Certificate Authority Service simplifica, automatiza y personaliza el despliegue, la gestión y la seguridad de las autoridades certificadoras (CA) privadas. Te mostramos tres opciones de diseño para tu Google Cloud Certificate Authority Service.
Tres formas distintas de vincular autoridades certificadoras raíz y subordinadas en tus proyectos y tu organización de Google Cloud
Certificate Authority Service es un servicio totalmente administrado que te permite simplificar, automatizar y personalizar el despliegue, la gestión y la seguridad de las autoridades certificadoras (CA) privadas.
Si tu organización aprovisiona y gestiona certificados privados para workloads y balanceadores de carga SSL internos en Google Cloud, puedes apoyarte en Certificate Authority Service para eliminar la creación y rotación manual de certificados, y aplicar controles de acceso estrictos.
En este artículo repasamos los pros y los contras de tres opciones de diseño para implementar un servicio de autoridad certificadora: tres maneras distintas de vincular las CA raíz y subordinadas en tus proyectos y organización de Google Cloud.
Todas se basan en el tier Enterprise CA pool service (a diferencia del tier DevOps, más limitado) y en una jerarquía de autoridad certificadora de dos niveles. (Puedes usar más niveles, pero recomiendo no superar los tres).
Opción 1: configuración de CA a nivel de organización
En esta arquitectura se define una única CA raíz y una CA subordinada por cada entorno. Es la arquitectura más sencilla y permite administrar todas las CA y los certificados de forma centralizada, además de aplicar los controles de IAM necesarios.
Basta con instalar una sola CA raíz en todos los clientes. Mediante la política de emisión de certificados se garantiza que cada CA subordinada solo emita certificados para los dominios previstos.
La desventaja es que, al haber una única CA raíz, todos los clientes confían en todos los certificados de todos los entornos (por ejemplo, los sistemas de producción confiarán en los de preproducción y viceversa).
Trabajar con una sola CA raíz dificulta probar cambios, ya que cualquier mala configuración afecta a todas las CA subordinadas. Conviene evitar modificaciones sobre la CA raíz y, en su lugar, desplegar nuevas CA subordinadas para probar los cambios.
Opción 2: configuración de CA por tipo de entorno
En esta arquitectura se define una CA raíz y una CA subordinada por cada tipo de entorno. Las CA viven en un único proyecto, separando producción de preproducción, mientras que el resto de los recursos en la nube se alojan en proyectos distintos (por ejemplo, para desarrollo, preproducción y producción).
Según el tipo de entorno, los servicios que corren en el proyecto obtienen el certificado correspondiente desde la CA subordinada, y mediante una política de emisión de certificados se asegura que cada CA subordinada solo emita certificados para los dominios previstos.
Esta configuración permite probar cambios en un entorno inferior antes de llevarlos a producción.
La desventaja es que hay que instalar distintas CA raíz en los clientes según su tipo de entorno.
Opción 3: configuración de CA por proyecto
En esta arquitectura se define una CA raíz y una CA subordinada por cada proyecto, lo que brinda una separación total. Así se pueden probar cambios fácilmente en un entorno inferior sin afectar a las demás configuraciones de CA.
Al haber varias CA raíz, hay que instalar CA raíz distintas en los clientes según el entorno en el que se encuentren.
Si se requiere confianza entre varios entornos, hay que instalar varias CA raíz en ese cliente.
Es la opción más compleja en cuanto a arquitectura y mantenimiento, pero aporta seguridad gracias a la separación.
Para cerrar
La opción de diseño que elijas para tu servicio de autoridad certificadora dependerá de cómo tu organización equilibre los requisitos de seguridad con la facilidad de gestión y el bajo costo.
Contáctanos para conocer más sobre trabajar con DoiT. Estamos para ayudarte si necesitas orientación sobre el diseño de un servicio de autoridad certificadora (CAS) o cualquier otro tema relacionado con la nube.