Google新推出了云计算凭证颁发机构服务(Certificate Authority Service,CAS),这是一个可高度扩展的服务,用来简化和自动化私有CA的管理和部署,满足新型应用的需要。
数字凭证是许多联网设备和服务,进行授权和身份验证的常用方法之一,包括当用户通过HTTPS连接到企业网站,或是当笔记本尝试连接企业无线网络访问点时,数字凭证能够提升交互的安全性,而这些凭证通常是由本地托管的私有CA颁发,其提供的凭证目的是用来注册特定设备和应用程序,因此有有效期限通常很长。
而最近CA开始有一些新用法,Google观察到有越来越多组织,想在DevOps和设备管理中,使用公钥基础设施(Public Key Infrastructure,PKI),特别是在物联网应用方面,但是Google表示,PKI难以配置CA是其根本性的问题,更别说大规模运行。
要在DevOps环境中使用私有凭证,是一种新兴的凭证使用案例,要使用凭证保护容器、微服务、虚拟机和服务账户,需求与过去的CA用法截然不同,新的使用案例需要频繁地更新凭证,凭证有有效期短暂,而现有的私有CA解决方案能力不足,过去企业一年可能仅需要颁发1万张凭证,但是处理物联网设备一年可能需要颁发1,000万张凭证。
过去的凭证注册流程也不支持新型应用程序,以及CI/CD工具链,而且也可能和云计算供应商内置的CA不兼容,因此用户也无法一致地管理和监控凭证,现在有许多云计算原生的企业,应用程序从第一天就上云,因此也不需要自建CA服务,即便有私有凭证的需求,现有的解决方案也都与云计算平台不兼容,无法支持云计算规模的应用。
而Google新推出的CAS,便是要来消弭这个需求缺口,让企业不需要自建私有CA,Google提到,使用CAS,用户只需要花数分钟,就能从云计算控制台或gcloud命令行工具,创建起专用的CA。且用户还可以利用描述性RESTful API,让应用程序自动化获取和管理凭证,并集成到现有的CI/CD信道。