Import klíčů chráněných HSM do služby Key Vault (BYOK)
Pro zvýšení záruky při použití služby Azure Key Vault můžete importovat nebo generovat klíč v modulu hardwarového zabezpečení (HSM); klíč nikdy neopustí hranice HSM. Tento scénář se často označuje jako přineste si vlastní klíč (BYOK). Key Vault používá k ochraně vašich klíčů ověřené moduly HSM FIPS 140.
Informace v tomto článku vám pomůžou s plánováním, generováním a přenosem vlastních klíčů chráněných modulem HSM pro použití se službou Azure Key Vault.
Poznámka:
Tato funkce není k dispozici pro Microsoft Azure provozovanou společností 21Vianet.
Tato metoda importu je dostupná jenom pro podporované moduly HSM.
Další informace a kurz, jak začít používat službu Key Vault (včetně postupu vytvoření trezoru klíčů pro klíče chráněné HSM), najdete v tématu Co je Azure Key Vault?.
Přehled
Tady je přehled procesu. Konkrétní kroky k dokončení jsou popsány dále v článku.
- Ve službě Key Vault vygenerujte klíč (označovaný jako klíč KEK (Key Exchange Key). Klíč KEK musí být klíč RSA-HSM, který má pouze
importoperaci klíče. Klíče RSA-HSM podporují pouze Key Vault Premium a spravované HSM. - Stáhněte si veřejný klíč KEK jako soubor .pem.
- Přeneste veřejný klíč KEK do offline počítače, který je připojený k místnímu HSM.
- V offline počítači vytvořte soubor BYOK pomocí nástroje BYOK poskytnutého dodavatelem HSM.
- Cílový klíč se zašifruje pomocí klíče KEK, který zůstane zašifrovaný, dokud se nepřenese do modulu HSM služby Key Vault. Místní HSM ponechá jenom zašifrovaná verze vašeho klíče.
- Klíč KEK vygenerovaný v modulu HSM služby Key Vault není možné exportovat. Moduly hardwarového zabezpečení (HSM) vynucují pravidlo, že neexistuje žádná jasná verze klíče KEK mimo modul hardwarového zabezpečení služby Key Vault.
- Klíč KEK musí být ve stejném trezoru klíčů, ve kterém se cílový klíč naimportuje.
- Když se soubor BYOK nahraje do služby Key Vault, hsM služby Key Vault použije privátní klíč KEK k dešifrování materiálu cílového klíče a jeho importu jako klíče HSM. K této operaci dochází zcela uvnitř HSM služby Key Vault. Cílový klíč vždy zůstává v hranici ochrany HSM.
Požadavky
Následující tabulka uvádí požadavky pro použití BYOK ve službě Azure Key Vault:
| Požadavek | Více informací |
|---|---|
| Předplatné Azure | K vytvoření trezoru klíčů ve službě Azure Key Vault potřebujete předplatné Azure. Zaregistrujte si bezplatnou zkušební verzi. |
| Key Vault Premium nebo spravovaný HSM pro import klíčů chráněných HSM | Další informace o úrovních služeb a možnostech ve službě Azure Key Vault najdete v tématu Ceny služby Key Vault. |
| HsM ze seznamu podporovaných modulů HSM a nástroje BYOK a pokynů poskytovaných dodavatelem HSM | Musíte mít oprávnění pro HSM a základní znalosti o tom, jak hsm používat. Viz podporované moduly HSM. |
| Azure CLI verze 2.1.0 nebo novější | Viz Instalace Azure CLI. |
Podporované moduly HSM
| Název dodavatele | Typ dodavatele | Podporované modely HSM | Více informací |
|---|---|---|---|
| Cryptomathic | ISV (Enterprise Key Management System) | Několik značek a modelů HSM včetně
|
|
| Svěřit | Výrobce HSM jako služba |
|
nCipher new BYOK tool and documentation |
| Fortanix | Výrobce HSM jako služba |
|
Export klíčů SDKMS do poskytovatelů cloudu pro BYOK – Azure Key Vault |
| Futurex | Výrobce HSM jako služba |
|
Průvodce integrací futurexu – Azure Key Vault |
| IBM | Výrobce | IBM 476x, CryptoExpress | IBM Enterprise Key Management Foundation |
| Marvell | Výrobce | Všechny moduly HSM LiquidSecurity s využitím
|
Marvell BYOK nástroj a dokumentace |
| nCipher | Výrobce HSM jako služba |
|
nCipher new BYOK tool and documentation |
| Securosys SA | Výrobce HSM jako služba |
Řada HSM Primus, Securosys Clouds HSM | Nástroj a dokumentace k Primus BYOK |
| StorMagic | ISV (Enterprise Key Management System) | Několik značek a modelů HSM včetně
|
SvKMS a BYOK služby Azure Key Vault |
| Thales | Výrobce |
|
Luna BYOK – nástroj a dokumentace |
| Utimaco | Výrobce HSM jako služba |
u.trust Anchor, CryptoServer | Nástroj Utimaco BYOK a průvodce integrací |
Podporované typy klíčů
| Název klíče | Typ klíče | Velikost klíče/křivka | Zdroj | Popis |
|---|---|---|---|---|
| Klíč výměny klíčů (KEK) | RSA | 2 048 bitů 3 072 bitů 4 096 bitů |
Azure Key Vault HSM | Pár klíčů RSA založený na HSM vygenerovaný ve službě Azure Key Vault |
| Cílový klíč | ||||
| RSA | 2 048 bitů 3 072 bitů 4 096 bitů |
Modul hardwarového zabezpečení (HSM dodavatele) | Klíč, který se má přenést do HSM služby Azure Key Vault | |
| EC | P-256 P-384 P-521 |
Modul hardwarového zabezpečení (HSM dodavatele) | Klíč, který se má přenést do HSM služby Azure Key Vault | |
Generování a přenos klíče do HSM služby Key Vault Premium nebo spravovaného HSM
Generování a přenos klíče do služby Key Vault Premium nebo spravovaného HSM:
- Krok 1: Vygenerování klíče KEK
- Krok 2: Stažení veřejného klíče KEK
- Krok 3: Vygenerování a příprava klíče na přenos
- Krok 4: Přenos klíče do služby Azure Key Vault
Vygenerování klíče KEK
Klíč KEK je klíč RSA vygenerovaný ve službě Key Vault Úrovně Premium nebo spravovaném HSM. Klíč KEK se používá k šifrování klíče, který chcete importovat ( cílový klíč).
Klíč KEK musí být následující:
- Klíč RSA-HSM (2 048bitový, 3 072bitový nebo 4 096bitový)
- Vygenerováno ve stejném trezoru klíčů, ve kterém chcete importovat cílový klíč.
- Vytvořeno s povolenými operacemi s klíči nastavenými na
import
Poznámka:
Klíč KEK musí mít jako jedinou povolenou operaci klíče import. "import" se vzájemně vylučují se všemi ostatními operacemi s klíči.
Pomocí příkazu az keyvault key create vytvořte klíč KEK, který má klíčové operace nastavené na import. Poznamenejte si identifikátor klíče (kid), který se vrátí z následujícího příkazu. (Použijete kid hodnotu v kroku 3.)
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM
Pro spravované HSM:
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM
Stažení veřejného klíče KEK
Pomocí příkazu az keyvault key download stáhněte veřejný klíč KEK do souboru .pem. Cílový klíč, který importujete, je šifrovaný pomocí veřejného klíče KEK.
az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Pro spravované HSM:
az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Přeneste soubor KEKforBYOK.publickey.pem do offline počítače. Tento soubor budete potřebovat v dalším kroku.
Vygenerování a příprava klíče na přenos
Informace o stažení a instalaci nástroje BYOK najdete v dokumentaci dodavatele HSM. Postupujte podle pokynů od dodavatele HSM a vygenerujte cílový klíč a pak vytvořte balíček pro přenos klíčů (soubor BYOK). Nástroj BYOK použije kid soubor KEKforBYOK.publickey.pem, který jste stáhli v kroku 2, a vygeneruje šifrovaný cílový klíč v souboru BYOK.
Přeneste soubor BYOK do připojeného počítače.
Poznámka:
Import 1 024bitových klíčů RSA se nepodporuje. Import klíče elliptické křivky s křivkou P-256K je podporován.
Známý problém: Import cílového klíče RSA 4K z lunárních HSM se podporuje jenom s firmwarem 7.4.0 nebo novějším.
Přenos klíče do služby Azure Key Vault
Pokud chcete dokončit import klíče, přeneste balíček pro přenos klíčů (soubor BYOK) z odpojeného počítače do počítače připojeného k internetu. Pomocí příkazu az keyvault key import nahrajte soubor BYOK do HSM služby Key Vault.
K importu klíče RSA použijte následující příkaz. Parametr --kty je volitelný a výchozí hodnota je RSA-HSM.
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Pro spravované HSM
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Chcete-li importovat klíč EC, je nutné zadat typ klíče a název křivky.
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Pro spravované HSM
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok
Pokud je nahrávání úspěšné, Azure CLI zobrazí vlastnosti importovaného klíče.
Další kroky
Teď můžete v trezoru klíčů použít tento klíč chráněný modulem HSM. Další informace najdete v tomto porovnání cen a funkcí.