Impor kunci yang dilindungi HSM ke Azure Key Vault (BYOK)
Untuk jaminan tambahan saat menggunakan Azure Key Vault, Anda dapat mengimpor atau menghasilkan kunci dari modul keamanan perangkat keras (HSM); kunci tidak pernah meninggalkan batas HSM. Skenario ini sering disebut sebagai bring your own key (BYOK). Key Vault menggunakan HSM yang divalidasi FIPS 140 untuk melindungi kunci Anda.
Gunakan artikel ini untuk membantu Anda merencanakan, menghasilkan, lalu mentransfer kunci yang dilindungi HSM Anda sendiri untuk digunakan dengan Azure Key Vault.
Catatan
Fungsionalitas ini tidak tersedia untuk Microsoft Azure yang dioperasikan oleh 21Vianet.
Metode impor ini hanya tersedia untuk HSM yang didukung.
Untuk informasi selengkapnya, dan untuk tutorial untuk mulai menggunakan Azure Key Vault (termasuk cara membuat brankas kunci untuk kunci yang dilindungi HSM), lihat Apa itu Azure Key Vault?.
Gambaran Umum
Berikut adalah gambaran umum prosesnya. Langkah-langkah spesifik yang harus diselesaikan dijelaskan nanti dalam artikel.
- Di Key Vault, buat kunci (disebut sebagai Kunci Pertukaran Kunci (KEK)). KEK harus menjadi kunci RSA-HSM yang hanya memiliki
importkunci operasi. Hanya Key Vault Premium dan HSM Terkelola yang mendukung kunci RSA-HSM. - Unduh kunci publik KEK sebagai file .pem.
- Transfer kunci publik KEK ke komputer offline yang terhubung ke HSM lokal.
- Di komputer offline, gunakan alat BYOK yang disediakan oleh vendor HSM Anda untuk membuat file BYOK.
- Kunci dienkripsi dengan Kunci Exchange Utama (KEK), yang tetap dienkripsi hingga ditransfer ke HSM Azure Key Vault. Hanya versi terenkripsi kunci Anda yang meninggalkan stasiun kerja asli.
- KEK yang dihasilkan di dalam Key Vault HSM tidak dapat diekspor. HSM memberlakukan aturan bahwa tidak ada versi KEK yang jelas di luar Key Vault HSM.
- KEK harus berada dalam brankas kunci yang sama di mana kunci target akan diimpor.
- Ketika file BYOK diunggah ke Key Vault, Key Vault HSM menggunakan kunci privat KEK untuk mendekripsi materi kunci target dan mengimpornya sebagai kunci HSM. This operation happens entirely inside a Azure Key Vault HSM. Kunci target selalu berada di batas perlindungan HSM.
Prasyarat
Tabel berikut ini mencantumkan prasyarat untuk menggunakan BYOK di Azure Key Vault:
| Persyaratan | Informasi selengkapnya |
|---|---|
| Langganan Azure | Untuk membuat brankas kunci di Azure Key Vault, Anda memerlukan langganan Azure. Daftar untuk percobaan gratis. |
| Key Vault Premium atau HSM Terkelola untuk mengimpor kunci yang dilindungi HSM | Untuk informasi selengkapnya tentang tingkat layanan dan kemampuan untuk Azure Key Vault, lihat situs web Harga Azure Key Vault. |
| HSM dari daftar HSM yang didukung dan alat BYOK dan instruksi yang disediakan oleh vendor HSM Anda | Anda harus memiliki izin untuk HSM dan pengetahuan dasar tentang cara menggunakan HSM Anda. Lihat HSM yang Didukung. |
| Azure CLI versi 2.1.0 atau yang lebih baru | Lihat Instal Azure CLI. |
HSM yang didukung
| Nama vendor | Jenis Vendor | Model HSM yang didukung | Informasi selengkapnya |
|---|---|---|---|
| Cryptomathic | ISV (Sistem Manajemen Kunci Perusahaan) | Beberapa merek dan model HSM termasuk
|
|
| Mempercayakan | Produsen, HSM sebagai layanan |
|
Alat dan dokumentasi BYOK Cryptomathic |
| Fortanix | Produsen, HSM sebagai layanan |
|
Mengekspor kunci SDKMS ke Penyedia Cloud untuk BYOK - Azure Key Vault |
| IBM 3270 | Produsen | IBM 476x, CryptoExpress | Dasar Manajemen Kunci Perusahaan IBM |
| Marvell | Produsen | Semua HSM LiquidSecurity dengan
|
Alat dan dokumentasi BYOK Cryptomathic |
| nCipher | Produsen, HSM sebagai layanan |
|
Alat dan dokumentasi BYOK Cryptomathic |
| Securosys SA | Produsen, HSM sebagai layanan |
Keluarga HSM Primus, Clouds HSM Securosys | Alat dan dokumentasi BYOK Primus |
| StorMagic | ISV (Sistem Manajemen Kunci Perusahaan) | Beberapa merek dan model HSM termasuk
|
BYOK SvKMS dan Azure Key Vault |
| Thales | Produsen |
|
Alat dan dokumentasi BYOK Luna |
| Utimaco | Produsen, HSM sebagai layanan |
u.trust Anchor, CryptoServer | Alat Utimaco BYOK dan panduan Integrasi |
Jenis kunci yang didukung
| Nama kunci | Jenis Kunci | Ukuran/kurva kunci | Asal | Deskripsi |
|---|---|---|---|---|
| Kunci Pertukaran Kunci (KEK) | RSA | 2.048-bit 3.072-bit 4.096-bit |
Azure Key Vault HSM | Pasangan kunci RSA yang didukung HSM yang dihasilkan di Azure Key Vault |
| Tombol target | ||||
| RSA | 2.048-bit 3.072-bit 4.096-bit |
Vendor HSM | Kunci yang akan ditransfer ke HSM Azure Key Vault | |
| EC | P-256 P-384 P-521 |
Vendor HSM | Kunci yang akan ditransfer ke HSM Azure Key Vault | |
Hasilkan dan transfer kunci Anda ke Key Vault Premium HSM atau Managed HSM
Untuk menghasilkan dan mentransfer kunci Anda ke Key Vault Premium atau HSM Terkelola:
- Langkah 1: Hasilkan KEK
- Langkah 2: Unduh kunci publik KEK
- Langkah 3: Hasilkan dan siapkan kunci Anda untuk transfer
- Langkah 4: Transfer kunci Anda ke Azure Key Vault
Membuat KEK
KEK adalah kunci RSA yang dihasilkan dalam Key Vault Premium atau Managed HSM. KEK digunakan untuk mengenkripsi kunci yang ingin Anda impor (kunci target).
KEK harus berupa:
- Kunci RSA-HSM (2.048-bit; 3.072-bit; atau 4.096-bit)
- Dihasilkan dalam brankas kunci yang sama di mana Anda berniat mengimpor kunci target
- Dibuat dengan operasi kunci yang diperbolehkan diatur ke
import
Catatan
KEK harus memiliki 'impor' sebagai satu-satunya operasi kunci yang diperbolehkan. 'impor' saling eksklusif dengan semua operasi kunci lainnya.
Gunakan perintah buat kunci az keyvault untuk membuat KEK yang memiliki operasi kunci yang diatur ke import. Rekam pengidentifikasi kunci (kid) yang dikembalikan dari perintah berikut. (Anda akan menggunakan nilai kid di Langkah 3.)
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM
Untuk HSM Terkelola:
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM
Mengunduh kunci publik KEK
Gunakan unduhan kunci az keyvault untuk mengunduh kunci publik KEK ke file .pem. Kunci target yang Anda impor dienkripsi dengan menggunakan kunci publik KEK.
az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Untuk HSM Terkelola:
az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Transfer file KEKforBYOK.publickey.pem ke komputer lokal Anda. Anda akan membutuhkan file ini di langkah selanjutnya.
Buat dan siapkan kunci Anda untuk transfer
Lihat dokumentasi vendor HSM Anda untuk mengunduh dan memasang alat BYOK. Ikuti instruksi dari vendor HSM Anda untuk membuat kunci target, lalu buat paket transfer kunci (file BYOK). Alat BYOK akan menggunakan kid dari Langkah 1 dan KEKforBYOK.publickey.pem yang Anda unduh Langkah 2 untuk membuat kunci target terenkripsi dalam file BYOK.
Transfer file BYOK ke komputer Anda yang terhubung.
Catatan
Mengimpor kunci RSA 1.024-bit tidak didukung. Mengimpor kunci Kurva Elips dengan kurva P-256K didukung.
Masalah yang dikenal: Mengimpor kunci target RSA 4K dari HSM Luna hanya didukung dengan firmware 7.4.0 atau lebih baru.
Mentransfer kunci Anda ke Azure Key Vault
Untuk menyelesaikan impor kunci, transfer paket transfer kunci (file BYOK) dari komputer Anda yang terputus ke komputer yang terhubung ke internet. Gunakan perintah impor kunci az brankas kunci untuk mengunggah file BYOK ke Key Vault HSM.
Untuk mengimpor kunci RSA gunakan perintah berikut. Parameter --kty bersifat opsional dan baku ke 'RSA-HSM'.
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Untuk HSM Terkelola
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Untuk mengimpor kunci EC, Anda harus menentukan jenis kunci dan nama kurva.
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Untuk HSM Terkelola
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok
Jika unggahan berhasil, Azure CLI menampilkan properti kunci yang diimpor.
Langkah berikutnya
Anda sekarang dapat menggunakan kunci yang dilindungi HSM ini di brankas kunci Anda. Untuk informasi selengkapnya, lihat perbandingan harga dan fitur .