Importare le chiavi con protezione HSM in HSM gestito (BYOK)

Azure Key Vault Managed HSM supporta l'importazione di chiavi generate nel modulo di sicurezza hardware locale( HSM). Le chiavi non lasceranno mai il limite di protezione HSM. Questo scenario viene spesso definito BYOK (Bring Your Own Key). Per proteggere le chiavi, il modulo di protezione hardware gestito usa le schede HSM Marvell LiquidSecurity (convalidate in base agli standard FIPS 140-2 livello 3).

Usare le informazioni contenute in questo articolo per pianificare, generare e trasferire chiavi protette da HSM personalizzate da usare con Managed HSM.

Nota

Questa funzionalità non è disponibile per Azure Cina 21Vianet. Questo metodo di importazione è disponibile solo per i moduli di protezione hardware supportati.

Per altre informazioni e per un'esercitazione per iniziare a usare Managed HSM, vedere What is Managed HSM?.

Panoramica

Ecco una panoramica del processo. I passaggi specifici da completare sono illustrati più avanti nell'articolo.

  • Nel modulo di protezione hardware gestito generare una chiave (definita chiave di scambio delle chiavi (KEK) . La chiave KEK deve essere una chiave RSA-HSM che ha solo l'operazione import della chiave.
  • Scaricare la chiave pubblica KEK come file PEM.
  • Trasferire la chiave pubblica KEK in un computer offline connesso a un modulo di protezione hardware locale.
  • Nel computer offline usare lo strumento BYOK fornito dal fornitore del modulo di protezione hardware per creare un file BYOK.
  • La chiave di destinazione viene crittografata con una chiave KEK, che rimane crittografata finché non viene trasferita al modulo di protezione hardware gestito. Solo la versione crittografata della chiave esce dal modulo di protezione hardware locale.
  • Un keK generato all'interno di un modulo di protezione hardware gestito non è esportabile. Le macchine virtuali applicano la regola che non esiste una versione chiara di un keK all'esterno di un modulo di protezione hardware gestito.
  • KeK deve trovarsi nello stesso modulo di protezione hardware gestito in cui verrà importata la chiave di destinazione.
  • Quando il file BYOK viene caricato in Managed HSM, un HSM gestito usa la chiave privata KEK per decrittografare il materiale della chiave di destinazione e importarlo come chiave HSM. Questa operazione si verifica interamente all'interno del modulo di protezione hardware. La chiave di destinazione rimane sempre entro i limiti di protezione del modulo di protezione hardware.

Prerequisiti

Per usare i comandi dell'interfaccia della riga di comando di Azure in questo articolo, sono necessari gli elementi seguenti:

Azure Cloud Shell

Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi Cloud Shell preinstallati per eseguire il codice in questo articolo, senza dover installare alcun elemento nell'ambiente locale.

Per avviare Azure Cloud Shell:

Opzione Esempio/Collegamento
Selezionare Prova nell'angolo in alto a destra di un codice o di un blocco di comandi. Selezionando Prova non copia automaticamente il codice o il comando in Cloud Shell. Screenshot che mostra un esempio di Prova per Azure Cloud Shell.
Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser. Screenshot che mostra come avviare Cloud Shell in una nuova finestra.
Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure. Screenshot che mostra il pulsante Cloud Shell nel portale di Azure

Per usare Azure Cloud Shell:

  1. Avviare Cloud Shell.

  2. Selezionare il pulsante Copia in un blocco di codice (o blocco di comandi) per copiare il codice o il comando.

  3. Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux oppure selezionando Cmd+Maiusc+V in macOS.

  4. Selezionare Invio per eseguire il codice o il comando.

Per accedere ad Azure usando l'interfaccia della riga di comando è possibile digitare:

az login

Per altre informazioni sulle opzioni di accesso con l'interfaccia della riga di comando, vedere Accedere con l'interfaccia della riga di comando di Azure

Moduli di protezione hardware supportati

Nome del fornitore Tipo di fornitore Modelli di moduli di protezione hardware supportati Ulteriori informazioni
Cryptomathic ISV (Enterprise Key Management System) Più marchi e modelli di moduli di protezione hardware, tra cui
  • nCipher
  • Thales
  • Utimaco
Per dettagli, vedere il sito di Cryptomathic
Strumento BYOK e documentazione di Cryptomathic
Affidare Produttore,
modulo di protezione hardware come servizio
  • Famiglia di moduli di protezione hardware nShield
  • nShield come servizio
Nuovo strumento BYOK e documentazione di nCipher
Fortanix Produttore,
modulo di protezione hardware come servizio
  • Self-Defending Key Management Service (SDKMS)
  • Equinix SmartKey
Esportazione di chiavi SDKMS nei provider di servizi cloud per BYOK - Azure Key Vault
IBM Produttore IBM 476x, CryptoExpress IBM Enterprise Key Management Foundation
Marvell Produttore Moduli di protezione hardware di All LiquidSecurity con
  • Firmware con versione 2.0.4 o successiva
  • Firmware con versione 3.2 o successiva
Strumento BYOK e documentazione di Marvell
Securosys SA Produttore, modulo di protezione hardware come servizio Famiglia di moduli di protezione hardware Primus, Securosys Clouds HSM Strumento BYOK e documentazione di Primus
StorMagic ISV (Enterprise Key Management System) Più marchi e modelli di moduli di protezione hardware, tra cui
  • Utimaco
  • Thales
  • nCipher
Per dettagli, vedere il sito di StorMagic
SvKMS e BYOK di Azure Key Vault
Thales Produttore
  • Famiglia di prodotti Luna HSM 7 con firmware con versione 7.3 o successiva
Strumento BYOK e documentazione di Luna
Utimaco Produttore,
modulo di protezione hardware come servizio
u.trust Anchor, CryptoServer Guida per l'integrazione e lo strumento Utimaco BYOK

Tipi di chiave supportati

Nome della chiave Tipo di chiave Dimensione chiave/curva Origine Descrizione
Chiave KEK (Key Exchange Key) RSA-HSM A 2.048 bit
A 3.072 bit
A 4.096 bit
Modulo di protezione hardware gestito Coppia di chiavi RSA supportata da HSM generata in Managed HSM
Chiave di destinazione
RSA-HSM A 2.048 bit
A 3.072 bit
A 4.096 bit
Modulo di protezione hardware del fornitore Chiave da trasferire nel modulo di protezione hardware gestito
EC-HSM P-256
P-384
P-521
Modulo di protezione hardware del fornitore Chiave da trasferire nel modulo di protezione hardware gestito
Chiave simmetrica (oct-hsm) 128 bit
192 bit
256 bit
Modulo di protezione hardware del fornitore Chiave da trasferire nel modulo di protezione hardware gestito

Generare e trasferire la chiave nel modulo di protezione hardware gestito

Per generare e trasferire la chiave in un modulo di protezione hardware gestito:

Passaggio 1: Generare una chiave KEK

Una chiave KEK è una chiave RSA generata in un modulo di protezione hardware gestito. La chiave KEK viene usata per crittografare la chiave da importare, ovvero la chiave di destinazione.

La chiave KEK deve essere:

  • Una chiave RSA-HSM (a 2.048 bit, a 3.072 bit o a 4.096 bit)
  • Generato nello stesso modulo di protezione hardware gestito in cui si intende importare la chiave di destinazione
  • Creata con operazioni di chiave consentite impostate su import

Nota

La chiave KEK deve avere 'import' come unica operazione di chiave consentita. L'operazione 'import' e tutte le altre operazioni delle chiavi si escludono a vicenda.

Usare il comando az keyvault key create per creare una chiave KEK con operazioni della chiave impostate su import. Registrare l'identificatore della chiave (kid) restituito dal comando seguente. Il valore kid verrà usato nel Passaggio 3.

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM

Passaggio 2: Scaricare la chiave pubblica KEK

Usare az keyvault key download per scaricare la chiave pubblica KEK in un file PEM. La chiave di destinazione importata viene crittografata mediante la chiave pubblica KEK.

az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

Trasferire il file KEKforBYOK.publickey.pem nel computer offline. Questo file sarà necessario nel passaggio successivo.

Passaggio 3: Generare e preparare la chiave per il trasferimento

Vedere la documentazione del fornitore del modulo di protezione hardware per scaricare e installare lo strumento BYOK. Seguire le istruzioni del fornitore del modulo di protezione hardware per generare una chiave di destinazione e quindi creare il pacchetto di trasferimento della chiave, ovvero un file BYOK. Lo strumento BYOK userà il valore kid dal Passaggio 1 e il file KEKforBYOK.publickey.pem scaricato nel Passaggio 2 per generare una chiave di destinazione crittografata in un file BYOK.

Trasferire il file BYOK nel computer connesso.

Nota

L'importazione delle chiavi RSA a 1.024 bit non è supportata. Non è attualmente supportata l'importazione di una chiave a curva ellittica (EC).

Problema noto: l'importazione di una chiave di destinazione RSA 4K da moduli di protezione hardware di Luna è supportata solo con firmware 7.4.0 o versioni successive.

Passaggio 4: Trasferire la chiave nel modulo di protezione hardware gestito

Per completare l'importazione della chiave, trasferire il pacchetto di trasferimento della chiave, ovvero un file BYOK, dal computer disconnesso al computer connesso a Internet. Usare il comando az keyvault key import per caricare il file BYOK nel modulo di protezione hardware gestito.

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Se il caricamento ha esito positivo, l'interfaccia della riga di comando di Azure mostrerà le proprietà della chiave importata.

Passaggi successivi

È ora possibile usare questa chiave protetta da HSM nel modulo di protezione hardware gestito. Per altre informazioni, vedere questo confronto tra prezzi e funzionalità.