HSM által védett kulcsok importálása a felügyelt HSM-be (BYOK)
Az Azure Key Vault felügyelt HSM támogatja a helyszíni hardveres biztonsági modulban (HSM) létrehozott kulcsok importálását; a kulcsok soha nem hagyják el a HSM védelmi határát. Ezt a forgatókönyvet gyakran saját kulcs ( BYOK) néven is említik. A Managed HSM a (3. szintű FIPS 140-2 szerint érvényesített) Marvell LiquidSecurity HSM-adaptereket használják a kulcsok védelméhez.
A cikkben található információk segítségével megtervezheti, létrehozhatja és átadhatja saját HSM által védett kulcsait a felügyelt HSM-hez való használathoz.
Megjegyzés
Ez a funkció nem érhető el az Azure China 21Vianethez. Ez az importálási módszer csak támogatott HSM-ekhez érhető el.
További információkért és a felügyelt HSM használatának első lépéseit ismertető oktatóanyagért lásd : Mi a felügyelt HSM?.
Áttekintés
Íme a folyamat áttekintése. A konkrét lépéseket a cikk későbbi részében ismertetjük.
- A felügyelt HSM-ben hozzon létre egy kulcsot (más néven kulcscserekulcsot (KEK). A KEK-nek olyan RSA-HSM-kulcsnak kell lennie, amely csak a
importkulcsművelettel rendelkezik. - Töltse le a KEK nyilvános kulcsot .pem fájlként.
- Helyezze át a KEK nyilvános kulcsot egy helyszíni HSM-hez csatlakoztatott offline számítógépre.
- Az offline számítógépen a HSM-szállító által biztosított BYOK eszközzel hozzon létre EGY BYOK-fájlt.
- A célkulcsot egy KEK titkosítja, amely addig titkosítva marad, amíg át nem kerül a felügyelt HSM-be. Csak a kulcs titkosított verziója hagyja el a helyszíni HSM-et.
- A felügyelt HSM-ben létrehozott KEK nem exportálható. A HSM-ek kikényszeríti azt a szabályt, amely szerint a KEK nem létezik egy felügyelt HSM-en kívül.
- A KEK-nek ugyanabban a felügyelt HSM-ben kell lennie, ahol a célkulcsot importálni fogja.
- Amikor a BYOK-fájlt feltölti a felügyelt HSM-be, a felügyelt HSM a KEK titkos kulcsával fejti vissza a célkulcs anyagát, és HSM-kulcsként importálja. Ez a művelet teljes egészében a HSM-ben történik. A célkulcs mindig a HSM védelmi határán marad.
Előfeltételek
A cikkben szereplő Azure CLI-parancsok használatához a következő elemeknek kell rendelkezniük:
- Egy Microsoft Azure-előfizetésre. Ha még nincs fiókja, regisztráljon egy ingyenes próbaverzióra.
- Az Azure CLI 2.12.0-s vagy újabb verziója. A verzió azonosításához futtassa a következőt:
az --version. Ha telepíteni vagy frissíteni szeretne, olvassa el az Azure CLI telepítését ismertető cikket. - Felügyelt HSM az előfizetésben támogatott HSM-lista . Lásd : Rövid útmutató: Felügyelt HSM kiépítése és aktiválása az Azure CLI használatával felügyelt HSM kiépítéséhez és aktiválásához.
Azure Cloud Shell
Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsokkal futtathatja a kódot ebben a cikkben anélkül, hogy bármit telepítenie kellene a helyi környezetben.
Az Azure Cloud Shell indítása:
| Beállítás | Példa/hivatkozás |
|---|---|
| Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőséget választva nem másolja automatikusan a kódot vagy a parancsot a Cloud Shell. |  |
| Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben. |  |
| Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra. |  |
Az Azure Cloud Shell használata:
Indítsa el a Cloud Shellt.
A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).
Illessze be a kódot vagy parancsot a Cloud Shell munkamenetbe a Windows és Linux rendszeren a Ctrl+Shift+V, macOS rendszeren pedig a Cmd+Shift+V billentyűkombinációval.
A kód vagy parancs futtatásához válassza az Enter lehetőséget.
Ha a parancssori felülettel szeretne bejelentkezni az Azure-ba, írja be a következőt:
az login
A cli-n keresztüli bejelentkezési lehetőségekről további információt az Azure CLI-vel való bejelentkezéssel kapcsolatban talál.
Támogatott HSM-ek
| Szállító neve | Szállító típusa | Támogatott HSM-modellek | További információ |
|---|---|---|---|
| Kriptográfiai | ISV (vállalati kulcskezelő rendszer) | Több HSM-márka és modell, köztük
|
Cryptomathic BYOK eszköz és dokumentáció |
| Bízza | Gyártó HSM szolgáltatásként |
|
n Az új BYOK eszköz és dokumentáció titkosítása |
| Fortanix | Gyártó HSM szolgáltatásként |
|
SDKMS-kulcsok exportálása felhőszolgáltatókba BYOK-hoz – Azure Key Vault |
| IBM | Gyártó | IBM 476x, CryptoExpress | IBM Enterprise Key Management Foundation |
| Marvell | Gyártó | Minden LiquidSecurity HSM
|
Marvell BYOK eszköz és dokumentáció |
| Securosys SA | Gyártó, HSM mint szolgáltatás | Primus HSM-család, Securosys Clouds HSM | Primus BYOK eszköz és dokumentáció |
| StorMagic | ISV (vállalati kulcskezelő rendszer) | Több HSM-márka és modell, köztük
|
SvKMS és Azure Key Vault BYOK |
| Thales | Gyártó |
|
Luna BYOK eszköz és dokumentáció |
| Utimaco | Gyártó HSM szolgáltatásként |
u.trust Anchor, CryptoServer | Utimaco BYOK eszköz és integrációs útmutató |
Támogatott kulcstípusok
| Kulcs neve | Kulcs típusa | Kulcsméret/görbe | Forrás | Description |
|---|---|---|---|---|
| Kulcscserekulcs (KEK) | RSA-HSM | 2048 bites 3072 bites 4096 bites |
Managed HSM | A felügyelt HSM-ben létrehozott HSM-alapú RSA-kulcspár |
| Célkulcs | ||||
| RSA-HSM | 2048 bites 3072 bites 4096 bites |
SzállítóI HSM | A felügyelt HSM-be átvitt kulcs | |
| EC-HSM | P-256 P-384 P-521 |
SzállítóI HSM | A felügyelt HSM-be átvitt kulcs | |
| Szimmetrikus kulcs (okt-hsm) | 128 bites 192 bites 256 bites |
SzállítóI HSM | A felügyelt HSM-be átvitt kulcs | |
Kulcs létrehozása és átvitele a felügyelt HSM-be
Kulcs létrehozása és átvitele felügyelt HSM-be:
- 1. lépés: KEK létrehozása
- 2. lépés: A KEK nyilvános kulcsának letöltése
- 3. lépés: Kulcs létrehozása és előkészítése az átvitelhez
- 4. lépés: A kulcs átvitele felügyelt HSM-be
1. lépés: KEK létrehozása
A KEK egy felügyelt HSM-ben létrehozott RSA-kulcs. A KEK az importálni kívánt kulcs (a célkulcs ) titkosítására szolgál.
A KEK-nek a következőnek kell lennie:
- RSA-HSM-kulcs (2048 bites; 3072 bites; vagy 4096 bites)
- Ugyanabban a felügyelt HSM-ben jön létre, ahol importálni szeretné a célkulcsot
- Engedélyezett kulcsműveletekkel létrehozva:
import
Megjegyzés
A KEK-nek csak "importálás" engedélyezett kulcsműveletként kell rendelkeznie. Az "importálás" kölcsönösen kizárja az összes többi kulcsfontosságú műveletet.
Az az keyvault key create paranccsal hozzon létre egy olyan KEK-t, amelynek kulcsművelete a következőre importvan állítva: . Jegyezze fel a következő parancsból visszaadott kulcsazonosítót (kid). (Az értéket a kid3. lépésben fogja használni.)
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM
2. lépés: A KEK nyilvános kulcsának letöltése
Az az keyvault key download paranccsal töltse le a KEK nyilvános kulcsát egy .pem fájlba. Az importált célkulcs titkosítása a KEK nyilvános kulcsával történik.
az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Vigye át a KEKforBYOK.publickey.pem fájlt az offline számítógépre. A következő lépésben szüksége lesz erre a fájlra.
3. lépés: Kulcs létrehozása és előkészítése az átvitelhez
A BYOK eszköz letöltéséhez és telepítéséhez tekintse meg a HSM-gyártó dokumentációját. Kövesse a HSM-szállító utasításait egy célkulcs létrehozásához, majd hozzon létre egy kulcsátviteli csomagot (egy BYOK-fájlt). A BYOK eszköz az kid1. lépésből származó és a 2. lépésben letöltött KEKforBYOK.publickey.pem fájlt fogja használni egy titkosított célkulcs BYOK-fájlban való létrehozásához.
A BYOK-fájl átvitele a csatlakoztatott számítógépre.
Megjegyzés
Az RSA 1024 bites kulcsok importálása nem támogatott. Jelenleg a három pontból álló görbe (EC) kulcs importálása nem támogatott.
Ismert probléma: Az RSA 4K célkulcs Luna HSM-ekből való importálása csak a 7.4.0-s vagy újabb belső vezérlőprogrammal támogatott.
4. lépés: A kulcs átvitele felügyelt HSM-be
A kulcsimportálás befejezéséhez vigye át a kulcsátviteli csomagot (egy BYOK-fájlt) a leválasztott számítógépről az internetkapcsolattal rendelkező számítógépre. Az az keyvault key import paranccsal töltse fel a BYOK-fájlt a felügyelt HSM-be.
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Ha a feltöltés sikeres, az Azure CLI megjeleníti az importált kulcs tulajdonságait.
Következő lépések
Most már használhatja ezt a HSM által védett kulcsot a felügyelt HSM-ben. További információkért tekintse meg ezt az ár- és funkció-összehasonlítást.