Importowanie kluczy chronionych przez moduł HSM do usługi Key Vault (BYOK)
Aby zapewnić dodatkową pewność podczas korzystania z usługi Azure Key Vault, możesz zaimportować lub wygenerować klucz w sprzętowym module zabezpieczeń (HSM); klucz nigdy nie opuści granicy modułu HSM. Ten scenariusz często jest określany jako bring your own key (BYOK). Usługa Key Vault używa zweryfikowanych modułów HSM fiPS 140 w celu ochrony kluczy.
Skorzystaj z informacji w tym artykule, aby ułatwić planowanie, generowanie i przenoszenie własnych kluczy chronionych przez moduł HSM do użycia z usługą Azure Key Vault.
Uwaga
Ta funkcja nie jest dostępna dla platformy Microsoft Azure obsługiwanej przez firmę 21Vianet.
Ta metoda importu jest dostępna tylko dla obsługiwanych modułów HSM.
Aby uzyskać więcej informacji i samouczka, aby rozpocząć korzystanie z usługi Key Vault (w tym jak utworzyć magazyn kluczy dla kluczy chronionych przez moduł HSM), zobacz Co to jest usługa Azure Key Vault?.
Omówienie
Oto omówienie procesu. Szczegółowe kroki do wykonania opisano w dalszej części artykułu.
- W usłudze Key Vault wygeneruj klucz (nazywany kluczem wymiany kluczy (KEK)). Klucz KEK musi być kluczem RSA-HSM, który ma tylko operację
importklucza. Tylko usługa Key Vault Premium i zarządzany moduł HSM obsługują klucze RSA-HSM. - Pobierz klucz publiczny KEK jako plik pem.
- Przenieś klucz publiczny klucza KEK na komputer w trybie offline połączony z lokalnym modułem HSM.
- Na komputerze w trybie offline użyj narzędzia BYOK dostarczonego przez dostawcę modułu HSM, aby utworzyć plik BYOK.
- Klucz docelowy jest szyfrowany przy użyciu klucza KEK, który pozostaje zaszyfrowany, dopóki nie zostanie przeniesiony do modułu HSM usługi Key Vault. Tylko zaszyfrowana wersja klucza pozostawia lokalny moduł HSM.
- Klucz KEK generowany wewnątrz modułu HSM usługi Key Vault nie może być eksportowalny. Moduły HSM wymuszają regułę, że nie ma jasnej wersji klucza KEK poza modułem HSM usługi Key Vault.
- Klucz KEK musi znajdować się w tym samym magazynie kluczy, w którym zostanie zaimportowany klucz docelowy.
- Po przekazaniu pliku BYOK do usługi Key Vault moduł HSM usługi Key Vault używa klucza prywatnego klucza KEK do odszyfrowania materiału klucza docelowego i zaimportowania go jako klucza HSM. Ta operacja odbywa się całkowicie wewnątrz modułu HSM usługi Key Vault. Klucz docelowy zawsze pozostaje w granicy ochrony modułu HSM.
Wymagania wstępne
W poniższej tabeli wymieniono wymagania wstępne dotyczące używania funkcji BYOK w usłudze Azure Key Vault:
| Wymaganie | Więcej informacji |
|---|---|
| Subskrypcja platformy Azure | Aby utworzyć magazyn kluczy w usłudze Azure Key Vault, potrzebna jest subskrypcja platformy Azure. Utwórz konto w celu uzyskania bezpłatnej wersji próbnej. |
| Magazyn kluczy w warstwie Premium lub zarządzany moduł HSM do importowania kluczy chronionych przez moduł HSM | Aby uzyskać więcej informacji na temat warstw usług i możliwości w usłudze Azure Key Vault, zobacz Cennik usługi Key Vault. |
| Moduł HSM z listy obsługiwanych modułów HSM i narzędzie BYOK oraz instrukcje dostarczone przez dostawcę modułu HSM | Musisz mieć uprawnienia do modułu HSM i podstawową wiedzę na temat korzystania z modułu HSM. Zobacz Obsługiwane moduły HSM. |
| Interfejs wiersza polecenia platformy Azure w wersji 2.1.0 lub nowszej | Zobacz Instalowanie interfejsu wiersza polecenia platformy Azure. |
Obsługiwane moduły HSM
| Nazwa dostawcy | Typ dostawcy | Obsługiwane modele modułu HSM | Więcej informacji |
|---|---|---|---|
| Cryptomathic | Niezależne dostawcy oprogramowania (system zarządzania kluczami przedsiębiorstwa) | Wiele marek i modeli HSM, w tym
|
|
| Powierzyć | Producent Moduł HSM jako usługa |
|
nCipher nowe narzędzie BYOK i dokumentacja |
| Fortanix | Producent Moduł HSM jako usługa |
|
Eksportowanie kluczy ZESTAWU SDKMS do dostawców chmury dla usługi BYOK — Azure Key Vault |
| IBM | Producent | IBM 476x, CryptoExpress | IBM Enterprise Key Management Foundation |
| Marvell | Producent | Wszystkie moduły HSM z zabezpieczeniami LiquidSecurity za pomocą polecenia
|
Marvell BYOK tool and documentation (Narzędzie i dokumentacja marvell BYOK) |
| nCipher | Producent Moduł HSM jako usługa |
|
nCipher nowe narzędzie BYOK i dokumentacja |
| Securosys SA | Producent Moduł HSM jako usługa |
Rodzina modułów HSM Primus, Securosys Clouds HSM | Primus BYOK narzędzie i dokumentacja |
| StorMagic | Niezależne dostawcy oprogramowania (system zarządzania kluczami przedsiębiorstwa) | Wiele marek i modeli HSM, w tym
|
Rozwiązania SVKMS i Azure Key Vault BYOK |
| Thales | Producent |
|
Narzędzie i dokumentacja luna BYOK |
| Utimaco | Producent Moduł HSM jako usługa |
u.trust Anchor, CryptoServer | Przewodnik po narzędziu UTimaco BYOK i integracji |
Obsługiwane typy kluczy
| Nazwa klucza | Typ klucza | Rozmiar/krzywa klucza | Pochodzenie | opis |
|---|---|---|---|---|
| Klucz wymiany kluczy (KEK) | RSA | 2048-bitowy 3072-bitowy 4096-bitowy |
Karta HSM usługi Azure Key Vault | Para kluczy RSA z obsługą modułu HSM wygenerowana w usłudze Azure Key Vault |
| Klucz docelowy | ||||
| RSA | 2048-bitowy 3072-bitowy 4096-bitowy |
Moduł HSM dostawcy | Klucz, który ma zostać przeniesiony do modułu HSM usługi Azure Key Vault | |
| EC | P-256 P-384 P-521 |
Moduł HSM dostawcy | Klucz, który ma zostać przeniesiony do modułu HSM usługi Azure Key Vault | |
Generowanie i przenoszenie klucza do modułu HSM usługi Key Vault w warstwie Premium lub zarządzanego modułu HSM
Aby wygenerować i przenieść klucz do usługi Key Vault Premium lub zarządzanego modułu HSM:
- Krok 1. Generowanie klucza KEK
- Krok 2. Pobieranie klucza publicznego klucza KEK
- Krok 3. Generowanie i przygotowywanie klucza do przeniesienia
- Krok 4. Przenoszenie klucza do usługi Azure Key Vault
Generowanie klucza KEK
Klucz KEK to klucz RSA, który jest generowany w usłudze Key Vault Premium lub zarządzanym module HSM. Klucz KEK służy do szyfrowania klucza, który chcesz zaimportować (klucz docelowy).
Klucz KEK musi być:
- Klucz RSA-HSM (2048-bitowy; 3072-bitowy; lub 4096-bitowy)
- Wygenerowany w tym samym magazynie kluczy, w którym zamierzasz zaimportować klucz docelowy
- Utworzono z dozwolonymi operacjami klucza ustawionymi na wartość
import
Uwaga
Klucz KEK musi mieć wartość "import" jako jedyną dozwoloną operację klucza. "import" wyklucza się wzajemnie ze wszystkimi innymi operacjami kluczowymi.
Użyj polecenia az keyvault key create, aby utworzyć klucz KEK zawierający kluczowe operacje ustawione na importwartość . Zarejestruj identyfikator klucza (kid), który jest zwracany z następującego polecenia. (Użyjesz kid wartości w kroku 3).
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM
W przypadku zarządzanego modułu HSM:
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM
Pobieranie klucza publicznego klucza KEK
Użyj polecenia az keyvault key download , aby pobrać klucz publiczny KEK do pliku pem. Importowany klucz docelowy jest szyfrowany przy użyciu klucza publicznego klucza KEK.
az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
W przypadku zarządzanego modułu HSM:
az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Przenieś plik KEKforBYOK.publickey.pem na komputer w trybie offline. Ten plik będzie potrzebny w następnym kroku.
Generowanie i przygotowywanie klucza do transferu
Zapoznaj się z dokumentacją dostawcy modułu HSM, aby pobrać i zainstalować narzędzie BYOK. Postępuj zgodnie z instrukcjami od dostawcy modułu HSM, aby wygenerować klucz docelowy, a następnie utwórz pakiet transferu kluczy (plik BYOK). Narzędzie BYOK użyje kid pliku z kroku 1 i pliku KEKforBYOK.publickey.pem pobranego w kroku 2 , aby wygenerować zaszyfrowany klucz docelowy w pliku BYOK.
Przenieś plik BYOK na połączony komputer.
Uwaga
Importowanie kluczy RSA 1024-bitowych nie jest obsługiwane. Obsługiwane jest importowanie klucza krzywej Elliptic z krzywą P-256K.
Znany problem: Importowanie klucza docelowego RSA 4K z modułów HSM Luna jest obsługiwane tylko w przypadku oprogramowania układowego 7.4.0 lub nowszego.
Przenoszenie klucza do usługi Azure Key Vault
Aby ukończyć importowanie klucza, przenieś pakiet transferu kluczy (plik BYOK) z komputera odłączonego do komputera podłączonego do Internetu. Użyj polecenia az keyvault key import, aby przekazać plik BYOK do modułu HSM usługi Key Vault.
Aby zaimportować klucz RSA, użyj następującego polecenia. Parametr --kty jest opcjonalny i domyślnie ma wartość "RSA-HSM".
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
W przypadku zarządzanego modułu HSM
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Aby zaimportować klucz EC, należy określić typ klucza i nazwę krzywej.
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
W przypadku zarządzanego modułu HSM
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok
Jeśli przekazywanie zakończy się pomyślnie, interfejs wiersza polecenia platformy Azure wyświetli właściwości zaimportowanego klucza.
Następne kroki
Teraz możesz użyć tego klucza chronionego przez moduł HSM w magazynie kluczy. Aby uzyskać więcej informacji, zobacz porównanie cen i funkcji.