Importar chaves protegidas por HSM para o HSM Gerido (BYOK)
O Azure Key Vault Managed HSM dá suporte à importação de chaves geradas em seu módulo de segurança de hardware (HSM) local; as chaves nunca sairão do limite de proteção do HSM. Esse cenário geralmente é chamado de traga sua própria chave (BYOK). O HSM Gerido utiliza os adaptadores HSM Marvell LiquidSecurity (FIPS 140-2 Nível 3 validado) para proteger as chaves.
Use as informações deste artigo para ajudá-lo a planejar, gerar e transferir suas próprias chaves protegidas por HSM para usar com o HSM gerenciado.
Nota
Esta funcionalidade não está disponível para o Microsoft Azure operado pela 21Vianet. Esse método de importação está disponível apenas para HSMs suportados.
Para obter mais informações e um tutorial para começar a usar o HSM gerenciado, consulte O que é o HSM gerenciado?.
Descrição geral
Aqui está uma visão geral do processo. As etapas específicas a serem concluídas são descritas mais adiante no artigo.
- No HSM gerenciado, gere uma chave (conhecida como chave de troca de chaves (KEK)). O KEK deve ser uma chave RSA-HSM que tenha apenas a operação de
importchave. - Faça o download da chave pública KEK como um arquivo .pem.
- Transfira a chave pública KEK para um computador offline conectado a um HSM local.
- No computador offline, use a ferramenta BYOK fornecida pelo fornecedor do HSM para criar um arquivo BYOK.
- A chave de destino é criptografada com um KEK, que permanece criptografado até ser transferido para o HSM gerenciado. Somente a versão criptografada da sua chave sai do HSM local.
- Um KEK gerado dentro de um HSM gerenciado não é exportável. Os HSMs impõem a regra de que não existe uma versão clara de um KEK fora de um HSM gerenciado.
- O KEK deve estar no mesmo HSM gerenciado onde a chave de destino será importada.
- Quando o arquivo BYOK é carregado no HSM gerenciado, um HSM gerenciado usa a chave privada KEK para descriptografar o material da chave de destino e importá-lo como uma chave HSM. Esta operação acontece inteiramente dentro do HSM. A chave de destino sempre permanece no limite de proteção do HSM.
Pré-requisitos
Para usar os comandos da CLI do Azure neste artigo, você deve ter os seguintes itens:
- Uma subscrição do Microsoft Azure. Se não tiver uma, pode inscrever-se numa avaliação gratuita.
- A CLI do Azure versão 2.12.0 ou posterior. Executar
az --versionpara localizar a versão. Se precisar de instalar ou atualizar, veja Instalar a CLI do Azure. - Um HSM gerenciado a lista de HSMs suportados em sua assinatura. Consulte Guia de início rápido: provisionar e ativar um HSM gerenciado usando a CLI do Azure para provisionar e ativar um HSM gerenciado.
Azure Cloud Shell
O Azure aloja o Azure Cloud Shell, um ambiente de shell interativo que pode utilizar através do seu browser. Pode utilizar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.
Para iniciar o Azure Cloud Shell:
| Opção | Exemplo/Ligação |
|---|---|
| Selecione Experimentar no canto superior direito de um código ou bloco de comandos. Selecionar Experimentar não copia automaticamente o código ou comando para o Cloud Shell. |  |
| Aceda a https://shell.azure.com ou selecione o botão Iniciar Cloud Shell para abrir o Cloud Shell no browser. |  |
| Selecione o botão Cloud Shell na barra de menus, na parte direita do portal do Azure. |  |
Para usar o Azure Cloud Shell:
Inicie o Cloud Shell.
Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou comando.
Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.
Selecione Enter para executar o código ou comando.
Para entrar no Azure usando a CLI, digite:
az login
Para obter mais informações sobre as opções de início de sessão através da CLI, consulte iniciar sessão com a CLI do Azure
HSMs suportados
| Nome do fornecedor | Tipo de fornecedor | Modelos HSM suportados | Mais informações |
|---|---|---|---|
| Criptomática | ISV (Sistema de Gestão de Chaves Empresariais) | Várias marcas e modelos de HSM, incluindo
|
|
| Confiar | Fabricante, HSM como serviço |
|
nCipher nova ferramenta BYOK e documentação |
| Fortanix | Fabricante, HSM como serviço |
|
Exportando chaves SDKMS para provedores de nuvem para BYOK - Azure Key Vault |
| IBM | Fabricante | IBM 476x, CryptoExpress | IBM Fundação de Gerenciamento de Chaves Empresariais |
| Maravilhoso | Fabricante | Todos os HSMs LiquidSecurity com
|
Ferramenta Marvell BYOK e documentação |
| Securosys SA | Fabricante, HSM como serviço | Família Primus HSM, Securosys Clouds HSM | Ferramenta e documentação Primus BYOK |
| StorMagic | ISV (Sistema de Gestão de Chaves Empresariais) | Várias marcas e modelos de HSM, incluindo
|
SvKMS e Azure Key Vault BYOK |
| Thales | Fabricante |
|
Ferramenta Luna BYOK e documentação |
| Utimaco | Fabricante, HSM como serviço |
u.trust Âncora, CryptoServer | Ferramenta Utimaco BYOK e guia de integração |
Tipos de chave suportados
| Nome da chave | Tipo de chave | Tamanho/curva da chave | Origem | Description |
|---|---|---|---|---|
| Chave de troca de chaves (KEK) | RSA-HSM | 2.048 bits 3.072 bits 4.096 bits |
HSM Gerido | Um par de chaves RSA apoiado por HSM gerado no HSM gerenciado |
| Chave de destino | ||||
| RSA-HSM | 2.048 bits 3.072 bits 4.096 bits |
HSM do fornecedor | A chave a ser transferida para o HSM gerenciado | |
| EC-HSM | P-256 P-384 P-521 |
HSM do fornecedor | A chave a ser transferida para o HSM gerenciado | |
| Chave simétrica (oct-hsm) | 128 bits 192 bits 256 bits |
HSM do fornecedor | A chave a ser transferida para o HSM gerenciado | |
Gere e transfira sua chave para o HSM gerenciado
Passo 1: Gerar um KEK
Um KEK é uma chave RSA gerada em um HSM gerenciado. O KEK é usado para criptografar a chave que você deseja importar (a chave de destino ).
O KEK deve ser:
- Uma chave RSA-HSM (2.048 bits; 3.072 bits; ou 4.096 bits)
- Gerado no mesmo HSM gerenciado para o qual você pretende importar a chave de destino
- Criado com operações de chave permitidas definidas como
import
Nota
O KEK deve ter 'import' como a única operação de chave permitida. A «importação» exclui-se mutuamente com todas as outras operações essenciais.
Use o comando az keyvault key create para criar um KEK com operações de chave definidas como import. Registre o identificador de chave (kid) retornado do comando a seguir. (Você usará o kid valor na Etapa 3.)
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM
Passo 2: Faça o download da chave pública KEK
Use az keyvault key download para baixar a chave pública KEK para um arquivo .pem. A chave de destino importada é criptografada usando a chave pública KEK.
az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Transfira o ficheiro KEKforBYOK.publickey.pem para o seu computador offline. Você precisará desse arquivo na próxima etapa.
Passo 3: Gere e prepare a sua chave para transferência
Consulte a documentação do fornecedor do HSM para baixar e instalar a ferramenta BYOK. Siga as instruções do fornecedor do HSM para gerar uma chave de destino e, em seguida, crie um pacote de transferência de chaves (um arquivo BYOK). A ferramenta BYOK usará o kid arquivo da Etapa 1 e o arquivo KEKforBYOK.publickey.pem que você baixou na Etapa 2 para gerar uma chave de destino criptografada em um arquivo BYOK.
Transfira o ficheiro BYOK para o computador ligado.
Nota
Não há suporte para a importação de chaves RSA de 1.024 bits. A importação de chaves EC-HSM P256K é suportada.
Problema conhecido: a importação de uma chave de destino RSA 4K de HSMs Luna só é suportada com o firmware 7.4.0 ou mais recente.
Etapa 4: Transfira sua chave para o HSM gerenciado
Para concluir a importação de chaves, transfira o pacote de transferência de chaves (um arquivo BYOK) do computador desconectado para o computador conectado à Internet. Use o comando az keyvault key import para carregar o arquivo BYOK no HSM gerenciado.
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Se o carregamento for bem-sucedido, a CLI do Azure exibirá as propriedades da chave importada.
Próximos passos
Agora você pode usar essa chave protegida por HSM em seu HSM gerenciado. Para obter mais informações, consulte esta comparação de preços e recursos.