Importer des clés protégées par HSM dans Key Vault (BYOK)
Pour une meilleure garantie, lorsque vous utilisez Azure Key Vault, vous pouvez importer ou générer une clé dans un module de sécurité matériel (HSM) ; la clé ne franchira jamais les limites de celui-ci. Il est souvent fait référence à ce scénario sous le terme BYOK (Bring Your Own Key, ou apportez votre propre clé). Key Vault utilise des modules HSM validés FIPS 140 pour protéger vos clés.
Les informations de cet article vous aident à planifier, à générer puis à transférer vos propres clés protégées par HSM à utiliser avec Azure Key Vault.
Notes
Cette fonctionnalité n’est pas disponible pour Microsoft Azure géré par 21Vianet.
Cette méthode d’importation n’est disponible que pour les HSM pris en charge.
Pour plus d’informations et pour accéder à un tutoriel sur la prise en main de Key Vault (y compris la création d’un coffre de clés pour des clés protégées par HSM), voir Qu’est-ce qu’Azure Key Vault ?.
Vue d’ensemble
Voici une vue d’ensemble du processus. Les étapes spécifiques à effectuer sont décrites plus loin dans cet article.
- Dans Azure Key Vault, générez une clé (Key Exchange Key, KEK). Cette KEK doit être une clé RSA-HSM qui n’a que l’opération de clé
import. Seuls Key Vault Premium et HSM managés prennent en charge les clés RSA-HSM. - Téléchargez la clé publique KEK en tant que fichier. pem.
- Transférez la clé publique KEK sur un ordinateur hors connexion connecté à un HSM local.
- Sur l’ordinateur hors connexion, utilisez l’outil BYOK fourni par votre fournisseur de HSM pour créer un fichier BYOK.
- La clé cible est chiffrée à l’aide d’une clé KEK qui reste chiffrée jusqu’à ce qu’elle soit transférée vers le HSM d’Azure Key Vault. Seule la version chiffrée de la clé quitte le HSM local.
- Une clé KEK générée à l’intérieur d’un HSM de Key Vault n’est pas exportable. Les HSM appliquent la règle en vertu de laquelle aucune version claire d’une clé KEK n’existe en dehors d’un HSM de Key Vault.
- La clé KEK doit se trouver dans le coffre de clés dans lequel la clé cible doit être importée.
- Lors du chargement du fichier BYOK sur le coffre de clés, un HSM de Key Vault utilise la clé KEK privée pour déchiffrer le matériel de la clé cible et l’importer comme clé HSM. Cette opération se produit entièrement à l’intérieur d’un HSM de Key Vault. La clé cible reste toujours dans la limite de protection du HSM.
Prérequis
Le tableau suivant répertorie les conditions préalables à l’utilisation de BYOK dans Azure Key Vault :
| Condition requise | Informations complémentaires |
|---|---|
| Abonnement Azure | Pour créer un coffre de clés dans Azure Key Vault, vous avez besoin d’un abonnement Azure. Inscrivez-vous pour un essai gratuit. |
| Key Vault Premium ou HSM managé pour importer les clés protégées par HSM | Pour plus d’informations sur les niveaux de service et les capacités d’Azure Key Vault, voir Tarification d’Azure Key Vault. |
| HSM figurant dans la liste des HSM pris en charge, avec un outil BYOK et des instructions fournies par votre fournisseur de HSM | Vous devez disposer d’autorisations pour un HSM et d’une connaissance de base de l’utilisation de votre HSM. Consultez Modules HSM pris en charge. |
| Azure CLI version 2.1.0 ou ultérieure | Voir Installer l’interface de ligne de commande Azure. |
Modules HSM pris en charge
| Nom du fournisseur | Type de fournisseur | Modèles HSM pris en charge | Informations complémentaires |
|---|---|---|---|
| Cryptomathic | ISV (système de gestion de clés sécurisé) | Plusieurs marques et modèles de modules HSM, dont
|
|
| Entrust | Fabricant, HSM en tant que service |
|
Outil et documentation BYOK nCipher (nouvelle méthode) |
| Fortanix | Fabricant, HSM en tant que service |
|
Exportation de clés SDKMS vers des fournisseurs cloud pour BYOK - Azure Key Vault |
| IBM | Fabricant | IBM 476x, CryptoExpress | IBM Enterprise Key Management Foundation |
| Marvell | Fabricant | Tous les modules HSM LiquidSecurity avec
|
Outil et documentation BYOK Marvell |
| nCipher | Fabricant, HSM en tant que service |
|
Outil et documentation BYOK nCipher (nouvelle méthode) |
| Securosys SA | Fabricant, HSM en tant que service |
Famille HSM de Primus, HSM Clouds de Securosys | Outil et documentation BYOK Primus |
| StorMagic | ISV (système de gestion de clés sécurisé) | Plusieurs marques et modèles de modules HSM, dont
|
SvKMS et BYOK d’Azure Key Vault |
| Thales | Fabricant |
|
Outil BYOK Luna et documentation |
| Utimaco | Fabricant, HSM en tant que service |
u.trust Anchor, CryptoServer | Guide d’intégration et outil BYOK Utimaco |
Types de clés pris en charge
| Nom de clé | Type de clé | Taille de clé/Courbe | Origine | Description |
|---|---|---|---|---|
| Key Exchange Key (KEK) | RSA | 2 048 bits 3 072 bits 4 096 bits |
HSM Azure Key Vault | Paire de clés RSA sauvegardée par HSM générée dans Azure Key Vault |
| Clé cible | ||||
| RSA | 2 048 bits 3 072 bits 4 096 bits |
HSM du fournisseur | Clé à transférer au HSM d’Azure Key Vault | |
| EC | P-256 P-384 P-521 |
HSM du fournisseur | Clé à transférer au HSM d’Azure Key Vault | |
Générer et transférer votre clé vers Key Vault HSM Premium ou HSM managé
Générer et transférer votre clé vers Key Vault Premium ou HSM managé :
- Étape 1 : Générer une clé KEK
- Étape 2 : Télécharger la clé publique KEK
- Étape 3 : Générer votre clé et la préparer pour le transfert
- Étape 4 : Transférer votre clé vers Azure Key Vault
Générer une clé KEK
Une KEK est une clé RSA générée dans Key Vault Premium ou HSM managé. La KEK est utilisée pour chiffrer la clé que vous souhaitez importer (clé cible).
La clé KEK doit être :
- une clé RSA-HSM (2 048 bits, 3 072 bits ou 4 096 bits)
- Générée dans le coffre de clés dans lequel vous envisagez d’importer la clé cible
- Créée avec les opérations de clé autorisées définies sur
import
Notes
La clé KEK doit avoir « Importer » comme seule opération de clé autorisée. « Importer » est incompatible avec toutes les autres opérations de clé.
Pour créer une clé KEK avec les opérations de clé définies sur import, utilisez la commande az keyvault key create. Enregistrez l’identificateur de clé (kid) qui est retourné par la commande suivante. (Vous allez utiliser la valeur kid à l’étape 3.)
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM
Pour le HSM managé :
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM
Télécharger la clé publique KEK
Utilisez la commande az keyvault key download pour télécharger la clé publique KEK dans un fichier .pem. La clé cible que vous importez est chiffrée à l’aide de la clé publique KEK.
az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Pour le HSM managé :
az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Transférez le fichier KEKforBYOK.publickey.pem sur votre ordiateur hors connexion. Vous en aurez besoin à l’étape suivante.
Générer votre clé et la préparer pour le transfert
Reportez-vous à la documentation de votre fournisseur de HSM pour télécharger et installer l’outil BYOK. Suivez les instructions de votre fournisseur de HSM pour générer une clé cible, puis créez un package de transfert de clé (fichier BYOK). L’outil BYOK utilise le kid de l’étape 1 et le fichier KEKforBYOK.publickey.pem que vous avez téléchargé à l’étape 2 pour générer une clé cible chiffrée dans un fichier BYOK.
Transférez le fichier BYOK sur votre ordinateur connecté.
Notes
L’importation de clés RSA 1 024 bits n’est pas prise en charge. L’importation de clés à courbe elliptique de P-256K est prise en charge.
Problème connu : L’importation d’une clé cible RSA 4K à partir de modules HSM Luna est uniquement prise en charge avec le microprogramme 7.4.0 ou une version ultérieure.
Transférer votre clé vers Azure Key Vault
Pour terminer l’importation de la clé, transférez le package de transfert de clé (fichier BYOK) de votre ordinateur déconnecté vers l’ordinateur connecté à Internet. Pour charger le fichier BYOK dans le HSM de Key Vault, utilisez la commande az keyvault key import.
Pour importer une clé RSA, utilisez la commande suivante. Le paramètre --kty est facultatif et prend par défaut la valeur « RSA-HSM ».
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Pour le HSM managé
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Pour importer une clé EC, vous devez spécifier le type de clé et le nom de la courbe.
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Pour le HSM managé
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok
Si le chargement réussit, Azure CLI affiche les propriétés de la clé importée.
Étapes suivantes
Vous pouvez maintenant utiliser cette clé protégée HSM dans votre coffre de clés. Pour plus d’informations, rendez-vous sur le prix et utilisez la fonctionnalité comparaison.