Descripción general del Servicio de Autoridades de Certificación

Servicio de Autoridades de Certificación (CA Service) es unGoogle Cloud servicio altamente escalable que te permite simplificar y automatizar el despliegue, la gestión y la seguridad de las autoridades de certificación privadas. Las AC privadas emiten certificados digitales que incluyen la identidad de la entidad, la identidad del emisor y las firmas criptográficas. Los certificados privados son una de las formas más habituales de autenticar usuarios, máquinas o servicios en redes. Los certificados privados se suelen usar en entornos de DevOps para proteger contenedores, microservicios, máquinas virtuales y cuentas de servicio.

Con el Servicio de Autoridades de Certificación, puedes hacer lo siguiente:

  • Crea ACs raíz y subordinadas personalizadas.
  • Define el asunto, el algoritmo de clave y la ubicación de la AC.
  • Selecciona una región de una AC subordinada independientemente de la región de su AC raíz.
  • Crea plantillas reutilizables y parametrizadas para los casos habituales de emisión de certificados.
  • Incorpora tu propia AC raíz y configura otras ACs para que se conecten a la AC raíz que ya tengas on-premise o en cualquier otro lugar fuera de Google Cloud.
  • Almacena tus claves privadas de AC con Cloud HSM, que cuenta con la validación FIPS 140-2 de nivel 3 y está disponible en varias regiones de América, Europa y Asia-Pacífico.
  • Consigue registros y mejora la visibilidad sobre quién hizo qué, cuándo y dónde con los registros de auditoría de Cloud.
  • Define controles de acceso detallados con Gestión de Identidades y Accesos (IAM) y perímetros de seguridad virtuales con Controles de Servicio de VPC.
  • Gestiona grandes volúmenes de certificados sabiendo que el servicio de AC admite la emisión de hasta 25 certificados por segundo y por AC (nivel DevOps), lo que significa que cada AC puede emitir millones de certificados. Puedes crear varias ACs detrás de un endpoint de emisión llamado "grupo de ACs" y distribuir las solicitudes de certificados entrantes entre todas las ACs. Con esta función, puedes emitir hasta 100 certificados por segundo.
  • Gestiona, automatiza e integra ACs privadas de la forma que mejor se adapte a tu negocio, ya sea a través de APIs, la CLI de Google Cloud, la Google Cloud consola o Terraform.

Casos prácticos de certificados

Puedes usar tus ACs privadas para emitir certificados en los siguientes casos prácticos:

  • Integridad de la cadena de suministro de software e identidad del código: firma de código, autenticación de artefactos y certificados de identidad de aplicaciones.
  • Identidad de usuario: certificados de autenticación de cliente que se usan como identidad de usuario para redes de confianza cero, VPN, firma de documentos, correo electrónico, tarjeta inteligente y más.
  • Identidad de dispositivos móviles y de IoT: certificados de autenticación de clientes utilizados como identidad y autenticación de dispositivos, por ejemplo, acceso inalámbrico.
  • Identidad intraservicio: certificados mTLS que usan los microservicios.
  • Canales de integración y entrega continuas (CI/CD): certificados de firma de código que se usan en todo el proceso de compilación de CI/CD para mejorar la integridad y la seguridad del código.
  • Kubernetes e Istio: certificados para proteger las conexiones entre los componentes de Kubernetes e Istio.

Por qué elegir una PKI privada

En una infraestructura de clave pública (PKI) web típica, millones de clientes de todo el mundo confían en un conjunto de autoridades de certificación (CAs) independientes para afirmar identidades (como nombres de dominio) en certificados. Como parte de sus responsabilidades, las CAs se comprometen a emitir certificados solo cuando hayan validado de forma independiente la identidad que figura en ellos. Por ejemplo, una AC suele tener que verificar que la persona que solicita un certificado para el nombre de dominio example.com controla realmente dicho dominio antes de emitirle un certificado. Como esas CAs pueden emitir certificados para millones de clientes con los que no tienen una relación directa, solo pueden afirmar identidades que se puedan verificar públicamente. Esas autoridades de certificación se limitan a determinados procesos de verificación bien definidos que se aplican de forma coherente en toda la infraestructura de clave pública web.

A diferencia de la infraestructura de clave pública web, una infraestructura de clave pública privada suele implicar una jerarquía de autoridad de certificación más pequeña, que gestiona directamente una organización. Una PKI privada envía certificados solo a los clientes que confían en la organización para que tenga los controles adecuados (por ejemplo, las máquinas propiedad de esa organización). Como los administradores de las CAs suelen tener sus propias formas de validar las identidades para las que emiten certificados (por ejemplo, emitir certificados a sus propios empleados), no están limitados por los mismos requisitos que la infraestructura de clave pública web. Esta flexibilidad es una de las principales ventajas de la PKI privada frente a la PKI web. Una infraestructura de clave pública privada permite nuevos casos prácticos, como proteger sitios web internos con nombres de dominio cortos sin necesidad de que se posea la propiedad única de esos nombres o codificar formatos de identidades alternativas (como IDs de SPIFFE) en un certificado.

Además, la infraestructura de clave pública web requiere que todas las CAs registren cada certificado que hayan emitido en registros públicos de transparencia en los certificados, lo que puede no ser necesario para las organizaciones que emiten certificados para sus servicios internos. La infraestructura de clave pública privada permite a las organizaciones mantener la topología de su infraestructura interna, como los nombres de sus servicios o aplicaciones de red, privada para el resto del mundo.

Siguientes pasos