مشاركة عبر

استيراد مفتاحك المحمي بواسطة HSM إلى Key Vault (BYOK)

  • مقالة

لضمان إضافي عند استخدام Azure Key Vault، يمكنك استيراد أو إنشاء مفتاح في وحدة أمان الأجهزة (HSM)؛ المفتاح لن يترك حدود (HSM) مُطلقًا. غالبا ما يشار إلى هذا السيناريو خدمة إنشاء مفتاحك(BYOK). يستخدم Key Vault FIPS 140 HSMs التي تم التحقق من صحتها لحماية مفاتيحك.

استخدم المعلومات الواردة في هذه المقالة على كيفية التخطيط لمفاتيحك المحمية بواسطة (HSM) وإنشائها ثم نقلها لاستخدامها مع (Azure Key Vault).

إشعار

هذه الوظيفة غير متوفرة ل Microsoft Azure المشغل بواسطة 21Vianet.

يتوفر أسلوب الاستيراد هذا فقط من أجل HSMs المدعوم.

لمزيد من المعلومات، وللبدء في استخدام البرنامج التعليمي الخاص بكيفية استخدام (Key Vault) (بما في ذلك إنشاء مفتاحك (BYOK) المحمي بواسطة (HSM)) راجع ما المقصود Azure Key Vault ؟.

نظرة عامة

فيما يلي نظرة عامة على العملية. وسيتم وصف الخطوات المحددة لإكمالها لاحقًا في المقالة.

  • في Key Vault، قم بإنشاء مفتاح (يشار إليه باسم Key Exchange Key (KEK)). ينبغي أن يكون KEK مفتاح RSA-HSM الذي يحتوي على import العملية الرئيسية فقط. يدعم Key Vault Premium وHSM المدار مفاتيح RSA-HSM فقط.
  • قم بتنزيل المفتاح العام KEK كملف .pem.
  • انقل مفتاح KEK العام إلى كمبيوتر غير متصل حيث يكون متصلاً بـ HSM محلي.
  • في الكمبيوتر غير المتصل، استخدم أداة BYOK التي يوفرها بائع HSM لإنشاء ملف BYOK.
  • يتم تشفير المفتاح الهدف باستخدام KEK، والذي يظل مشفرًا حتى يتم نقله إلى Key Vault HSM. تترك النسخة المشفرة من مفتاحك HSM الداخلي فقط.
  • لا يمكن تصدير KEK الذي تم إنشاؤه داخل Key Vault HSM. تفرض HSMs القاعدة التي تنص على عدم وجود نسخة واضحة من KEK خارجKey Vault HSM.
  • ينبغي أن يكون KEK في خزنة المفاتيح نفسها حيث سيتم استيراد المفتاح الهدف.
  • وعندما يتم تحميل ملف BYOK إلى Key Vault ، يستخدم Key Vault HSM المفتاح الخاص KEK لفك تشفير مادة المفتاح الهدف واستيرادها كمفتاح HSM. وتحدث هذه العملية بالكامل داخل Key Vault HSM. ويظل المفتاح الهدف دائمًا في حدود حماية HSM.

المتطلبات الأساسية

ويسرد الجدول التالي المتطلبات الأساسية لاستخدام BYOK في Azure Key Vault:

المتطلبات مزيد من المعلومات
اشتراك Azure لإنشاء مخزن مفاتيح في Azure Key Vault، ستحتاج إلى اشتراك Azure. التسجيل للحصول على نسخة تجريبية مجانية.
Key Vault Premium أو HSM مدار لاستيراد مفاتيح محمية بواسطة HSM لمزيد من المعلومات حول مستويات الخدمة والإمكانيات في Azure Key Vault، راجع Key Vault Pricing.
نظام HSM من قائمة HSMs المدعومة وأداة BYOK وإرشادات مقدمة من بائع HSM ينبغي أن يكون لديك أذونات لـHSM ومعرفة أساسية بكيفية استخدام HSM الخاص بك. راجع Supported HSMs.
إصدار Azure CLI 2.1.0 أو الأحدث راجع Install the Azure CLI.

Supported HSMs

اسم المورّد نوع البائع نماذج HSM المدعومة مزيد من المعلومات
التشفير ISV (نظام إدارة مفتاح المؤسسة) العديد من ماركات ونماذج HSM بما في ذلك
  • nCipher
  • Thales
  • Utimaco
راجع موقع Cryptomathic للحصول على التفاصيل
إيداع الشركة المُصنّعة،
HSM كخدمة
  • عائلة nShield من HSM
  • nShield كخدمة
 أداة ووثائق nCipher new BYOK
Fortanix الشركة المُصنّعة،
HSM كخدمة
  • خدمة إدارة المفاتيح ذاتية الدفاع (SDKMS)
  • Equinix SmartKey
 تصدير مفاتيح SDKMS إلى موفري السحابة لـ BYOK - Azure Key Vault
Futurex الشركة المُصنّعة،
HSM كخدمة
  • CryptoHub
  • سحابة CryptoHub
  • سلسلة KMES 3
 دليل تكامل Futurex - Azure Key Vault
IBM الشركة المصنعة IBM 476x, CryptoExpress IBM Enterprise Key Management Foundation
Marvell الشركة المصنعة جميع LiquidSecurity HSMs مع
  • إصدار البرنامج الثابت 2.0.4 أو أقدم
  • إصدار البرنامج الثابت 3.2 أو أحدث
 أداة ووثائق Marvell BYOK
nCipher الشركة المُصنّعة،
HSM كخدمة
  • عائلة nShield من HSM
  • nShield كخدمة
 أداة ووثائق nCipher new BYOK
Securosys SA الشركة المُصنّعة،
HSM كخدمة		 عائلة Primus HSM ،Securosys Clouds HSM أداة ووثائق Primus BYOK
StorMagic ISV (نظام إدارة مفتاح المؤسسة) العديد من ماركات ونماذج HSM بما في ذلك
  • Utimaco
  • Thales
  • nCipher
راجع موقع StorMagic للحصول على التفاصيل 		SvKMS وAzure Key Vault BYOK
Thales الشركة المصنعة
  • عائلة Luna HSM 7 مع إصدار البرنامج الثابت 7.3 أو أحدث
 أداة ووثائق Luna BYOK
Utimaco الشركة المُصنّعة،
HSM كخدمة		 u.trust Anchor, CryptoServer أداة Utimaco BYOK ودليل التكامل

أنواع المفاتيح المدعومة

اسم المفتاح نَوع المفتاح حجم/ منحنى المفتاح الأصل ‏‏الوصف
Key Exchange Key (KEK) RSA 2048 بت
3072 بت
4096 بت		 Azure Key Vault HSM زوج مفاتيح RSA مدعوم من HSM تم إنشاؤه في Azure Key Vault
Target key
RSA 2048 بت
3072 بت
4096 بت		 بائع HSM المفتاح الذي سيتم نقله إلى مفتاح Azure Vault HSM
EC P-256
P-384
P-521		 بائع HSM المفتاح الذي سيتم نقله إلى مفتاح Azure Vault HSM

إنشاء مفتاحك ونقله إلى Key Vault Premium HSM أو HSM المدار

لإنشاء مفتاحك ونقله إلى Key Vault Premium أو HSM المدار:

إنشاء KEK

KEK هو مفتاح RSA يتم إنشاؤه في Key Vault Premium أو HSM المدار. يستخدم KEK لتشفير المفتاح الذي تريد استيراده (target key).

ينبغي أن يكون KEK:

  • مفتاح RSA-HSM (2048 بت، أو 3072 بت، أو 4096 بت)
  • تم إنشاؤه في نفس مخزن المفاتيح حيث تنوي استيراد المفتاح الهدف
  • تم إنشاؤه باستخدام عمليات المفتاح المسموح بها التي تم تعيينها إلى import

إشعار

ينبغي أن يكون لـ KEK "استيراد" باعتباره عملية المفتاح الوحيدة المسموح بها. يعتبر "الاستيراد" حصري بشكل متبادل مع جميع العمليات الرئيسية الأخرى.

استخدم الأمرaz keyvault key create لإنشاء KEK حيث تم تعيين عمليات المفاتيح علي import. سجل معرف المفتاح (kid) الذي تم إرجاعه من الأمر التالي. (ستستخدم القيمة kid في الخطوة 3.)

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM

بالنسبة إلى HSM المدار:

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM

تنزيل المفتاح العام KEK

استخدم تنزيل مفتاح az keyvaultلتنزيل المفتاح العام KEK إلى ملف .pem. تشفير المفتاح المستهدف الذي تقوم باستيراده باستخدام المفتاح العام KEK.

az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

بالنسبة إلى HSM المدار:

az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

نقل الملف KEKforBYOK.publickey.pem إلى الكمبيوتر دون اتصال. ستحتاج إلى هذا الملف في الخطوة التالية.

إنشاء المفتاح الخاص بك وإعداده للنقل

راجع وثائق مورد HSM لتنزيل أداة BYOK وتثبيتها. اتبع الإرشادات من مورد HSM لإنشاء مفتاح مستهدف، ثم قم بإنشاء حزمة نقل مفتاح (ملف BYOK). ستستخدم الأداة BYOK kid من الخطوة 1 وملف KEKforBYOK.publickey.pem الذي قمت بتنزيله في الخطوة 2 لإنشاء مفتاح مستهدف مشفر في ملف BYOK.

قم بنقل الملف BYOK إلى الكمبيوتر المتصل.

إشعار

استيراد مفاتيح RSA 1024 بت غير مدعوم. يتم دعم استيراد مفتاح منحنى القطع الناقص مع منحنى P-256K.

المشكلة المعروفة: يتم دعم استيراد المفتاح المستهدف RSA 4K من Luna HSMs فقط مع البرامج الثابتة 7.4.0 أو أحدث.

نقل مفتاحك إلى Azure Key Vault

لإكمال استيراد المفتاح، قم بنقل حزمة نقل المفتاح (ملف BYOK) من الكمبيوتر الذي تم قطع الاتصال به إلى الكمبيوتر المتصل بالإنترنت. استخدم الأمر az keyvault key importلتحميل ملف BYOK إلى مفتاحVault HSM.

لاستيراد أمر اتباع استخدام مفتاح RSA. المعلمة --kty اختيارية وإعدادات افتراضية إلى 'RSA-HSM'.

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

ل HSM المدار

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

لاستيراد مفتاح EC، يجب تحديد نوع المفتاح واسم المنحنى.

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

ل HSM المدار

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok

إذا كان التحميل ناجحا، يعرض Azure CLI خصائص المفتاح المستورد.

الخطوات التالية

يمكنك الآن استخدام هذا المفتاح المحمي بواسطة HSM في خزنة المفاتيح الخاصة بك. لمزيد من المعلومات، راجع مقارنة الأسعار والميزات هذه.