para mais informações sobre modelos de gestão do ciclo de vida, consulte o artigo Faça a gestão dos recursos.

Importar ACs externas

Não é possível importar certificados emitidos anteriormente para o serviço de AC. Recomendamos que não importe uma AC externa existente com certificados emitidos para o serviço de AC.

Chave em depósito caucionado

O serviço de AC usa o Cloud KMS e o Cloud HSM para proteger as chaves contra exportação e extração. Se a sua organização quiser manter uma cópia das respetivas chaves de AC, pode gerar chaves através de ferramentas no local. Para usar essas chaves com o serviço de AC, importe as chaves para o Cloud KMS e o Cloud HSM. Em seguida, pode colocar as chaves em caução em segurança e manter a posse até serem necessárias no futuro.

Para obter informações sobre a importação de chaves para o Cloud KMS, consulte o artigo Importar uma chave para o Cloud KMS.

Tamanhos e algoritmos das chaves da AC

Os algoritmos e os tamanhos das chaves criptográficas definem o tipo e a força do par de chaves assimétricas que é usado para assinar certificados e listas de revogação de certificados (CRLs). As CAs podem existir durante um período relativamente longo. Por conseguinte, é importante que as chaves sejam suficientemente fortes para serem seguras durante todo o período de validade pretendido da AC.

Se tiver um ambiente de ICP bem definido com dispositivos modernos, o algoritmo de assinatura digital de curva elíptica (ECDSA) oferece o melhor desempenho e segurança. Em organizações com uma vasta gama de sistemas e incerteza sobre o suporte de chaves, pode ser suficiente usar chaves baseadas em RSA.

Também existem outras considerações para as chaves de assinatura da AC, como a conformidade com as certificações, a compatibilidade com outros sistemas e os modelos de ameaças específicos. Considere o seu exemplo de utilização quando escolher um tamanho da chave e um algoritmo.

Independentemente da duração da AC ou do tamanho e do algoritmo da chave, recomendamos que configure um processo de rotação regular das chaves da AC.

Para mais informações sobre a escolha de um algoritmo para chaves de assinatura, consulte o artigo Escolha um algoritmo de chave.

O que se segue?