Google propose en bêta un service d'autorité de certification pour les clients de sa plateforme cloud

Se rapprochant un peu plus d'AWS dans ce domaine tandis que Microsoft Azure est à la traîne

Google propose en bêta un service d'autorité de certification pour les clients de sa plateforme cloud,
se rapprochant un peu plus d'AWS dans ce domaine tandis que Microsoft Azure est à la traîne

Les certificats numériques sous-tendent l'identité et l'authentification pour de nombreux appareils et services en réseau. Google a présenté un service d'autorité de certification pour les clients de sa plateforme cloud. AWS a déjà un équivalent, mais pas le cloud Azure de Microsoft.

Google indique avoir récemment constaté un intérêt accru pour l'utilisation de l'infrastructure à clé publique (PKI) dans le DevOps et la gestion des appareils, en particulier pour les appareils IdO. Mais l’un des problèmes les plus fondamentaux avec les PKI : il est difficile de mettre en place des autorités de certification (CA), et encore plus de le faire de manière fiable à grande échelle.

Pour répondre à cette problématique, Google a présenté Certificate Authority Service (CAS), qui est disponible en version bêta, de Google Cloud, un service hautement évolutif et disponible qui simplifie et automatise la gestion et le déploiement des autorités de certification privées tout en répondant aux besoins des développeurs et des applications modernes.

Pour voir comment CAS peut vous aider, Anoosh Saboori, Product Manager Google Cloud, a donné des détails sur les difficultés liées à l’utilisation des certificats. Les certificats privés sont l'un des moyens les plus courants d'authentifier les utilisateurs, les machines ou les services sur les réseaux. Les certificats numériques aident à sécuriser de nombreuses interactions, notamment lorsqu'un utilisateur se connecte à un site Web d'entreprise via HTTPS, lorsqu'un ordinateur portable tente de se connecter à un point d'accès WiFi ou lorsqu'un utilisateur tente de se connecter à son compte de messagerie. Ces certificats sont normalement émis par une autorité de certification (CA) privée qui est hébergée sur site, et ils ont tendance à avoir une date d'expiration qui est dans un avenir lointain (en gros une date d'expiration sur une longue durée) avec un processus d'inscription au certificat spécifique à l'appareil / application.

Un scénario émergent d'utilisation de certificats privés est dans les environnements DevOps pour protéger les conteneurs, les microservices, les machines virtuelles et les comptes de service. Cependant, ces nouveaux cas d'utilisation de certificats privés ont des exigences radicalement différentes. En conséquence, les organisations disposant d'une autorité de certification privée sur site réalisent rapidement les limites de leurs autorités de certification privées existantes pour prendre en charge ces scénarios émergents:

• Des nouveaux cas d'utilisation qui nécessitent des certificats de courte durée qui sont renouvelés fréquemment, qui à leur tour nécessitent une haute disponibilité et une évolutivité de la part de l'autorité de certification. Les solutions CA privées existantes sont insuffisantes. Par exemple, une entreprise peut devoir émettre 10 millions de certificats en un an contre 10 000 pour les appareils IdO.
• Les processus d'inscription de certificats ne prennent pas en charge les API modernes attendues dans les applications modernes et les chaînes d'outils CI / CD, ce qui se traduit par un délai de mise sur le marché plus long et des retards d'adoption et de revenus.
• Une incompatibilité avec les autorités de certification intégrées des fournisseurs de cloud, ce qui fait que les clients perdent un point unique pour la gestion et la surveillance des certificats.

De plus, les organisations qui ont délaissé la construction d'une infrastructure sur site et étaient natives du cloud dès le premier jour (c'est-à-dire qu'elles n'avaient jamais eu à configurer une autorité de certification privée) ont commencé à ressentir un besoin de certificats privés. Les autorités de certification privées sur site existantes ne sont pas compatibles avec les plateformes cloud et ne peuvent pas prendre en charge l'échelle associée aux entreprises et hyperscalers natifs du cloud. La seule option dont disposent ces organisations est de créer leur propre autorité de certification privée.

Ainsi, ils se rendent compte du coût élevé de la mise en place et de la gestion d'une autorité de certification privée (coûts d'infrastructure, de licence et d'exploitation) en plus de l'ensemble de compétences élevé requis pour gérer avec succès une autorité de certification privée, qui n'est pas liée à leur cœur de métier et ne fait qu'allonger leur calendrier de mise sur le marché. Souvent, il est plus facile et plus économique de confier cette tâche à un fournisseur de confiance, idéalement un fournisseur de cloud.

Certificate Authority Service est conçu pour répondre aux besoins traditionnels et émergents. Selon Google, avec CAS vous pouvez configurer une autorité de certification privée en quelques minutes, au lieu des mois nécessaires pour déployer une autorité de certification privée traditionnelle.


CAS vous permet également d'exploiter des API RESTful simples et descriptives pour automatiser entièrement l'acquisition et la gestion des certificats sans être un expert PKI. Vous pouvez utiliser ces API pour l'intégration avec vos outils existants et les canaux CI / CD. De plus, vous pouvez gérer, automatiser et intégrer des autorités de certification privées de la manière qui vous convient le mieux: via les API, la ligne de commande gcloud ou la console cloud.

Anoosh Saboori assure que CAS est un service d'entreprise qui vous permet de:

• Stocker les clés d'autorité de certification privées dans un Cloud HSM validé FIPS 140-2 niveau 3 et disponible dans plusieurs régions des Amériques, d'Europe et d'Asie-Pacifique. Vous pouvez sélectionner la région d’une autorité de certification subordonnée indépendamment de la région de l’autorité de certification racine
• Obtenir des journaux et gagner en visibilité sur qui a fait quoi, quand et où avec Cloud Audit Logs
• Définir des contrôles d'accès granulaires et des périmètres de sécurité virtuels avec Cloud IAM et VPC Service Controls
• D'évoluer en toute confiance en sachant que le service prend en charge jusqu'à 25 requêtes par seconde (QPS) par instance (en mode DevOps), ce qui signifie qu'il peut émettre des millions de certificats. Et il est livré avec un SLA de niveau entreprise (chez GA)
• D'avoir l'assurance que les clés privées de l'autorité de certification sont protégées par des HSM validés FIPS 140-2 niveau 3
• D'apporter votre propre racine: cela permettra aux autorités de certification de s'enchaîner à une racine existante s'exécutant sur site ou n'importe où ailleurs en dehors de Google Cloud.

Google Cloud Platform (GCP) présente donc une Preview de son nouveau service CAS, actuellement en version bêta privée. Les clés privées seront stockées dans le service Cloud Key Management de GCP. Les informations sur les prix n'ont pas été communiquées. Le nouveau service dispose d'une API REST dont la société promet qu'elle permettra aux clients d'acquérir et de gérer des certificats sans être un expert PKI.

AWS dispose déjà d'une autorité de certification privée AWS Certificate Manager, une extension du service AWS Certificate Manager utilisé pour sécuriser les services AWS. Une autorité de certification privée AWS coûte 400 dollars par mois et entre 0,75 dollar et 0,001 dollar par certificat émis, en fonction du volume. AWS vient d'annoncer une amélioration de son service, qui est la prise en charge des points de terminaison PrivateLink, qui vous permettent de conserver le trafic réseau entièrement au sein du réseau AWS.

Google pour sa part a récemment mis au point Private Service Connect, actuellement en version alpha, qui maintient de la même manière le trafic sur le propre réseau de Google, donc en supposant que le nouveau service CAS fonctionne avec Private Service Connect, il pourrait être en mesure de correspondre à cette fonctionnalité.

Mais nous pouvons noter une...