This is not an officially supported Google product. This code creates PoC demo environment for CSA Certificate Authority Service demo. This demo code is not built for production workload.
يتيح دليل البنية هذا نشرًا مبسطًا وآمنًا لخدمة المرجع المصدق (CAS). يقوم بإنشاء مرجع مصدق جذر مع مرجعين مصدقين تابعين وشهادة طرفية واحدة. تتوفر المراجع المصدقة هذه بدرجة كبيرة، وقابلة للتطوير، وسهلة الصيانة، مما يتيح لك إنشاء بنية أساسية خاصة للمفتاح العام (PKI) لتأكيد الهويات عبر الشهادات وإنشاء جذر الثقة عبر أعباء العمل لديك.
بينما يركز دليل البنية هذا على النشر الكامل لـ CAS - يُشار إليه بالبنية 1 في الشكل أدناه (على سبيل المثال، حيث تتم استضافة جميع المراجع المصدقة في Google Cloud) - فإن CAS مرنة للغاية وتمكن مؤسستك من إنشاء بنية PKI خاصة في مجموعة متنوعة بطرق مختلفة كما هو موضح في الرسم البياني أدناه.
سنقدم أيضًا تفاصيل حول كيفية استخدام CSR (طلب توقيع الشهادة) لتنفيذ البنية المختلطة، والتي يمكن أن تتواجد فيها المراجع المصدقة خارج Google Cloud Platform (البنيات رقم 2-3).
خدمة المرجع المصدق (CAS) - خدمة المرجع المصدق هي خدمة Google Cloud متاحة للغاية وقابلة للتطوير، وتمكنك من تبسيط وأتمتة وتخصيص نشر وإدارة وأمان المراجع المصدقة الخاصة (CA).
خدمة إدارة المفاتيح (KMS) - تسمح لك خدمة إدارة المفاتيح السحابية بإنشاء واستيراد وإدارة مفاتيح التشفير وتنفيذ عمليات التشفير في خدمة سحابية مركزية واحدة. يمكنك استخدام هذه المفاتيح وتنفيذ هذه العمليات باستخدام Cloud KMS مباشرةً، أو باستخدام Cloud HSM أو Cloud External Key Manager، أو باستخدام عمليات تكامل مفاتيح التشفير المُدارة بواسطة العميل (CMEK) ضمن خدمات Google Cloud الأخرى.
Google Cloud Storage (GCS) - Cloud Storage هي خدمة مُدارة لتخزين البيانات غير المنظمة. قم بتخزين أي كمية من البيانات واسترجعها كلما أردت ذلك.
عند تصميم PKI مع GCP CAS، يجب أن تؤخذ الحدود التالية في الاعتبار بالإضافة إلى الحصص والحد والقيود المعروفة:
الموارد | وحدة | قيمة |
---|---|---|
في انتظار المراجع المصدقة 1 | لكل موقع لكل مشروع | 100 |
المراجع المصدقة | لكل موقع لكل مشروع | 1000 |
2- الشهادات الملغاة غير منتهية الصلاحية | لكل CA أو قائمة إبطال الشهادات (CRL) | 500000 |
1 المرجع المصدق المعلق (CA) هو مرجع مصدق ثانوي تم إنشاؤه ولكن لم يتم تنشيطه بعد، وبالتالي فهو في حالة AWAITING_USER_ACTIVATION.
يمكن أن يحتوي 2 CRL على 500000 شهادة ملغاة غير منتهية الصلاحية على الأكثر. إذا حاولت إلغاء أكثر من هذا الحد، فسيفشل طلب الإلغاء. إذا كنت بحاجة إلى إلغاء أكثر من 500000 شهادة، فنوصيك بالانتظار حتى انتهاء صلاحية الشهادات الملغاة الموجودة أو إلغاء شهادة CA المُصدرة.
##تعليمات تيرافورم:
قم بتسجيل الدخول إلى مؤسستك وقم بتعيين دور مسؤول خدمة CA ودور مسؤول Cloud KMS لنفسك في المشروع الذي سيتم استخدامه للنشر.
إذا كان هناك حاجة إلى إنشاء مشروع جديد وتمكين الفوترة. اتبع الخطوات الواردة في هذا الدليل.
افتح Cloud Shell وقم باستنساخ مستودع git التالي باستخدام الأمر أدناه:
git clone https://github.com/GCP-Architecture-Guides/csa-certificate-authority-service.git
انتقل إلى المجلد csa-certificate-authority-service.
cd csa-certificate-authority-service</th>
قم بتصدير معرف المشروع في متغير Terraform
export TF_VAR_demo_project_id=[YOUR_PROJECT_ID]
أثناء وجودك في مجلد خدمة csa-certificate-authority-service، قم بتشغيل الأوامر أدناه بالترتيب.
terraform init terraform plan terraform apply
إذا طُلب منك ذلك، قم بتفويض استدعاء API.
بمجرد الانتهاء من النشر، سيتم نشر ملخص مخرجات الأصول المنظمة. وينشر الموارد في غضون خمس دقائق.
بعد إكمال العرض التوضيحي، انتقل إلى مجلد خدمة سلطة الشهادة وقم بتشغيل الأمر أدناه لتدمير جميع موارد العرض التوضيحي.
terraform destroy
##ملخص تيرافورم:
حمام سباحة | كاليفورنيا | صحة | ولاية | اسم الموضوع | منطقة | الطبقة |
---|---|---|---|---|---|---|
التجريبي الجذر تجمع | جذر CA | 10 سنوات | ممكّن | المنظمة: تجريبي كاليفورنيا CN: تجريبي معرف المورد: [افتراضي] | us-central1 (أيوا) | مَشرُوع |
العرض التجريبي الفرعي | CA الفرعي مع CA الجذر في Google Cloud | 3 سنوات | ممكّن | المنظمة: تجريبي كاليفورنيا CN: تجريبي معرف المورد: [افتراضي] | us-central1 (أيوا) | مَشرُوع |
العرض التجريبي الفرعي-2 | CA الفرعي مع CA الجذر في Google Cloud | 3 سنوات | ممكّن | المنظمة: تجريبي كاليفورنيا CN: تجريبي معرف المورد: [افتراضي] | لنا الشرق 1 | مَشرُوع |
حمام سباحة | طرق المسؤولية الاجتماعية للشركات المقبولة | المفاتيح والخوارزميات المسموح بها | حجم المفتاح والخوارزمية | خيارات النشر | القيم الأساسية التي تم تكوينها | قيود الامتداد التي تم تكوينها | قيود الهوية التي تم تكوينها |
---|---|---|---|---|---|---|---|
التجريبي الجذر تجمع | السماح للجميع | لا قيود | RSA_PKCS1_4096_SHA256 | إلى دلو GCS بتنسيق PEM | لا أحد | انسخ جميع الملحقات من طلبات الشهادات | انسخ الموضوع وشبكة (SAN) من طلبات الشهادات |
العرض التجريبي الفرعي | السماح للجميع | لا قيود | RSA_PKCS1_4096_SHA256 | إلى دلو GCS بتنسيق PEM | لا أحد | انسخ جميع الملحقات من طلبات الشهادات | انسخ الموضوع وشبكة (SAN) من طلبات الشهادات |
العرض التجريبي الفرعي-2 | السماح للجميع | لا قيود | RSA_PKCS1_4096_SHA256 | إلى دلو GCS بتنسيق PEM | لا أحد | انسخ جميع الملحقات من طلبات الشهادات | انسخ الموضوع وشبكة (SAN) من طلبات الشهادات |
أفضل الممارسات لخدمة المرجع المصدق
تشتمل خدمة المرجع المصدق في Google Cloud على العديد من متطلبات التسجيل والمراقبة لضمان أمان الخدمة وتكاملها. وتشمل هذه المتطلبات ما يلي:
تسجيل التدقيق: يتم تسجيل عمليات السجل التي يتم تنفيذها على الخدمة، مثل إصدار الشهادة وتجديدها وإبطالها، ويمكن للعملاء تدقيقها.
إشعارات الأحداث: يمكن للعملاء تلقي إشعارات للأحداث المهمة، مثل انتهاء صلاحية الشهادة، عبر البريد الإلكتروني أو من خلال خطاف على الويب.
شفافية الشهادة: يتم تسجيل جميع الشهادات الصادرة في سجلات الشفافية، مما يسمح بمراجعة إصدار الشهادات وإبطالها.
مراقبة الأمان والتوفر: تقوم فرق الأمن والعمليات بمراقبة الخدمة باستمرار بحثًا عن التهديدات الأمنية المحتملة ومشكلات التوفر.
الامتثال: تتوافق خدمة المرجع المصدق في Google Cloud مع المعايير المختلفة التي تحدد متطلبات الأمان والتشغيل لمراجع التصديق.
بشكل عام، تهدف متطلبات التسجيل والمراقبة هذه إلى تزويد العملاء بالشفافية والرؤية للخدمة، مع ضمان أمان الخدمة وتوافرها أيضًا.
تكتب خدمات Google Cloud سجلات التدقيق لمساعدتك في الإجابة على الأسئلة، "من فعل ماذا وأين ومتى؟" ضمن موارد Google Cloud الخاصة بك.
تتوفر الأنواع التالية من سجلات التدقيق لخدمة CA:
سجلات تدقيق نشاط المشرف
يتضمن عمليات "كتابة المسؤول" التي تكتب بيانات التعريف أو معلومات التكوين.
لا يمكنك تعطيل سجلات تدقيق نشاط المشرف.
سجلات تدقيق الوصول إلى البيانات
يتضمن عمليات "قراءة المشرف" التي تقرأ بيانات التعريف أو معلومات التكوين. يتضمن أيضًا عمليات "قراءة البيانات" و"كتابة البيانات" التي تقرأ أو تكتب البيانات المقدمة من المستخدم.
لتلقي سجلات تدقيق الوصول إلى البيانات، يجب تمكينها بشكل صريح.
للحصول على سجلات تدقيق محددة تم إنشاؤها بواسطة خدمة المرجع المصدق، يرجى الرجوع.
يتم تمكين سجلات تدقيق نشاط المسؤول دائمًا؛ لا يمكنك تعطيلها.
يتم تعطيل سجلات تدقيق الوصول إلى البيانات بشكل افتراضي ولا تتم كتابتها ما لم يتم تمكينها بشكل صريح.
للحصول على معلومات حول تمكين بعض أو كل سجلات تدقيق الوصول إلى البيانات، راجع تمكين سجلات تدقيق الوصول إلى البيانات.
في وحدة تحكم Google Cloud، يمكنك استخدام Logs Explorer لاسترداد إدخالات سجل التدقيق لمشروعك أو مجلدك أو مؤسستك على Cloud:
في وحدة تحكم Google Cloud، انتقل إلى صفحة التسجيل> مستكشف السجلات.
حدد مشروعًا أو مجلدًا أو مؤسسة موجودة على السحابة الإلكترونية.
في جزء منشئ الاستعلام، قم بما يلي:
protoPayload.serviceName="privateca.googleapis.com"
يمكن استخدام المراقبة السحابية لمراقبة العمليات التي يتم إجراؤها على الموارد في خدمة المرجع المصدق.
استخدم الإرشادات التالية لتمكين التنبيهات الموصى بها.
انتقل إلى صفحة نظرة عامة على خدمة CA في وحدة تحكم Google Cloud.
في الجزء العلوي الأيسر من صفحة النظرة العامة، انقر فوق + 5 التنبيهات الموصى بها .
تمكين أو تعطيل كل تنبيه، وقراءة الوصف الخاص به.
تدعم بعض التنبيهات الحدود المخصصة. على سبيل المثال، يمكنك تحديد متى تريد أن يتم تنبيهك بشأن شهادة CA منتهية الصلاحية، أو معدل الخطأ للمعدل المرتفع لحالات فشل إنشاء الشهادة.
جميع التنبيهات تدعم قنوات الإشعارات.
انقر فوق إرسال بمجرد تمكين جميع التنبيهات المطلوبة.
توثيق سياسات وقوالب الشهادات
قيود الهوية
قيود التمديد
شروط الاستخدام الرئيسية
معرفات السياسة
ملحقات
للتخفيف من مخاطر إساءة الاستخدام، يجب مراجعة سياسات الشهادات للتأكد من أن القوالب لديها وظائف معتمدة ومحددة
إنشاء خطة الاستجابة للتسوية CA
تثقيف جميع أصحاب المصلحة
قم بمراجعة سياسات الأمان والاتصالات الخاصة بـ CA سنويًا على الأقل
إنشاء خطط CA الاحتياطية
المراجع المصدقة للمخزون
تحقق من استخدام المراجع المصدقة المعتمدة فقط
تأكد من الثقة بالجذور المعتمدة فقط
المراجع المصدقة الجذرية للمخزون الموثوق بها في أنظمة الطرف المعتمد
قم بمراجعة الأذونات الخاصة بقوالب الشهادات الموجودة والتحقق منها
فرض التحقق من الإلغاء على أنظمة الطرف المعتمد
تمكين سجلات التدقيق والتنبيهات
تحديد التسوية بناءً على تصميم التنبيهات وإعداد التقارير
تكوين فهم واضح لما حدث
من كشف الحادثة.
إذا كان متوفرا، من مرتكب الحادث.
عندما تم اختراق CA.
حيث وقعت الحادثة.
ما هي الجذور والمراجع المصدقة الفرعية وعدد شهادات المستخدم النهائي المتأثرة بالحادث.
السبب الكامن وراء الحادث.
ما هي التدابير العلاجية التي تم اتخاذها أو سيتم اتخاذها لمعالجة السبب الكامن وراء الحادث.
قائمة الشهادات والمجالات المشاركة في الاختراق.
كيف تم الكشف عن الحادثة؟
وصف تفصيلي للاستغلال.
تفاصيل حول البنية التحتية التي تم اختراقها.
تفاصيل حول كيفية اختراق البنية التحتية.
تسلسل زمني مفصل للأحداث.
هل تم اكتشاف الثغرة الأمنية من خلال العمليات العادية؟ إذا لم يكن كذلك، لماذا؟
هل تم اكتشاف الثغرة الأمنية في أحدث عملية تدقيق؟ إذا كانت الإجابة بنعم، فهل تم علاج الثغرة الأمنية؟ إذا لم تتم معالجة الثغرة الأمنية، فلماذا لا؟
هل تم الكشف عن هذه الثغرة الأمنية من خلال عملية التدقيق الأخيرة؟ إذا لم يكن الأمر كذلك، يرجى توضيح السبب.
ما هي التغييرات في السياسة التي يجب القيام بها؟
أي معلومات أخرى مناسبة.
تفعيل فريق الاستجابة للحوادث
احتواء وعزل بيئة CA المتأثرة أ. لتعطيل CA من القدرة على إصدار الشهادات، قم بالرجوع إلى
وضع خطة لتوصيل التأثير وتخفيف الخطوة التالية إلى أصحاب المصلحة المتأثرين (داخليًا / خارجيًا)
بعد الانتهاء من التحقيق والتحقق من الاحتواء، قم بما يلي:
إبطال وإعادة تعيين بيانات الاعتماد لأي هويات مخترقة تم تعيينها لدور يوفر أذونات مرتفعة للمراجع المصدقة والسياسات/القوالب المرتبطة بها.reference-1 وreference-2
قم بإلغاء المراجع المصدقة المخترقة والشهادات المرتبطة بها وقم بإنشاء مرجع CAs جديد
أضف إلى حالة CRL/التحديث في OCSP Responder (إذا لم يكن تلقائيًا) لإخطار الموضوعات والأطراف المعتمدة والبائعين
قم بإلغاء الشهادات الموجودة وأعد إصدار الشهادات من مرجع CAs الجديد
إزالة/استبدال شهادات الجذر
التحقق من تمكين التحقق من الإلغاء على أنظمة الطرف المعتمد
التحقق من صحة استبدال الشهادات والجذر
تتبع والإبلاغ عن التقدم المحرز
يرجى الاطلاع على التكلفة الشهرية المقدرة لتشغيل بيئة العرض التوضيحي هذه أدناه. لاحظ أنه تم تقدير ذلك في وقت إنشاء النمط، وقد يتغير التقدير بمرور الوقت وقد يختلف حسب المنطقة، يرجى مراجعة تكلفة كل مورد في Google Cloud Pricing Calculator.
ديف أوبس SKU | رمز التخزين التعريفي للمؤسسة | |
---|---|---|
رسوم CA الشهرية | 20 دولارًا | 200 دولار |
رسوم الشهادة | 0-50 ألف @ 0.3 دولار 50 ألف - 100 ألف @ 0.03 دولار 100 ألف+ @ 0.0009 دولار التدرج عبر CAs | 0-50 ألف @ 0.5 دولار 50 ألف - 100 ألف @ 0.05 دولار 100 ألف+ @ 0.001 دولار التدرج عبر CAs |
دعم HSM لمفتاح CA | ||
مفتاح BYO CA | X | |
الشهادات المتعقبة والإلغاء | X | |
QPS | 25 | 7 |
الأمثل ل... | حجم مرتفع، قصير العمر | حجم منخفض، عمر طويل |
نظرة عامة على CAS
تقديم مدونة CAS
مقاطع فيديو تعليمية لـ CAS
CAS جيثب الريبو