HSM által védett kulcsok importálása a Key Vaultba (BYOK)
Az Azure Key Vault használatakor hozzáadott biztosítékért importálhat vagy létrehozhat egy kulcsot egy hardveres biztonsági modulban (HSM); a kulcs soha nem hagyja el a HSM határát. Ezt a forgatókönyvet gyakran saját kulcs (BYOK) alkalmazásának is nevezik. A Key Vault FIPS 140 hitelesített HSM-eket használ a kulcsok védelméhez.
A cikkben található információk segítségével megtervezheti, létrehozhatja és átviheti saját HSM által védett kulcsait az Azure Key Vaulttal való használatra.
Feljegyzés
Ez a funkció nem érhető el a 21Vianet által üzemeltetett Microsoft Azure-ban.
Ez az importálási módszer csak támogatott HSM-ekhez érhető el.
További információkért és a Key Vault használatának első lépéseiről (beleértve a HSM által védett kulcsok kulcstartójának létrehozását is) szóló oktatóanyagért tekintse meg az Azure Key Vault használatát ismertető témakört.
Áttekintés
Íme a folyamat áttekintése. A konkrét lépéseket a cikk későbbi részében ismertetjük.
- A Key Vaultban hozzon létre egy kulcsot (más néven kulcscserekulcsot (KEK). A KEK-nek olyan RSA-HSM-kulcsnak kell lennie, amely csak a
importkulcsművelettel rendelkezik. Csak a Key Vault Premium és a felügyelt HSM támogatja az RSA-HSM-kulcsokat. - Töltse le a KEK nyilvános kulcsát .pem fájlként.
- A KEK nyilvános kulcs átvitele egy helyszíni HSM-hez csatlakoztatott offline számítógépre.
- Az offline számítógépen a HSM-szállító által biztosított BYOK eszközzel hozzon létre EGY BYOK-fájlt.
- A célkulcs egy KEK-vel van titkosítva, amely titkosítva marad, amíg át nem kerül a Key Vault HSM-be. Csak a kulcs titkosított verziója hagyja el a helyszíni HSM-et.
- A Key Vault HSM-ben létrehozott KEK nem exportálható. A HSM-ek kényszerítik azt a szabályt, amely szerint a KEK nem létezik a Key Vault HSM-en kívül.
- A KEK-nek ugyanabban a kulcstartóban kell lennie, ahol a célkulcs importálva lesz.
- Amikor a BYOK-fájlt feltölti a Key Vaultba, a Key Vault HSM a KEK titkos kulcsával fejti vissza a célkulcs anyagát, és HSM-kulcsként importálja. Ez a művelet teljes egészében a Key Vault HSM-ben történik. A célkulcs mindig a HSM védelmi határán marad.
Előfeltételek
Az alábbi táblázat a BYOK Azure Key Vaultban való használatának előfeltételeit sorolja fel:
| Követelmény | További információ |
|---|---|
| Azure-előfizetés | A kulcstartó Azure Key Vaultban való létrehozásához Azure-előfizetésre van szükség. Regisztráljon egy ingyenes próbaverzióra. |
| Prémium szintű Key Vault vagy felügyelt HSM A HSM által védett kulcsok importálásához | Az Azure Key Vault szolgáltatási szintjeiről és képességeiről további információt a Key Vault díjszabásában talál. |
| HSM a támogatott HSM-listából, valamint egy BYOK-eszköz és a HSM-szállító utasításai | Rendelkeznie kell a HSM-hez szükséges engedélyekkel és a HSM használatának alapszintű ismeretével. Lásd a támogatott HSM-eket. |
| Az Azure CLI 2.1.0-s vagy újabb verziója | Lásd: Az Azure CLI telepítése. |
Támogatott HSM-k
| Szállító neve | Szállító típusa | Támogatott HSM-modellek | További információ |
|---|---|---|---|
| Cryptomathic | ISV (vállalati kulcskezelő rendszer) | Több HSM-márka és modell, köztük
|
|
| Bízza | Gyártó HSM mint szolgáltatás |
|
n Az új BYOK-eszköz és dokumentáció titkosítása |
| Fortanix | Gyártó HSM mint szolgáltatás |
|
SDKMS-kulcsok exportálása felhőszolgáltatókba BYOK-hoz – Azure Key Vault |
| IBM | Gyártó | IBM 476x, CryptoExpress | IBM Enterprise Key Management Foundation |
| Marvell | Gyártó | Minden LiquidSecurity HSM és
|
Marvell BYOK eszköz és dokumentáció |
| nCipher | Gyártó HSM mint szolgáltatás |
|
n Az új BYOK-eszköz és dokumentáció titkosítása |
| Securosys SA | Gyártó HSM mint szolgáltatás |
Primus HSM-család, Securosys Clouds HSM | Primus BYOK eszköz és dokumentáció |
| StorMagic | ISV (vállalati kulcskezelő rendszer) | Több HSM-márka és modell, köztük
|
SvKMS és Azure Key Vault BYOK |
| Thales | Gyártó |
|
Luna BYOK eszköz és dokumentáció |
| Utimaco | Gyártó HSM mint szolgáltatás |
u.trust Anchor, CryptoServer | Utimaco BYOK eszköz és integrációs útmutató |
Támogatott kulcstípusok
| Kulcs neve | Kulcs típusa | Kulcsméret/görbe | Eredet | Leírás |
|---|---|---|---|---|
| Kulcscserekulcs (KEK) | RSA | 2048 bites 3072 bites 4096 bites |
Azure Key Vault HSM | Az Azure Key Vaultban létrehozott HSM-alapú RSA-kulcspár |
| Célkulcs | ||||
| RSA | 2048 bites 3072 bites 4096 bites |
Szállítói HSM | Az Azure Key Vault HSM-be továbbítandó kulcs | |
| EC | P-256 P-384 P-521 |
Szállítói HSM | Az Azure Key Vault HSM-be továbbítandó kulcs | |
Kulcs létrehozása és átvitele a Key Vault Premium HSM-be vagy felügyelt HSM-be
Kulcs létrehozása és átvitele a Key Vault Premium vagy felügyelt HSM-hez:
- 1. lépés: KEK létrehozása
- 2. lépés: A KEK nyilvános kulcsának letöltése
- 3. lépés: Kulcs létrehozása és előkészítése az átvitelhez
- 4. lépés: A kulcs átvitele az Azure Key Vaultba
KEK létrehozása
A KEK egy RSA-kulcs, amely a Key Vault Premium vagy felügyelt HSM-ben jön létre. A KEK az importálni kívánt kulcs (a célkulcs ) titkosítására szolgál.
A KEK-nek a következőnek kell lennie:
- RSA-HSM-kulcs (2048 bites; 3072 bites; vagy 4096 bites)
- Ugyanabban a kulcstartóban jön létre, amelyben importálni szeretné a célkulcsot
- A következőre beállított engedélyezett kulcsműveletekkel létrehozva:
import
Feljegyzés
A KEK-nek csak "importálás" engedélyezett kulcsművelettel kell rendelkeznie. Az "importálás" az összes többi kulcsfontosságú művelettel kölcsönösen kizárja egymást.
Az az keyvault key create paranccsal hozzon létre egy olyan KEK-t, amelynek kulcsműveleteinek értéke a importkövetkező. Jegyezze fel a következő parancsból visszaadott kulcsazonosítót (kid). (A 3. lépésben szereplő értéket fogja használnikid.)
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM
Felügyelt HSM esetén:
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM
A KEK nyilvános kulcsának letöltése
Az az keyvault key download használatával töltse le a KEK nyilvános kulcsát egy .pem fájlba. Az importált célkulcs titkosítása a KEK nyilvános kulcsával történik.
az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Felügyelt HSM esetén:
az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Vigye át a KEKforBYOK.publickey.pem fájlt az offline számítógépre. A következő lépésben szüksége lesz erre a fájlra.
Kulcs létrehozása és előkészítése az átvitelhez
A BYOK eszköz letöltéséhez és telepítéséhez tekintse meg a HSM-gyártó dokumentációját. Kövesse a HSM-szállító utasításait egy célkulcs létrehozásához, majd hozzon létre egy kulcsátviteli csomagot (egy BYOK-fájlt). A BYOK eszköz az kid 1. lépésből származó és a 2. lépésben letöltött KEKforBYOK.publickey.pem fájlt fogja használni egy titkosított célkulcs létrehozásához egy BYOK-fájlban.
A BYOK-fájl átvitele a csatlakoztatott számítógépre.
Feljegyzés
Az 1024 bites RSA-kulcsok importálása nem támogatott. A P-256K görbével rendelkező elliptikus görbekulcs importálása támogatott.
Ismert probléma: Az RSA 4K célkulcs luna HSM-ekből való importálása csak a 7.4.0-s vagy újabb belső vezérlőprogrammal támogatott.
A kulcs átvitele az Azure Key Vaultba
A kulcsimportálás befejezéséhez vigye át a kulcsátviteli csomagot (egy BYOK-fájlt) a leválasztott számítógépről az internetkapcsolattal rendelkező számítógépre. Az az keyvault key import paranccsal töltse fel a BYOK-fájlt a Key Vault HSM-be.
RSA-kulcs importálásához használja a következő parancsot. A --kty paraméter nem kötelező, alapértelmezett értéke pedig az "RSA-HSM".
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Felügyelt HSM esetén
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Ec-kulcs importálásához meg kell adnia a kulcs típusát és a görbe nevét.
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Felügyelt HSM esetén
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok
Ha a feltöltés sikeres, az Azure CLI megjeleníti az importált kulcs tulajdonságait.
Következő lépések
Most már használhatja ezt a HSM által védett kulcsot a kulcstartóban. További információkért tekintse meg ezt az árat és a funkciók összehasonlítását.