Panoramica di Certificate Authority Service

Certificate Authority Service (CA Service) è un servizio Google Cloud altamente scalabile che ti consente di semplificare e automatizzare il deployment, la gestione e la sicurezza delle autorità di certificazione (CA) private. Le CA private emettono certificati digitali che includono l'identità dell'entità, l'identità dell'ente di certificazione e le firme crittografiche. I certificati privati sono uno dei modi più comuni per autenticare utenti, macchine o servizi su reti. I certificati privati vengono spesso utilizzati negli ambienti DevOps per proteggere container, microservizi, macchine virtuali e account di servizio.

Con CA Service puoi:

  • Crea CA principali e secondarie personalizzate.
  • Definisci l'oggetto, l'algoritmo della chiave e la posizione della CA.
  • Seleziona la regione di una CA secondaria indipendentemente dalla regione della CA principale.
  • Crea modelli riutilizzabili e parametrizzati per scenari comuni di rilascio di certificati.
  • Importa la tua CA principale e configura altre CA in modo che formino una catena fino alla CA principale esistente in esecuzione on-premise o in un altro luogo esterno a Google Cloud.
  • Archivia le chiavi CA private utilizzando Cloud HSM, conforme al livello 3 dello standard FIPS 140-2 e disponibile in diverse regioni delle Americhe, dell'Europa e dell'Asia Pacifico.
  • Grazie a log, ottieni visibilità su autore, data/ora e posizione con Audit log di Cloud.
  • Definisci controlli di accesso granulari con Identity and Access Management (IAM) e perimetri di sicurezza virtuali con Controlli di servizio VPC.
  • Gestisci elevati volumi di certificati sapendo che CA Service supporta l'emissione di fino a 25 certificati al secondo per CA (livello DevOps), il che significa che ogni CA può emettere milioni di certificati. Puoi creare più CA dietro un endpoint di emissione chiamato pool di CA e distribuire le richieste di certificato in arrivo tra tutte le CA. Con questa funzionalità, puoi emettere efficacemente fino a 100 certificati al secondo.
  • Gestisci, automatizza e integra le CA private nel modo che preferisci: tramite API, Google Cloud CLI, la console Google Cloud o Terraform.

Casi d'uso dei certificati

Puoi utilizzare le tue CA private per emettere certificati per i seguenti casi d'uso:

  • Integrità della catena di fornitura del software e identità del codice: firma del codice, autenticazione degli elementi e certificati di identità dell'applicazione.
  • Identità utente: certificati di autenticazione client utilizzati come identità utente per reti zero trust, VPN, firma di documenti, email, smart card e altro ancora.
  • Identità di dispositivi IoT e mobili: certificati di autenticazione client utilizzati come identità e autenticazione del dispositivo, ad esempio l'accesso wireless.
  • Identità intraservizio: certificati mTLS utilizzati dai microservizi.
  • Canali di integrazione e distribuzione continue (CI/CD): i certificati di firma del codice utilizzati durante la compilazione CI/CD per migliorare l'integrità e la sicurezza del codice.
  • Kubernetes e Istio: certificati per proteggere le connessioni tra i componenti Kubernetes e Istio.

Perché scegliere una PKI privata

In una tipica infrastruttura PKI (Public Key Infrastructure) web, milioni di client in tutto il mondo si affidano a un insieme di autorità di certificazione (CA) indipendenti per affermare le identità (ad esempio i nomi di dominio) nei certificati. Nell'ambito delle loro responsabilità, le CA si impegnano a emettere certificati solo dopo aver convalidato in modo indipendente l'identità in quel certificato. Ad esempio, in genere un'autorità di certificazione deve verificare che qualcuno che richiede un certificato per il nome di dominio example.com effettivamente controlli il dominio in questione prima di emettergli un certificato. Poiché queste CA possono emettere certificati per milioni di clienti con i quali potrebbero non avere un rapporto diretto esistente, sono limitate a dichiarare le identità che sono pubblicamente verificabili. Queste CA sono limitate a determinate procedure di verifica ben definite che vengono applicate in modo coerente alla PKI web.

A differenza della PKI web, una PKI privata spesso prevede una gerarchia CA più piccola, gestita direttamente da un'organizzazione. Una PKI privata invia certificati solo ai clienti che ritengono intrinsecamente che l'organizzazione disponga dei controlli appropriati (ad esempio, le macchine di proprietà dell'organizzazione). Poiché gli amministratori delle CA hanno spesso i propri modi per convalidare le identità per le quali emettono certificati (ad esempio, l'emissione di certificati ai propri dipendenti), non sono soggetti agli stessi requisiti della PKI web. Questa flessibilità è uno dei vantaggi principali della PKI privata rispetto alla PKI web. Una PKI privata consente nuovi casi d'uso, come la protezione di siti web interni con nomi di dominio brevi senza richiedere la proprietà univoca di questi nomi o la codifica di formati di identità alternativi (ad esempio gli ID SPIFFE) in un certificato.

Inoltre, la PKI web richiede a tutte le CA di registrare ogni certificato emesso nei log pubblici di Certificate Transparency, che potrebbero non essere richiesti per le organizzazioni che emettono certificati per i propri servizi interni. La PKI privata consente alle organizzazioni di mantenere privata la topologia della loro infrastruttura interna, ad esempio i nomi dei servizi di rete o delle applicazioni, rispetto al resto del mondo.

Passaggi successivi