Descripción general de Certificate Authority Service

Certificate Authority Service (servicio de AC) es un servicio de Google Cloud altamente escalable que te permite simplificar y automatizar la implementación, administración y seguridad de las autoridades certificadoras (AC) privadas. Las AC privadas emiten certificados digitales que incluyen la identidad de la entidad, la identidad del emisor y las firmas criptográficas. Los certificados privados son una de las formas más comunes de autenticar usuarios, máquinas o servicios a través de redes. Los certificados privados suelen usarse en entornos de DevOps para proteger contenedores, microservicios, máquinas virtuales y cuentas de servicio.

Con el servicio de CA, puedes hacer lo siguiente:

  • Crea AC raíz y subordinadas personalizadas.
  • Define el sujeto, el algoritmo de clave y la ubicación de la AC.
  • Selecciona la región de una AC subordinada independientemente de la región de su AC raíz.
  • Crea plantillas reutilizables y parametrizadas para situaciones comunes de emisión de certificados.
  • Usa tu propia AC raíz y configura otras AC para que se conecten a la AC raíz existente que se ejecuta de forma local o en cualquier otro lugar fuera de Google Cloud.
  • Almacena tus claves de AC privadas con Cloud HSM, que está certificado con el nivel 3 del estándar FIPS 140-2 y se encuentra disponible en varias regiones de América, Europa y Asia-Pacífico.
  • Obtén registros y obtén visibilidad de quién hizo qué, cuándo y dónde, gracias a los Registros de auditoría de Cloud.
  • Define controles de acceso detallados con la administración de identidades y accesos (IAM) y perímetros de seguridad virtual con los Controles del servicio de VPC.
  • Administra grandes volúmenes de certificados, ya que el servicio de AC admite la emisión de hasta 25 certificados por segundo por AC (nivel DevOps), lo que significa que cada AC puede emitir millones de certificados. Puedes crear varias AC detrás de un extremo de emisión llamado grupo de AC y distribuir las solicitudes de certificado entrantes entre todas las AC. Con esta función, puedes emitir de manera eficaz hasta 100 certificados por segundo.
  • Administra, automatiza y, luego, integra las AC privadas de la manera que te resulte más conveniente, ya sea a través de las APIs, la Google Cloud CLI, la consola de Google Cloud o Terraform.

Casos de uso de certificados

Puedes usar tus AC privadas para emitir certificados para los siguientes casos de uso:

  • Integridad de la cadena de suministro de software y la identidad del código: Firma de código, autenticación de artefactos y certificados de identidad de la aplicación
  • Identidad del usuario: Son certificados de autenticación de cliente que se usan como identidad del usuario para redes de confianza cero, VPN, firma de documentos, correo electrónico, tarjetas inteligentes y mucho más.
  • Identidad de dispositivos móviles y de la IoT: Certificados de autenticación de clientes que se usan como identidad y autenticación de dispositivos, por ejemplo, acceso inalámbrico.
  • Identidad intraservicio: Son los certificados mTLS que usan los microservicios.
  • Canales de integración continua y entrega continua (CI/CD): Son certificados de firma de código que se usan a lo largo de la compilación de CI/CD para mejorar la integridad y seguridad del código.
  • Kubernetes e Istio: Certificados para proteger las conexiones entre los componentes de Kubernetes e Istio.

Por qué elegir una PKI privada

En una infraestructura de clave pública (PKI) web típica, millones de clientes de todo el mundo confían en un conjunto de autoridades certificadoras (AC) independientes para afirmar identidades (como nombres de dominio) en los certificados. Como parte de sus responsabilidades, las AC se comprometen a emitir certificados solo cuando hayan validado de forma independiente la identidad en ese certificado. Por ejemplo, una AC suele necesitar verificar que quien solicita un certificado para el nombre de dominio example.com realmente controle dicho dominio antes de emitirle un certificado. Dado que esas AC pueden emitir certificados para millones de clientes con los que es posible que no tengan una relación directa existente, se limitan a afirmar identidades que se pueden verificar públicamente. Esas AC se limitan a ciertos procesos de verificación bien definidos que se aplican de manera coherente en la PKI web.

A diferencia de la PKI web, una PKI privada suele implicar una jerarquía de AC más pequeña, que una organización administra directamente. Una PKI privada envía certificados solo a clientes que confían de forma inherente en que la organización tiene los controles adecuados (por ejemplo, máquinas que pertenecen a esa organización). Dado que los administradores de AC suelen tener sus propias formas de validar las identidades para las que emiten certificados (por ejemplo, emitir certificados a sus propios empleados), no se limitan a los mismos requisitos que para la PKI web. Esta flexibilidad es una de las principales ventajas de la PKI privada sobre la PKI web. Una PKI privada permite nuevos casos de uso, como la protección de sitios web internos con nombres de dominio cortos sin requerir la propiedad única de esos nombres, o la codificación de formatos de identidades alternativas (como los IDs SPIFFE) en un certificado.

Además, la PKI web requiere que todas las AC registren todos los certificados que emitieron en los registros públicos de Certificado de transparencia, lo que puede no ser obligatorio para las organizaciones que emiten certificados a sus servicios internos. La PKI privada permite a las organizaciones mantener la topología de su infraestructura interna, como los nombres de sus servicios de red o aplicaciones, como privadas para el resto del mundo.

¿Qué sigue?