Udostępnij za pośrednictwem


Importowanie kluczy chronionych przez moduł HSM do usługi Key Vault (BYOK)

Aby zapewnić dodatkową pewność podczas korzystania z usługi Azure Key Vault, możesz zaimportować lub wygenerować klucz w sprzętowym module zabezpieczeń (HSM); klucz nigdy nie opuści granicy modułu HSM. Ten scenariusz często jest określany jako bring your own key (BYOK). Usługa Key Vault używa zweryfikowanych modułów HSM fiPS 140 w celu ochrony kluczy.

Skorzystaj z informacji w tym artykule, aby ułatwić planowanie, generowanie i przenoszenie własnych kluczy chronionych przez moduł HSM do użycia z usługą Azure Key Vault.

Uwaga

Ta funkcja nie jest dostępna dla platformy Microsoft Azure obsługiwanej przez firmę 21Vianet.

Ta metoda importu jest dostępna tylko dla obsługiwanych modułów HSM.

Aby uzyskać więcej informacji i samouczka, aby rozpocząć korzystanie z usługi Key Vault (w tym jak utworzyć magazyn kluczy dla kluczy chronionych przez moduł HSM), zobacz Co to jest usługa Azure Key Vault?.

Omówienie

Oto omówienie procesu. Szczegółowe kroki do wykonania opisano w dalszej części artykułu.

  • W usłudze Key Vault wygeneruj klucz (nazywany kluczem wymiany kluczy (KEK)). Klucz KEK musi być kluczem RSA-HSM, który ma tylko operację import klucza. Tylko usługa Key Vault Premium i zarządzany moduł HSM obsługują klucze RSA-HSM.
  • Pobierz klucz publiczny KEK jako plik pem.
  • Przenieś klucz publiczny klucza KEK na komputer w trybie offline połączony z lokalnym modułem HSM.
  • Na komputerze w trybie offline użyj narzędzia BYOK dostarczonego przez dostawcę modułu HSM, aby utworzyć plik BYOK.
  • Klucz docelowy jest szyfrowany przy użyciu klucza KEK, który pozostaje zaszyfrowany, dopóki nie zostanie przeniesiony do modułu HSM usługi Key Vault. Tylko zaszyfrowana wersja klucza pozostawia lokalny moduł HSM.
  • Klucz KEK generowany wewnątrz modułu HSM usługi Key Vault nie może być eksportowalny. Moduły HSM wymuszają regułę, że nie ma jasnej wersji klucza KEK poza modułem HSM usługi Key Vault.
  • Klucz KEK musi znajdować się w tym samym magazynie kluczy, w którym zostanie zaimportowany klucz docelowy.
  • Po przekazaniu pliku BYOK do usługi Key Vault moduł HSM usługi Key Vault używa klucza prywatnego klucza KEK do odszyfrowania materiału klucza docelowego i zaimportowania go jako klucza HSM. Ta operacja odbywa się całkowicie wewnątrz modułu HSM usługi Key Vault. Klucz docelowy zawsze pozostaje w granicy ochrony modułu HSM.

Wymagania wstępne

W poniższej tabeli wymieniono wymagania wstępne dotyczące używania funkcji BYOK w usłudze Azure Key Vault:

Wymaganie Więcej informacji
Subskrypcja platformy Azure Aby utworzyć magazyn kluczy w usłudze Azure Key Vault, potrzebna jest subskrypcja platformy Azure. Utwórz konto w celu uzyskania bezpłatnej wersji próbnej.
Magazyn kluczy w warstwie Premium lub zarządzany moduł HSM do importowania kluczy chronionych przez moduł HSM Aby uzyskać więcej informacji na temat warstw usług i możliwości w usłudze Azure Key Vault, zobacz Cennik usługi Key Vault.
Moduł HSM z listy obsługiwanych modułów HSM i narzędzie BYOK oraz instrukcje dostarczone przez dostawcę modułu HSM Musisz mieć uprawnienia do modułu HSM i podstawową wiedzę na temat korzystania z modułu HSM. Zobacz Obsługiwane moduły HSM.
Interfejs wiersza polecenia platformy Azure w wersji 2.1.0 lub nowszej Zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Obsługiwane moduły HSM

Nazwa dostawcy Typ dostawcy Obsługiwane modele modułu HSM Więcej informacji
Cryptomathic Niezależne dostawcy oprogramowania (system zarządzania kluczami przedsiębiorstwa) Wiele marek i modeli HSM, w tym
  • nCipher
  • Thales
  • Utimaco
Aby uzyskać szczegółowe informacje, zobacz witrynę Cryptomathic
Powierzyć Producent
Moduł HSM jako usługa
  • nShield rodziny modułów HSM
  • nShield jako usługa
nCipher nowe narzędzie BYOK i dokumentacja
Fortanix Producent
Moduł HSM jako usługa
  • Samodzielna ochrona usługa zarządzania kluczami (SDKMS)
  • Equinix SmartKey
Eksportowanie kluczy ZESTAWU SDKMS do dostawców chmury dla usługi BYOK — Azure Key Vault
Futurex Producent
Moduł HSM jako usługa
  • CryptoHub
  • CryptoHub Cloud
  • Seria KMES 3
Przewodnik dotyczący integracji rozwiązania Futurex — Azure Key Vault
IBM Producent IBM 476x, CryptoExpress IBM Enterprise Key Management Foundation
Marvell Producent Wszystkie moduły HSM z zabezpieczeniami LiquidSecurity za pomocą polecenia
  • Oprogramowanie układowe w wersji 2.0.4 lub nowszej
  • Oprogramowanie układowe w wersji 3.2 lub nowszej
Marvell BYOK tool and documentation (Narzędzie i dokumentacja marvell BYOK)
nCipher Producent
Moduł HSM jako usługa
  • nShield rodziny modułów HSM
  • nShield jako usługa
nCipher nowe narzędzie BYOK i dokumentacja
Securosys SA Producent
Moduł HSM jako usługa
Rodzina modułów HSM Primus, Securosys Clouds HSM Primus BYOK narzędzie i dokumentacja
StorMagic Niezależne dostawcy oprogramowania (system zarządzania kluczami przedsiębiorstwa) Wiele marek i modeli HSM, w tym
  • Utimaco
  • Thales
  • nCipher
Aby uzyskać szczegółowe informacje, zobacz witrynę StorMagic
Rozwiązania SVKMS i Azure Key Vault BYOK
Thales Producent
  • Rodzina Luna HSM 7 z oprogramowaniem układowym w wersji 7.3 lub nowszej
Narzędzie i dokumentacja luna BYOK
Utimaco Producent
Moduł HSM jako usługa
u.trust Anchor, CryptoServer Przewodnik po narzędziu UTimaco BYOK i integracji

Obsługiwane typy kluczy

Nazwa klucza Typ klucza Rozmiar/krzywa klucza Pochodzenie opis
Klucz wymiany kluczy (KEK) RSA 2048-bitowy
3072-bitowy
4096-bitowy
Karta HSM usługi Azure Key Vault Para kluczy RSA z obsługą modułu HSM wygenerowana w usłudze Azure Key Vault
Klucz docelowy
RSA 2048-bitowy
3072-bitowy
4096-bitowy
Moduł HSM dostawcy Klucz, który ma zostać przeniesiony do modułu HSM usługi Azure Key Vault
EC P-256
P-384
P-521
Moduł HSM dostawcy Klucz, który ma zostać przeniesiony do modułu HSM usługi Azure Key Vault

Generowanie i przenoszenie klucza do modułu HSM usługi Key Vault w warstwie Premium lub zarządzanego modułu HSM

Aby wygenerować i przenieść klucz do usługi Key Vault Premium lub zarządzanego modułu HSM:

Generowanie klucza KEK

Klucz KEK to klucz RSA, który jest generowany w usłudze Key Vault Premium lub zarządzanym module HSM. Klucz KEK służy do szyfrowania klucza, który chcesz zaimportować (klucz docelowy).

Klucz KEK musi być:

  • Klucz RSA-HSM (2048-bitowy; 3072-bitowy; lub 4096-bitowy)
  • Wygenerowany w tym samym magazynie kluczy, w którym zamierzasz zaimportować klucz docelowy
  • Utworzono z dozwolonymi operacjami klucza ustawionymi na wartość import

Uwaga

Klucz KEK musi mieć wartość "import" jako jedyną dozwoloną operację klucza. "import" wyklucza się wzajemnie ze wszystkimi innymi operacjami kluczowymi.

Użyj polecenia az keyvault key create, aby utworzyć klucz KEK zawierający kluczowe operacje ustawione na importwartość . Zarejestruj identyfikator klucza (kid), który jest zwracany z następującego polecenia. (Użyjesz kid wartości w kroku 3).

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM

W przypadku zarządzanego modułu HSM:

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM

Pobieranie klucza publicznego klucza KEK

Użyj polecenia az keyvault key download , aby pobrać klucz publiczny KEK do pliku pem. Importowany klucz docelowy jest szyfrowany przy użyciu klucza publicznego klucza KEK.

az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

W przypadku zarządzanego modułu HSM:

az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

Przenieś plik KEKforBYOK.publickey.pem na komputer w trybie offline. Ten plik będzie potrzebny w następnym kroku.

Generowanie i przygotowywanie klucza do transferu

Zapoznaj się z dokumentacją dostawcy modułu HSM, aby pobrać i zainstalować narzędzie BYOK. Postępuj zgodnie z instrukcjami od dostawcy modułu HSM, aby wygenerować klucz docelowy, a następnie utwórz pakiet transferu kluczy (plik BYOK). Narzędzie BYOK użyje kid pliku z kroku 1 i pliku KEKforBYOK.publickey.pem pobranego w kroku 2 , aby wygenerować zaszyfrowany klucz docelowy w pliku BYOK.

Przenieś plik BYOK na połączony komputer.

Uwaga

Importowanie kluczy RSA 1024-bitowych nie jest obsługiwane. Obsługiwane jest importowanie klucza krzywej Elliptic z krzywą P-256K.

Znany problem: Importowanie klucza docelowego RSA 4K z modułów HSM Luna jest obsługiwane tylko w przypadku oprogramowania układowego 7.4.0 lub nowszego.

Przenoszenie klucza do usługi Azure Key Vault

Aby ukończyć importowanie klucza, przenieś pakiet transferu kluczy (plik BYOK) z komputera odłączonego do komputera podłączonego do Internetu. Użyj polecenia az keyvault key import, aby przekazać plik BYOK do modułu HSM usługi Key Vault.

Aby zaimportować klucz RSA, użyj następującego polecenia. Parametr --kty jest opcjonalny i domyślnie ma wartość "RSA-HSM".

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

W przypadku zarządzanego modułu HSM

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Aby zaimportować klucz EC, należy określić typ klucza i nazwę krzywej.

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

W przypadku zarządzanego modułu HSM

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok

Jeśli przekazywanie zakończy się pomyślnie, interfejs wiersza polecenia platformy Azure wyświetli właściwości zaimportowanego klucza.

Następne kroki

Teraz możesz użyć tego klucza chronionego przez moduł HSM w magazynie kluczy. Aby uzyskać więcej informacji, zobacz porównanie cen i funkcji.