Met HSM beveiligde sleutels importeren in Key Vault (BYOK)

Als u Azure Key Vault gebruikt, kunt u het beste sleutels in een HSM (Hardware Security Module) importeren of genereren; de sleutel zal de HSM-grens nooit overschrijden. Dit scenario wordt vaak aangeduid als Bring Your Own Key (BYOK). Key Vault maakt gebruik van HSM's uit de nCipher nShield-serie (gevalideerd voor FIPS 140-2 Level 2) om uw sleutels te beveiligen.

Gebruik de informatie in dit artikel bij het plannen, genereren en overbrengen van uw eigen, met HSM beveiligde sleutels voor gebruik met Azure Key Vault.

Notitie

Deze functionaliteit is niet beschikbaar voor Azure China 21Vianet.

Deze importmethode is alleen beschikbaar voor ondersteunde HSM's.

Zie Wat is Azure Key Vault? voor meer informatie en voor een zelfstudie om aan de slag te gaan met Key Vault (inclusief het maken van een sleutelkluis voor met HSM beveiligde sleutels).

Overzicht

Hier volgt een overzicht van het proces. De specifieke uit te voeren stappen worden verderop in het artikel beschreven.

  • Genereer in Key Vault een sleutel (aangeduid als een Key Exchange Key (KEK)). De KEK moet een RSA-HSM-sleutel zijn die alleen de sleutelbewerking import bevat. Alleen Key Vault Premium SKU ondersteunt RSA-HSM-sleutels.
  • Download de openbare KEK-sleutel als een .pem-bestand.
  • Draag de openbare KEK-sleutel over naar een offline computer die is verbonden met een on-premises HSM.
  • Gebruik op de offline computer het BYOK-hulpprogramma van de HSM-leverancier om een BYOK-bestand te maken.
  • De doelsleutel wordt versleuteld met een KEK, die versleuteld blijft totdat de sleutel wordt overgebracht naar de Key Vault-HSM. Alleen de versleutelde versie van de sleutel verlaat de on-premises HSM.
  • Een KEK die wordt gegenereerd in een Key Vault-HSM kan niet worden geëxporteerd. HSM's dwingen de regel af dat er geen duidelijke versie van een KEK mag bestaan buiten een Key Vault-HSM.
  • De KEK moet zich in dezelfde sleutelkluis bevinden als waar de doelsleutel wordt geïmporteerd.
  • Wanneer het BYOK-bestand wordt geüpload naar Key Vault, gebruikt een Key Vault-HSM de persoonlijke KEK-sleutel om het doelsleutelmateriaal te ontsleutelen en te importeren als een HSM-sleutel. Deze bewerking vindt volledig in een Key Vault-HSM plaats. De doelsleutel blijft altijd binnen de beschermingsgrens van de HSM.

Vereisten

De volgende tabel bevat de vereisten voor het gebruik van BYOK in Azure Key Vault:

Vereiste Meer informatie
Een Azure-abonnement Als u een sleutelkluis in Azure Key Vault wilt maken, hebt u een Azure-abonnement nodig. Registreer u voor een gratis proefversie.
Een Key Vault Premium-SKU voor het importeren van met HSM beveiligde sleutels Zie Prijzen van Azure Key Vault voor meer informatie over de servicelagen en mogelijkheden van Azure Key Vault.
Een HSM uit de lijst met ondersteunde HSM's en een BYOK-hulpprogramma en instructies van uw HSM-leverancier U moet over machtigingen beschikken voor een HSM en basiskennis van het gebruik van uw HSM hebben. Zie Ondersteunde HSM's.
Azure CLI versie 2.1.0 of hoger Raadpleeg De Azure CLI installeren.

Ondersteunde HSM's

Naam van leverancier Type leverancier Ondersteunde HSM-modellen Meer informatie
Cryptomathic ISV (Enterprise Key Management System) Meerdere HSM-merken en -modellen, inclusief
  • nCipher
  • Thales
  • Utimaco
Zie de site van Cryptomathic voor meer informatie
BYOK-hulpprogramma en -documentatie van Cryptomathic
Vertrouwen Fabrikant,
HSM as a service
  • nShield-serie van HSM's
  • nShield as a service
Nieuw BYOK-hulpprogramma en -documentatie van nCipher
Fortanix Fabrikant,
HSM as a service
  • Self-Defending Key Management Service (SDKMS)
  • Equinix SmartKey
SDKMS-sleutels exporteren naar cloudproviders voor BYOK - Azure Key Vault
IBM Fabrikant IBM 476x, CryptoExpress IBM Enterprise Key Management Foundation
Marvell Fabrikant Alle LiquidSecurity-HSM's met
  • Firmwareversie 2.0.4 of hoger
  • Firmwareversie 3.2 of hoger
BYOK-hulpprogramma en -documentatie van Marvell
nCipher Fabrikant,
HSM as a service
  • nShield-serie van HSM's
  • nShield as a service
Nieuw BYOK-hulpprogramma en -documentatie van nCipher
Securosys SA Fabrikant,
HSM as a service
Primus HSM-serie, Securosys Clouds HSM BYOK-hulpprogramma en -documentatie van Primus
StorMagic ISV (Enterprise Key Management System) Meerdere HSM-merken en -modellen, inclusief
  • Utimaco
  • Thales
  • nCipher
Raadpleeg de StorMagic-site voor informatie
SvKMS en Azure Key Vault BYOK
Thales Fabrikant
  • Luna HSM 7-serie met firmwareversie 7.3 of hoger
BYOK-hulpprogramma en -documentatie van Luna
Utimaco Fabrikant,
HSM as a service
u.trust Anchor, CryptoServer Utimaco BYOK-hulpprogramma en integratiehandleiding

Ondersteunde sleuteltypen

Sleutelnaam Type sleutel Sleutelgrootte/curve Oorsprong Beschrijving
Key Exchange Key (KEK) RSA 2048-bits
3072-bits
4096-bits
Azure Key Vault-HSM Een met HSM ondersteund RSA-sleutelpaar dat wordt gegenereerd in Azure Key Vault
Doelsleutel
RSA 2048-bits
3072-bits
4096-bits
HSM-leverancier De sleutel die moet worden overgedragen naar de Azure Key Vault-HSM
EC P-256
P-384
P-521
HSM-leverancier De sleutel die moet worden overgedragen naar de Azure Key Vault-HSM

Uw sleutel genereren en overbrengen naar de Key Vault-HSM

Een sleutel genereren en overbrengen naar een Key Vault-HSM:

Stap 1: Een KEK genereren

Een KEK is een RSA-sleutel die wordt gegenereerd in een Key Vault-HSM. De KEK wordt gebruikt voor het versleutelen van de sleutel die u wilt importeren (de doelsleutel).

De KEK moet aan het volgende voldoen:

  • Een RSA-HSM-sleutel (2048-bits, 3072-bits of 4096-bits)
  • Gegenereerd in de sleutelkluis waarin u de doelsleutel wilt importeren
  • Gemaakt met toegestane sleutelbewerkingen ingesteld op import

Notitie

De KEK moet 'import' bevatten als de enige toegestane sleutelbewerking. 'import' en alle andere sleutelbewerkingen sluiten elkaar wederzijds uit.

Gebruik de opdracht az keyvault key create om een KEK te maken waarbij de sleutelbewerkingen zijn ingesteld op import. Noteer de sleutel-id (kid) die wordt geretourneerd met de volgende opdracht. (U gebruikt de waarde kid in stap 3.)

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM

Stap 2: De openbare KEK-sleutel downloaden

Gebruik az keyvault key download om de openbare KEK-sleutel te downloaden naar een .pem-bestand. De doelsleutel die u importeert, wordt versleuteld met behulp van de openbare KEK-sleutel.

az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

Draag het bestand KEKforBYOK.publickey.pem over naar uw offline computer. U hebt dit bestand in de volgende stap nodig.

Stap 3: De sleutel genereren en voorbereiden op overdracht

Raadpleeg de documentatie van uw HSM-leverancier om het BYOK-hulpprogramma te downloaden en te installeren. Volg de instructies van de HSM-leverancier om een doelsleutel te genereren en maak vervolgens een sleuteloverdrachtspakket (een BYOK-bestand). Het BYOK-hulpprogramma gebruikt de kid van stap 1 en het bestand KEKforBYOK.publickey.pem dat u in stap 2 hebt gedownload om een versleutelde doelsleutel in een BYOK-bestand te genereren.

Draag het BYOK-bestand over naar de verbonden computer.

Notitie

Het importeren van 1024-bits RSA-sleutels wordt niet ondersteund. Het importeren van een Elliptic Curve-sleutel met curve P-256K wordt niet ondersteund.

Bekend probleem: Het importeren van een RSA 4K-doelsleutel van Luna-HSM's wordt alleen ondersteund met firmware 7.4.0 of nieuwer.

Stap 4: De sleutel overdragen naar Azure Key Vault

Om de sleutelimport te voltooien, draagt u het sleuteloverdrachtspakket (een BYOK-bestand) over van de niet-verbonden computer naar de computer met internetverbinding. Gebruik de opdracht az keyvault key import om het BYOK-bestand te uploaden naar de Key Vault-HSM.

Gebruik de volgende opdracht om een RSA-sleutel te importeren. Parameter --kty is optioneel en wordt standaard ingesteld op 'RSA-HSM'.

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Als u een EC-sleutel wilt importeren, moet u het sleuteltype en de curvenaam opgeven.

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok

Als het uploaden is gelukt, worden in Azure CLI de eigenschappen van de geïmporteerde sleutel weergegeven.

Volgende stappen

U kunt deze met HSM beveiligde sleutel nu gebruiken in uw sleutelkluis. Zie voor meer informatie deze vergelijking van prijzen en functies.