Présentation de Certificate Authority Service

Certificate Authority Service (CA Service) est un service Google Cloud hautement évolutif qui vous permet de simplifier et d'automatiser le déploiement, la gestion et la sécurisation d'autorités de certification privées. Les autorités de certification privées émettent des certificats numériques qui incluent l'identité de l'entité, l'identité de l'émetteur et des signatures cryptographiques. Les certificats privés sont l'un des moyens les plus courants d'authentifier des utilisateurs, des machines ou des services sur des réseaux. Les certificats privés sont souvent utilisés dans les environnements DevOps pour protéger les conteneurs, les microservices, les machines virtuelles et les comptes de service.

Le service CA vous permet d'effectuer les opérations suivantes:

  • Créez des autorités de certification racine et subordonnées personnalisées.
  • Définissez l'objet, l'algorithme de clé et l'emplacement de l'autorité de certification.
  • Sélectionnez la région d'une autorité de certification subordonnée indépendamment de celle de son autorité de certification racine.
  • Créez des modèles réutilisables et paramétrés pour les scénarios d'émission de certificats courants.
  • Importez votre propre autorité de certification racine et configurez d'autres autorités de certification pour qu'elles s'appuient sur l'autorité de certification racine existante exécutée sur site ou ailleurs en dehors de Google Cloud.
  • Stockez vos clés privées de l'autorité de certification à l'aide de Cloud HSM, un service certifié FIPS 140-2 de niveau 3 disponible dans plusieurs régions des Amériques, d'Europe et d'Asie-Pacifique.
  • Avec Cloud Audit Logs, obtenez des journaux et gagnez en visibilité : vous pouvez désormais savoir qui a fait quoi, quand et où.
  • Définissez des contrôles des accès précis avec Identity and Access Management (IAM) et des périmètres de sécurité virtuels avec VPC Service Controls.
  • Gérez de grands volumes de certificats en sachant que le service CA peut émettre jusqu'à 25 certificats par seconde et par autorité de certification (niveau DevOps), ce qui signifie que chaque autorité de certification peut émettre des millions de certificats. Vous pouvez créer plusieurs autorités de certification derrière un point de terminaison d'émission appelé pool d'autorités de certification et distribuer les demandes de certificat entrantes entre toutes les autorités de certification. Grâce à cette fonctionnalité, vous pouvez émettre jusqu'à 100 certificats par seconde.
  • Gérez, automatisez et intégrez des autorités de certification privées de la manière qui vous convient le mieux: à l'aide d'API, de la Google Cloud CLI, de la console Google Cloud ou de Terraform.

Cas d'utilisation des certificats

Vous pouvez utiliser vos autorités de certification privées pour émettre des certificats pour les cas d'utilisation suivants:

  • Intégrité de la chaîne d'approvisionnement logicielle et identité du code: signature de code, authentication d'artefacts et certificats d'identité d'application.
  • Identité utilisateur: certificats d'authentification client utilisés comme identité utilisateur pour le réseauage zéro confiance, le VPN, la signature de documents, la messagerie, la carte à puce, etc.
  • Identité des appareils IoT et mobiles: certificats d'authentification client utilisés comme identité et authentification de l'appareil, par exemple pour l'accès sans fil.
  • Identité intraservice: certificats mTLS utilisés par les microservices.
  • Canaux d'intégration et de livraison continues (CI/CD): certificats de signature de code utilisés tout au long de la compilation CI/CD pour améliorer l'intégrité et la sécurité du code.
  • Kubernetes et Istio: certificats permettant de sécuriser les connexions entre les composants Kubernetes et Istio.

Pourquoi choisir une PKI privée ?

Dans une infrastructure à clé publique (PKI) Web typique, des millions de clients dans le monde font confiance à un ensemble d'autorités de certification (CA) indépendantes pour affirmer des identités (telles que des noms de domaine) dans les certificats. Dans le cadre de leurs responsabilités, les autorités de certification s'engagent à ne délivrer des certificats que lorsqu'elles ont validé indépendamment l'identité figurant dans ces certificats. Par exemple, une autorité de certification doit généralement vérifier qu'une personne qui demande un certificat pour le nom de domaine example.com contrôle effectivement ledit domaine avant de lui en émettre un. Étant donné que ces autorités de certification peuvent émettre des certificats pour des millions de clients avec lesquels elles n'ont peut-être pas de relation directe, elles sont limitées à l'affirmation d'identités vérifiables publiquement. Ces autorités de certification sont limitées à certains processus de validation bien définis qui sont appliqués de manière cohérente dans l'infrastructure PKI Web.

Contrairement à la PKI Web, une PKI privée implique souvent une hiérarchie de certification plus petite, gérée directement par une organisation. Une PKI privée n'envoie des certificats qu'aux clients qui font confiance à l'organisation pour disposer des contrôles appropriés (par exemple, les machines appartenant à cette organisation). Étant donné que les administrateurs d'une autorité de certification ont souvent leurs propres méthodes de validation des identités pour lesquelles ils émettent des certificats (par exemple, en émettant des certificats à leurs propres employés), ils ne sont pas limités par les mêmes exigences que pour la PKI Web. Cette flexibilité est l'un des principaux avantages de la PKI privée par rapport à la PKI Web. Une PKI privée permet de créer de nouveaux cas d'utilisation, tels que la sécurisation de sites Web internes avec des noms de domaine courts sans exiger la propriété unique de ces noms, ou l'encodage d'autres formats d'identité (tels que les ID SPIFFE) dans un certificat.

De plus, la PKI Web exige que toutes les autorités de certification enregistrent chaque certificat qu'elles ont émis dans des journaux publics de transparence des certificats, ce qui n'est pas nécessairement nécessaire pour les organisations qui émettent des certificats pour leurs services internes. La PKI privée permet aux organisations de garder leur topologie d'infrastructure interne, comme les noms de leurs services réseau ou applications, privée du reste du monde.

Étape suivante