Vista geral do Certificate Authority Service

O serviço de autoridade de certificação (serviço de AC) é umGoogle Cloud serviço altamente escalável que lhe permite simplificar e automatizar a implementação, a gestão e a segurança de autoridades de certificação (AC) privadas. As ACs privadas emitem certificados digitais que incluem a identidade da entidade, a identidade do emissor e assinaturas criptográficas. Os certificados privados são uma das formas mais comuns de autenticar utilizadores, máquinas ou serviços em redes. Os certificados privados são frequentemente usados em ambientes de DevOps para proteger contentores, microsserviços, máquinas virtuais e contas de serviço.

Ao usar o serviço de CA, pode fazer o seguinte:

  • Crie ACs raiz e subordinadas personalizadas.
  • Defina o requerente, o algoritmo da chave e a localização da AC.
  • Selecione uma região de AC subordinada independente da região da respetiva AC raiz.
  • Crie modelos reutilizáveis e parametrizados para cenários comuns de emissão de certificados.
  • Traga a sua própria AC raiz e configure outras ACs para encadearem até à AC raiz existente em execução no local ou em qualquer outro lugar fora Google Cloud.
  • Armazene as chaves da AC privada através do Cloud HSM, que é validado ao nível 3 da FIPS 140-2 e está disponível em várias regiões nas Américas, na Europa e na Ásia-Pacífico.
  • Obtenha registos e visibilidade sobre quem fez o quê, quando e onde com os registos de auditoria da nuvem.
  • Defina controlos de acesso detalhados com a gestão de identidade e de acesso (IAM) e perímetros de segurança virtuais com os VPC Service Controls.
  • Faça a gestão de grandes volumes de certificados sabendo que o serviço de AC suporta a emissão de até 25 certificados por segundo por AC (nível de DevOps), o que significa que cada AC pode emitir milhões de certificados. Pode criar várias ACs atrás de um ponto final de emissão denominado conjunto de ACs e distribuir os pedidos de certificados recebidos por todas as ACs. Com esta funcionalidade, pode emitir eficazmente até 100 certificados por segundo.
  • Faça a gestão, a automatização e a integração de ACs privadas da forma mais conveniente para si: através de APIs, da CLI do Google Cloud, da Google Cloud consola ou do Terraform.

Exemplos de utilização de certificados

Pode usar as suas ACs privadas para emitir certificados para os seguintes exemplos de utilização:

  • Integridade da cadeia de fornecimento de software e identidade do código: assinatura de código, autenticação de artefactos e certificados de identidade da aplicação.
  • Identidade do utilizador: certificados de autenticação de cliente usados como identidade do utilizador para redes de confiança zero, VPN, assinatura de documentos, email, cartão inteligente e muito mais.
  • Identidade de dispositivos móveis e IoT: certificados de autenticação de clientes usados como identidade e autenticação de dispositivos, por exemplo, acesso sem fios.
  • Identidade intraserviço: certificados mTLS usados por microsserviços.
  • Canais de integração contínua e implementação contínua (CI/CD): certificados de assinatura de código usados em toda a compilação de CI/CD para melhorar a integridade e a segurança do código.
  • Kubernetes e Istio: certificados para proteger as ligações entre os componentes do Kubernetes e do Istio.

Porquê escolher uma ICP privada

Numa infraestrutura de chave pública (PKI) Web típica, milhões de clientes em todo o mundo confiam num conjunto de autoridades de certificação (ACs) independentes para afirmar identidades (como nomes de domínio) em certificados. Como parte das respetivas responsabilidades, as ACs comprometem-se a emitir certificados apenas quando validaram independentemente a identidade nesse certificado. Por exemplo, normalmente, uma AC tem de validar se alguém que pede um certificado para o nome de domínio example.com controla efetivamente o domínio em questão antes de lhe emitir um certificado. Uma vez que essas ACs podem emitir certificados para milhões de clientes com os quais podem não ter uma relação direta existente, estão limitadas a afirmar identidades publicamente verificáveis. Essas ACs estão limitadas a determinados processos de validação bem definidos que são aplicados de forma consistente na infraestrutura de chaves públicas Web.

Ao contrário da infraestrutura de chaves públicas (PKI) Web, uma PKI privada envolve frequentemente uma hierarquia de AC mais pequena, que é gerida diretamente por uma organização. Uma PKI privada envia certificados apenas a clientes que confiam inerentemente na organização para ter os controlos adequados (por exemplo, máquinas pertencentes a essa organização). Uma vez que os administradores da AC têm frequentemente as suas próprias formas de validar identidades para as quais emitem certificados (por exemplo, emitir certificados para os seus próprios funcionários), não estão limitados pelos mesmos requisitos que a infraestrutura de chaves públicas da Web. Esta flexibilidade é uma das principais vantagens da PKI privada em relação à PKI Web. Uma infraestrutura de chaves públicas privada permite novos exemplos de utilização, como proteger Websites internos com nomes de domínios curtos sem exigir a propriedade exclusiva desses nomes, ou codificar formatos de identidades alternativas (como IDs SPIFFE) num certificado.

Além disso, a Web PKI requer que todas as ACs registem todos os certificados que emitiram em registos de Transparência de certificados públicos, o que pode não ser necessário para as organizações que emitem certificados para os respetivos serviços internos. A infraestrutura de chaves públicas (PKI) privada permite que as organizações mantenham a topologia da respetiva infraestrutura interna, como os nomes dos respetivos serviços de rede ou aplicações, privada do resto do mundo.

O que se segue?