Importare le chiavi con protezione HSM in HSM gestito (BYOK)
Il modulo di protezione hardware (HSM) gestito di Azure Key Vault supporta l'importazione delle chiavi generate nel modulo di protezione hardware (HSM) locale; le chiavi non usciranno mai dal limite di sicurezza del modulo di protezione hardware. Questo scenario viene spesso definito BYOK (Bring Your Own Key). Per proteggere le chiavi, il modulo di protezione hardware gestito usa le schede HSM Marvell LiquidSecurity (convalidate in base agli standard FIPS 140-2 livello 3).
Questo articolo include informazioni utili per pianificare, generare e trasferire le proprie chiavi con protezione HSM da usare con il modulo di protezione hardware gestito.
Nota
Questa funzionalità non è disponibile per Microsoft Azure gestito da 21Vianet. Questo metodo di importazione è disponibile solo per i moduli di protezione hardware supportati.
Per altre informazioni e per un'esercitazione per iniziare a usare il modulo di protezione hardware gestito, vedere Che cos'è il modulo di protezione hardware gestito?.
Panoramica
Ecco una panoramica del processo. I passaggi specifici da completare sono illustrati più avanti nell'articolo.
- Nel modulo di protezione hardware gestito, generare una chiave, definita chiave per lo scambio delle chiavi (KEK, Key Exchange Key). La chiave KEK deve essere una chiave RSA-HSM che ha solo l'operazione
importdella chiave. - Scaricare la chiave pubblica KEK come file PEM.
- Trasferire la chiave pubblica KEK in un computer offline connesso a un modulo di protezione hardware locale.
- Nel computer offline usare lo strumento BYOK fornito dal fornitore del modulo di protezione hardware per creare un file BYOK.
- La chiave di destinazione è crittografata con una chiave KEK, che rimane crittografata fino al trasferimento nel modulo di protezione hardware gestito. Solo la versione crittografata della chiave esce dal modulo di protezione hardware locale.
- Una chiave KEK generata all'interno di un modulo di protezione hardware gestito non è esportabile. I moduli di protezione hardware impongono la regola in base alla quale non esistono versioni non crittografate di una chiave KEK all'esterno di un modulo di protezione hardware gestito.
- La chiave KEK deve trovarsi nello stesso HSM gestito in cui verrà importata la chiave di destinazione.
- Quando il file BYOK viene caricato nel modulo di protezione hardware gestito, un modulo di protezione hardware gestito usa la chiave privata KEK per decrittografare il materiale della chiave di destinazione e importarla come chiave del modulo di protezione hardware. Questa operazione viene eseguita interamente in un modulo di protezione hardware. La chiave di destinazione rimane sempre entro i limiti di protezione del modulo di protezione hardware.
Prerequisiti
Per usare i comandi dell'interfaccia della riga di comando di Azure in questo articolo, sono necessari gli elementi seguenti:
- Un abbonamento a Microsoft Azure. Se non si ha una sottoscrizione, è possibile iscriversi per ottenere una versione di valutazione gratuita.
- Interfaccia della riga di comando di Azure versione 2.12.0 o successiva. Eseguire
az --versionper trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure. - Un modulo di protezione hardware gestito elenco di moduli di protezione hardware supportati nella sottoscrizione. Vedere Avvio rapido: Effettuare il provisioning e attivare un modulo di protezione hardware gestito usando l'interfaccia della riga di comando di Azure per effettuare il provisioning e attivare un modulo di protezione hardware gestito.
Azure Cloud Shell
Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice contenuto in questo articolo senza dover installare strumenti nell'ambiente locale.
Per avviare Azure Cloud Shell:
| Opzione | Esempio/Collegamento |
|---|---|
| Selezionare Prova nell'angolo superiore destro di un blocco di codice o di comando. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell. |  |
| Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser. |  |
| Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure. |  |
Per usare Azure Cloud Shell:
Avviare Cloud Shell.
Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.
Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux o selezionando CMD+MAIUSC+V in macOS.
Premere Invio per eseguire il codice o il comando.
Per accedere ad Azure usando l'interfaccia della riga di comando, digitare:
az login
Per altre informazioni sulle opzioni di accesso con l'interfaccia della riga di comando, vedere Accedere con l'interfaccia della riga di comando di Azure
Moduli di protezione hardware supportati
| Nome fornitore | Tipo di fornitore | Modelli di moduli di protezione hardware supportati | Ulteriori informazioni |
|---|---|---|---|
| Cryptomathic | ISV (Enterprise Key Management System) | Più marchi e modelli di moduli di protezione hardware, tra cui
|
|
| Affidare | Produttore, modulo di protezione hardware come servizio |
|
Nuovo strumento BYOK e documentazione di nCipher |
| Fortanix | Produttore, modulo di protezione hardware come servizio |
|
Esportazione di chiavi SDKMS nei provider di servizi cloud per BYOK - Azure Key Vault |
| IBM | Produttore | IBM 476x, CryptoExpress | IBM Enterprise Key Management Foundation |
| Marvell | Produttore | Moduli di protezione hardware di All LiquidSecurity con
|
Strumento BYOK e documentazione di Marvell |
| Securosys SA | Produttore, modulo di protezione hardware come servizio | Famiglia di moduli di protezione hardware Primus, Securosys Clouds HSM | Strumento BYOK e documentazione di Primus |
| StorMagic | ISV (Enterprise Key Management System) | Più marchi e modelli di moduli di protezione hardware, tra cui
|
SvKMS e BYOK di Azure Key Vault |
| Thales | Produttore |
|
Strumento BYOK e documentazione di Luna |
| Utimaco | Produttore, modulo di protezione hardware come servizio |
u.trust Anchor, CryptoServer | Guida all'integrazione e agli strumenti BYOK di Utimaco |
Tipi di chiave supportati
| Nome chiave | Tipo di chiave | Dimensioni/curva chiave | Origine | Descrizione |
|---|---|---|---|---|
| Chiave KEK (Key Exchange Key) | RSA-HSM | A 2.048 bit A 3.072 bit A 4.096 bit |
Modulo di protezione hardware gestito | Coppia di chiavi RSA supportata da modulo di protezione hardware generata nel modulo di protezione hardware gestito |
| Chiave di destinazione | ||||
| RSA-HSM | A 2.048 bit A 3.072 bit A 4.096 bit |
Modulo di protezione hardware del fornitore | Chiave da trasferire nel modulo di protezione hardware gestito | |
| EC-HSM | P-256 P-384 P-521 |
Modulo di protezione hardware del fornitore | Chiave da trasferire nel modulo di protezione hardware gestito | |
| Chiave simmetrica (oct-hsm) | 128 bit 192 bit 256 bit |
Modulo di protezione hardware del fornitore | Chiave da trasferire nel modulo di protezione hardware gestito | |
Generare e trasferire la chiave al modulo di protezione hardware gestito
Passaggio 1: Generare una chiave KEK
Una chiave KEK è una chiave RSA generata in un modulo di protezione hardware gestito. La chiave KEK viene usata per crittografare la chiave da importare, ovvero la chiave di destinazione.
La chiave KEK deve essere:
- Una chiave RSA-HSM (a 2.048 bit, a 3.072 bit o a 4.096 bit)
- Generata nello stesso HSM gestito in cui si vuole importare la chiave di destinazione
- Creata con operazioni di chiave consentite impostate su
import
Nota
La chiave KEK deve avere 'import' come unica operazione di chiave consentita. L'operazione 'import' e tutte le altre operazioni delle chiavi si escludono a vicenda.
Usare il comando az keyvault key create per creare una chiave KEK con operazioni della chiave impostate su import. Registrare l'identificatore della chiave (kid) restituito dal comando seguente. Il valore kid verrà usato nel Passaggio 3.
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM
Passaggio 2: Scaricare la chiave pubblica della chiave KEK
Usare az keyvault key download per scaricare la chiave pubblica KEK in un file PEM. La chiave di destinazione importata viene crittografata mediante la chiave pubblica KEK.
az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Trasferire il file KEKforBYOK.publickey.pem nel computer offline. Questo file sarà necessario nel passaggio successivo.
Passaggio 3: Generare e preparare la chiave per il trasferimento
Vedere la documentazione del fornitore del modulo di protezione hardware per scaricare e installare lo strumento BYOK. Seguire le istruzioni del fornitore del modulo di protezione hardware per generare una chiave di destinazione e quindi creare il pacchetto di trasferimento della chiave, ovvero un file BYOK. Lo strumento BYOK userà il valore kid dal Passaggio 1 e il file KEKforBYOK.publickey.pem scaricato nel Passaggio 2 per generare una chiave di destinazione crittografata in un file BYOK.
Trasferire il file BYOK nel computer connesso.
Nota
L'importazione delle chiavi RSA a 1.024 bit non è supportata. È supportata l'importazione di chiavi EC-HSM P256K.
Problema noto: l'importazione di una chiave di destinazione RSA 4K da moduli di protezione hardware Luna è supportata solo con firmware 7.4.0 o versione successiva.
Passaggio 4: Trasferire la chiave al modulo di protezione hardware gestito
Per completare l'importazione della chiave, trasferire il pacchetto di trasferimento della chiave, ovvero un file BYOK, dal computer disconnesso al computer connesso a Internet. Usare il comando az keyvault key import per caricare il file BYOK nel modulo di protezione hardware gestito.
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Se il caricamento ha esito positivo, l'interfaccia della riga di comando di Azure mostrerà le proprietà della chiave importata.
Passaggi successivi
È ora possibile usare questa chiave HSM protetta nel modulo di protezione hardware gestito. Per altre informazioni, vedere questo confronto tra prezzi e funzionalità.