Google indique avoir récemment constaté un intérêt accru pour l'utilisation de l'infrastructure à clé publique (PKI) dans le DevOps et la gestion des appareils, en particulier pour les appareils IdO. Mais l’un des problèmes les plus fondamentaux avec les PKI : il est difficile de mettre en place des autorités de certification (CA), et encore plus de le faire de manière fiable à grande échelle.
Pour répondre à cette problématique, Google a présenté Certificate Authority Service (CAS), qui est disponible en version bêta, de Google Cloud, un service hautement évolutif et disponible qui simplifie et automatise la gestion et le déploiement des autorités de certification privées tout en répondant aux besoins des développeurs et des applications modernes.
Pour voir comment CAS peut vous aider, Anoosh Saboori, Product Manager Google Cloud, a donné des détails sur les difficultés liées à l’utilisation des certificats. Les certificats privés sont l'un des moyens les plus courants d'authentifier les utilisateurs, les machines ou les services sur les réseaux. Les certificats numériques aident à sécuriser de nombreuses interactions, notamment lorsqu'un utilisateur se connecte à un site Web d'entreprise via HTTPS, lorsqu'un ordinateur portable tente de se connecter à un point d'accès WiFi ou lorsqu'un utilisateur tente de se connecter à son compte de messagerie. Ces certificats sont normalement émis par une autorité de certification (CA) privée qui est hébergée sur site, et ils ont tendance à avoir une date d'expiration qui est dans un avenir lointain (en gros une date d'expiration sur une longue durée) avec un processus d'inscription au certificat spécifique à l'appareil / application.
Un scénario émergent d'utilisation de certificats privés est dans les environnements DevOps pour protéger les conteneurs, les microservices, les machines virtuelles et les comptes de service. Cependant, ces nouveaux cas d'utilisation de certificats privés ont des exigences radicalement différentes. En conséquence, les organisations disposant d'une autorité de certification privée sur site réalisent rapidement les limites de leurs autorités de certification privées existantes pour prendre en charge ces scénarios émergents:
- Des nouveaux cas d'utilisation qui nécessitent des certificats de courte durée qui sont renouvelés fréquemment, qui à leur tour nécessitent une haute disponibilité et une évolutivité de la part de l'autorité de certification. Les solutions CA privées existantes sont insuffisantes. Par exemple, une entreprise peut devoir émettre 10 millions de certificats en un an contre 10 000 pour les appareils IdO.
- Les processus d'inscription de certificats ne prennent pas en charge les API modernes attendues dans les applications modernes et les chaînes d'outils CI / CD, ce qui se traduit par un délai de mise sur le marché plus long et des retards d'adoption et de revenus.
- Une incompatibilité avec les autorités de certification intégrées des fournisseurs de cloud, ce qui fait que les clients perdent un point unique pour la gestion et la surveillance des certificats.
De plus, les organisations qui ont délaissé la construction d'une infrastructure sur site et étaient natives du cloud dès le premier jour (c'est-à-dire qu'elles n'avaient jamais eu à configurer une autorité de certification privée) ont commencé à ressentir un besoin de certificats privés. Les autorités de certification privées sur site existantes ne sont pas compatibles avec les plateformes cloud et ne peuvent pas prendre en charge l'échelle associée aux entreprises et hyperscalers natifs du cloud. La seule option dont disposent ces organisations est de créer leur propre autorité de certification privée.
Ainsi, ils se rendent compte du coût élevé de la mise en place et de la gestion d'une autorité de certification privée (coûts d'infrastructure, de licence et d'exploitation) en plus de l'ensemble de compétences élevé requis pour gérer avec succès une autorité de certification privée, qui n'est pas liée à leur cœur de métier et ne fait qu'allonger leur calendrier de mise sur le marché. Souvent, il est plus facile et plus économique de confier cette tâche à un fournisseur de confiance, idéalement un fournisseur de cloud.
Certificate Authority Service est conçu pour répondre aux besoins traditionnels et émergents. Selon Google, avec CAS vous pouvez configurer une autorité de certification privée en quelques minutes, au lieu des mois nécessaires pour déployer une autorité de certification privée traditionnelle.
CAS vous permet également d'exploiter des API RESTful simples et descriptives pour automatiser entièrement l'acquisition et la gestion des certificats sans être un expert PKI. Vous pouvez utiliser ces API pour l'intégration avec vos outils existants et les canaux CI / CD. De plus, vous pouvez gérer, automatiser et intégrer des autorités de certification privées de la manière qui vous convient le mieux: via les API, la ligne de commande gcloud ou la console cloud.
Anoosh Saboori assure que CAS est un service d'entreprise qui vous permet de:
- Stocker les clés d'autorité de certification privées dans un Cloud HSM validé FIPS 140-2 niveau 3 et disponible dans plusieurs régions des Amériques, d'Europe et d'Asie-Pacifique. Vous pouvez sélectionner la région d’une autorité de certification subordonnée indépendamment de la région de l’autorité de certification racine
- Obtenir des journaux et gagner en visibilité sur qui a fait quoi, quand et où avec Cloud Audit Logs
- Définir des contrôles d'accès granulaires et des périmètres de sécurité virtuels avec Cloud IAM et VPC Service Controls
- D'évoluer en toute confiance en sachant que le service prend en charge jusqu'à 25 requêtes par seconde (QPS) par instance (en mode DevOps), ce qui signifie qu'il peut émettre des millions de certificats. Et il est livré avec un SLA de niveau entreprise (chez GA)
- D'avoir l'assurance que les clés privées de l'autorité de certification sont protégées par des HSM validés FIPS 140-2 niveau 3
- D'apporter votre propre racine: cela permettra aux autorités de certification de s'enchaîner à une racine existante s'exécutant sur site ou n'importe où ailleurs en dehors de Google Cloud.
Google Cloud Platform (GCP) présente donc une Preview de son nouveau service CAS, actuellement en version bêta privée. Les clés privées seront stockées dans le service Cloud Key Management de GCP. Les informations sur les prix n'ont pas été communiquées. Le nouveau service dispose d'une API REST dont la société promet qu'elle permettra aux clients d'acquérir et de gérer des certificats sans être un expert PKI.
AWS dispose déjà d'une autorité de certification privée AWS Certificate Manager, une extension du service AWS Certificate Manager utilisé pour sécuriser les services AWS. Une autorité de certification privée AWS coûte 400 dollars par mois et entre 0,75 dollar et 0,001 dollar par certificat émis, en fonction du volume. AWS vient d'annoncer une amélioration de son service, qui est la prise en charge des points de terminaison PrivateLink, qui vous permettent de conserver le trafic réseau entièrement au sein du réseau AWS.
Google pour sa part a récemment mis au point Private Service Connect, actuellement en version alpha, qui maintient de la même manière le trafic sur le propre réseau de Google, donc en supposant que le nouveau service CAS fonctionne avec Private Service Connect, il pourrait être en mesure de correspondre à cette fonctionnalité.
Mais nous pouvons noter une situation étonnante du côté de Microsoft Azure. Il existe un service CA intégré à Windows Server qui peut être déployé dans une machine virtuelle Azure mais pas de service géré, bien que cela ait été demandé par les clients. Dans son guide pour trouver des services Azure équivalents à ceux sur AWS, Microsoft renvoie les clients à la fonctionnalité de certificat App Service, qui est loin d'être la même chose et fait référence à l'achat automatisé de certificats auprès de GoDaddy.
GCP reste bien derrière Azure en termes de part de marché (les statistiques de l'infrastructure cloud pour le deuxième trimestre étaient publiées à la fin de la semaine dernière) mais dans ce petit domaine, c'est Microsoft qui a maintenant du rattrapage à faire.
Source : Google Certificate Authority Service, Azure (requête des consommateurs, comparaison entre AWS et Azure), AWS, Google Cloud Key Management Service
Voir aussi :
Les dépenses pour les services cloud ont dépassé les 30 milliards de dollars au second trimestre, avec une croissance incrémentale qui continue d'augmenter, rapportent Synergy Research et Canalys
AWS annonce la disponibilité générale d'Amazon Fraud Detector pour identifier en temps réel les fraudes à l'identité et aux paiements en ligne
Cloudflare lance en bêta privée Workers Unbound, une évolution de sa plateforme sans serveur qui vient se positionner comme une alternative à AWS Lambda
Microsoft affiche des résultats du quatrième trimestre de son année fiscale 2020 portée par Azure, la pandémie n'a pratiquement aucun effet négatif sur les performances financières de l'entreprise
Azure Stack HCI (Hyper-converged Infrastructure) v2 est disponible en Preview et permet aux utilisateurs d'exécuter le service sur leurs propres serveurs