產業訊息

// November 25,2020

Google推雲端憑證頒發機構服務,支援物聯網與容器等大規模使用情境

Google新推出了雲端憑證頒發機構服務(Certificate Authority Service,CAS),這是一個可高度擴展的服務,用來簡化和自動化私有CA的管理和部署,滿足新型應用的需要。

數位憑證是許多連網裝置和服務,進行授權和身份驗證的常用方法之一,包括當用戶透過HTTPS連接到企業網站,或是當筆電嘗試連接企業無線網路存取點時,數位憑證能夠提升互動的安全性,而這些憑證通常是由本地託管的私有CA頒發,其提供的憑證目的是用來註冊特定裝置和應用程式,因此有效期限通常很長。

而最近CA開始有一些新用法,Google觀察到有越來越多組織,想在DevOps和裝置管理中,使用公鑰基礎設施(Public Key Infrastructure,PKI),特別是在物聯網應用方面,但是Google表示,PKI難以配置CA是其根本性的問題,更別說大規模運作。

要在DevOps環境中使用私有憑證,是一種新興的憑證使用案例,要使用憑證保護容器、微服務、虛擬機器和服務帳戶,需求與過去的CA用法截然不同,新的使用案例需要頻繁地更新憑證,憑證有效期短暫,而現有的私有CA解決方案能力不足,過去企業一年可能僅需要頒發1萬張憑證,但是處理物聯網裝置一年可能需要頒發1,000萬張憑證。

過去的憑證註冊流程也不支援新型應用程式,以及CI/CD工具鏈,而且也可能和雲端供應商內建的CA不相容,因此用戶也無法一致地管理和監控憑證,現在有許多雲端原生的企業,應用程式從第一天就上雲,因此也不需要自建CA服務,即便有私有憑證的需求,現有的解決方案也都與雲端平臺不相容,無法支援雲端規模的應用。

Google新推出的CAS,便是要來消弭這個需求缺口,讓企業不需要自建私有CA,Google提到,使用CAS,使用者只需要花數分鐘,就能從雲端控制台或gcloud命令列工具,建立起專用的CA。且用戶還可以利用描述性RESTful API,讓應用程式自動化獲取和管理憑證,並整合到現有的CI/CD通道。

文章轉載:ithome