Google Cloud認証局サービス(CAS)は、自動でプライベート証明書を管理およびデプロイし、公開鍵インフラストラクチャ(PKI)を管理するためのスケーラブルなサービスだ。先月、Googleはこのサービスの一般提供(GA)を発表した。
昨年8月、同社はクラウドベースのCASを公開プレビューとして開始した。これによって、顧客が公開鍵インフラストラクチャに必要なデジタル証明書を設定できるようになった。それ以来、いくつかの顧客がID管理やデジタル署名サービスの作成など、さまざまなユースケースでこのサービスを使用してきた。さらに、既存のパートナーであるVenafiとAppViewxに続いて、新たにKeyfactor、Jetstack、Smallstepの3社がCASパートナーシッププログラムに参加した。
出典 (スクリーンショット): https://www.youtube.com/watch?v=5Ni0EhJlae8
GAリリースに伴い、Googleは次のような新たな機能もいくつか追加した。
- CAローテーション - GoogleはGAにCAプールと呼ばれる新機能を追加した。これにより、同じ受信リクエストキューにサービスを提供するCAをグループ化できる。そのため、CAローテーションは、ワークロードやクライアントコードを変更せずに、新しいCAをプールに追加し、古いCAをプールから削除することで実現できる。
- ポリシーの拡張。ユーザごとのグループポリシーを定義できるようになる。つまり、管理者は、発行された証明書のパラメーターを(一部またはすべて)指定し、すべての発行された証明書に適用される証明書テンプレートを定義できる。
- サービスを構成および管理するためのGoogle Cloud CAS用のTerraformプロバイダ。
- JetStackとのコラボレーションによるcert-manager.ioとの統合。
- ポリシーのソースとして使用できるHashicorp Vaultプラグイン。そして、証明書の発行者としてGoogle Cloud CAS。
- CAS Qwiklabを利用する顧客向けのクイックセットアップガイド。
Constellation Research Inc.の主席アナリスト兼副社長であるHolger Mueller氏は、CASの必要性について次のように説明している。
現代のデジタル経済は繋がっています。安全に接続するには、接続を検証する必要があります。残念ながら、関連する証明書の作成は、オンプレミスで運用する場合、企業にとって面倒なことです。拡張性があり、安全で、24時間年中無休で利用できる必要があります。これは、クラウドサービスに対する要望と見ることができます。GoogleがGAとなるCASで提供します。さて、すべての新しいクラウドサービスと同じように、どのように採用されるかを確認する必要があります。
さらに、パートナーのKeyfactorでシニア製品マーケティングマネージャのRyan Sanders氏は、ブログ投稿に次のように書いている。
ハイブリッドおよびマルチクラウドインフラストラクチャの時代に成功するには、ITチームとセキュリティチームは、PKIのデプロイ方法とデジタル証明書の管理方法を真剣に再考する必要があります。成功の秘訣は、すべてのプラットフォームとデバイスにわたる証明書管理のための、シンプルで反復可能なプロセスなのです。
GAリリースでは、このサービスはさまざまなリージョンで利用でき、今後さらに広がる予定である。さらに、SLAとして、証明書作成のためにリージョンごとに99.9%の可用性を提供している。価格は「従量制」モデルである。ISO 27001、27017、27018、SOC1、SOC2、SOC3、BSIC5などの国際規格に準拠している。