Importowanie kluczy chronionych przez moduł HSM do Key Vault (BYOK)

Aby zapewnić dodatkową pewność podczas korzystania z usługi Azure Key Vault, możesz zaimportować lub wygenerować klucz w sprzętowym module zabezpieczeń (HSM), klucz nigdy nie opuści granicy modułu HSM. Ten scenariusz często jest określany jako bring your own key (BYOK). Key Vault używa rodziny nCipher nShield modułów HSM (zweryfikowany poziom 2 fiPS 140-2) w celu ochrony kluczy.

Skorzystaj z informacji w tym artykule, aby ułatwić planowanie, generowanie i przenoszenie własnych kluczy chronionych przez moduł HSM do użycia z usługą Azure Key Vault.

Uwaga

Ta funkcja nie jest dostępna dla usługi Azure China 21Vianet.

Ta metoda importu jest dostępna tylko dla obsługiwanych modułów HSM.

Aby uzyskać więcej informacji i samouczka, aby rozpocząć korzystanie z Key Vault (w tym jak utworzyć magazyn kluczy dla kluczy chronionych przez moduł HSM), zobacz Co to jest usługa Azure Key Vault?.

Omówienie

Oto omówienie procesu. Konkretne kroki do wykonania opisano w dalszej części artykułu.

  • W Key Vault wygeneruj klucz (nazywany kluczem Exchange kluczem (KEK)). Klucz KEK musi być kluczem RSA-HSM, który ma tylko operację import klucza. Tylko jednostka SKU Key Vault Premium obsługuje klucze RSA-HSM.
  • Pobierz klucz publiczny KEK jako plik pem.
  • Przenieś klucz publiczny klucza KEK na komputer w trybie offline połączony z lokalnym modułem HSM.
  • Na komputerze w trybie offline użyj narzędzia BYOK dostarczonego przez dostawcę modułu HSM, aby utworzyć plik BYOK.
  • Klucz docelowy jest szyfrowany za pomocą klucza KEK, który pozostaje zaszyfrowany, dopóki nie zostanie przeniesiony do Key Vault modułu HSM. Tylko zaszyfrowana wersja klucza pozostawia lokalny moduł HSM.
  • Klucz KEK generowany wewnątrz modułu HSM Key Vault nie można eksportować. Moduły HSM wymuszają regułę, że nie istnieje czysta wersja klucza KEK poza modułem HSM Key Vault.
  • Klucz KEK musi znajdować się w tym samym magazynie kluczy, w którym zostanie zaimportowany klucz docelowy.
  • Po przekazaniu pliku BYOK do Key Vault moduł HSM Key Vault używa klucza prywatnego klucza KEK do odszyfrowywania materiału klucza docelowego i importowania go jako klucza HSM. Ta operacja odbywa się całkowicie wewnątrz Key Vault modułu HSM. Klucz docelowy zawsze pozostaje na granicy ochrony modułu HSM.

Wymagania wstępne

W poniższej tabeli wymieniono wymagania wstępne dotyczące używania rozwiązania BYOK w usłudze Azure Key Vault:

Wymaganie Więcej informacji
Subskrypcja platformy Azure Aby utworzyć magazyn kluczy w usłudze Azure Key Vault, potrzebna jest subskrypcja platformy Azure. Utwórz konto w celu uzyskania bezpłatnej wersji próbnej.
Jednostka SKU Key Vault Premium do importowania kluczy chronionych przez moduł HSM Aby uzyskać więcej informacji na temat warstw usług i możliwości w usłudze Azure Key Vault, zobacz Key Vault Cennik.
Moduł HSM z listy obsługiwanych modułów HSM i narzędzie BYOK oraz instrukcje dostarczone przez dostawcę modułu HSM Musisz mieć uprawnienia do modułu HSM i podstawową wiedzę na temat korzystania z modułu HSM. Zobacz Obsługiwane moduły HSM.
Interfejs wiersza polecenia platformy Azure w wersji 2.1.0 lub nowszej Zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Obsługiwane moduły HSM

Nazwa dostawcy Typ dostawcy Obsługiwane modele modułu HSM Więcej informacji
Kryptograficzne IsV (system zarządzania kluczami Enterprise) Wiele marek i modeli HSM, w tym
  • nCipher
  • Thales
  • Utimaco
Aby uzyskać szczegółowe informacje, zobacz witrynę Cryptomathic
Kryptograficzne narzędzie BYOK i dokumentacja
Powierzyć Producent
Moduł HSM jako usługa
  • nShield rodziny modułów HSM
  • nShield jako usługa
nCipher nowe narzędzie BYOK i dokumentacja
Fortanix Producent
Moduł HSM jako usługa
  • Self-Defending usługa zarządzania kluczami (SDKMS)
  • Equinix SmartKey
Eksportowanie kluczy ZESTAWU SDKMS do dostawców usług w chmurze dla modelu BYOK — Azure Key Vault
IBM Producent IBM 476x, CryptoExpress IBM Enterprise Key Management Foundation
Marvell Producent Wszystkie moduły HSM zabezpieczeń LiquidSecurity z
  • Oprogramowanie układowe w wersji 2.0.4 lub nowszej
  • Oprogramowanie układowe w wersji 3.2 lub nowszej
Marvell BYOK tool and documentation (Narzędzie i dokumentacja rozwiązania Marvell BYOK)
nCipher Producent
Moduł HSM jako usługa
  • nShield rodziny modułów HSM
  • nShield jako usługa
nCipher nowe narzędzie BYOK i dokumentacja
Securosys SA Producent
Moduł HSM jako usługa
Rodzina modułów HSM Primus, Moduł HSM Chmury Securosys Narzędzie i dokumentacja usługi Primus BYOK
StorMagic IsV (system zarządzania kluczami Enterprise) Wiele marek i modeli HSM, w tym
  • Utimaco
  • Thales
  • nCipher
Aby uzyskać szczegółowe informacje, zobacz witrynę StorMagic
SvKMS i Azure Key Vault BYOK
Thales Producent
  • Rodzina Luna HSM 7 z oprogramowaniem układowym w wersji 7.3 lub nowszej
Narzędzie i dokumentacja luna BYOK
Utimaco Producent
Moduł HSM jako usługa
u.trust Anchor, CryptoServer Przewodnik dotyczący narzędzia i integracji rozwiązania Utimaco BYOK

Obsługiwane typy kluczy

Nazwa klucza Typ klucza Rozmiar klucza/krzywa Origin Opis
Klucz Exchange klucza (KEK) RSA 2048-bitowy
3072-bitowy
4096-bitowy
Moduł HSM usługi Azure Key Vault Para kluczy RSA utworzona w usłudze Azure Key Vault
Klucz docelowy
RSA 2048-bitowy
3072-bitowy
4096-bitowy
Moduł HSM dostawcy Klucz, który ma zostać przeniesiony do modułu HSM usługi Azure Key Vault
EC P-256
P-384
P-521
Moduł HSM dostawcy Klucz, który ma zostać przeniesiony do modułu HSM usługi Azure Key Vault

Generowanie i przenoszenie klucza do modułu HSM Key Vault

Aby wygenerować i przenieść klucz do modułu HSM Key Vault:

Krok 1. Generowanie klucza KEK

Klucz KEK to klucz RSA generowany w Key Vault hsM. Klucz KEK jest używany do szyfrowania klucza, który chcesz zaimportować (klucz docelowy ).

Klucz KEK musi być:

  • Klucz RSA-HSM (2048-bitowy; 3072-bitowy; lub 4096-bitowy)
  • Wygenerowany w tym samym magazynie kluczy, w którym zamierzasz zaimportować klucz docelowy
  • Utworzono z dozwolonymi operacjami kluczy ustawionymi na import

Uwaga

Klucz KEK musi mieć wartość "import" jako jedyną dozwoloną operację klucza. "import" wyklucza się wzajemnie ze wszystkimi innymi kluczowymi operacjami.

Użyj polecenia az keyvault key create , aby utworzyć klucz KEK zawierający operacje klucza ustawione na wartość import. Zarejestruj identyfikator klucza (kid), który jest zwracany z następującego polecenia. (Użyjesz kid wartości w kroku 3).

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM

Krok 2. Pobieranie klucza publicznego klucza KEK

Użyj polecenia az keyvault key download , aby pobrać klucz publiczny klucza KEK do pliku pem. Importowany klucz docelowy jest szyfrowany przy użyciu klucza publicznego klucza KEK.

az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

Przenieś plik KEKforBYOK.publickey.pem na komputer w trybie offline. Ten plik będzie potrzebny w następnym kroku.

Krok 3. Generowanie i przygotowywanie klucza do przeniesienia

Zapoznaj się z dokumentacją dostawcy modułu HSM, aby pobrać i zainstalować narzędzie BYOK. Postępuj zgodnie z instrukcjami od dostawcy modułu HSM, aby wygenerować klucz docelowy, a następnie utwórz pakiet transferu kluczy (plik BYOK). Narzędzie BYOK użyje kid pliku z kroku 1 i pliku KEKforBYOK.publickey.pem pobranego w kroku 2 w celu wygenerowania zaszyfrowanego klucza docelowego w pliku BYOK.

Przenieś plik BYOK na połączony komputer.

Uwaga

Importowanie kluczy 1024-bitowych RSA nie jest obsługiwane. Importowanie klucza krzywej eliptycznej za pomocą krzywej P-256K nie jest obsługiwane.

Znany problem: Importowanie klucza docelowego RSA 4K z modułów HSM Luna jest obsługiwane tylko w przypadku oprogramowania układowego 7.4.0 lub nowszego.

Krok 4. Przenoszenie klucza do usługi Azure Key Vault

Aby ukończyć importowanie klucza, przenieś pakiet transferu kluczy (plik BYOK) z komputera odłączonego do komputera podłączonego do Internetu. Użyj polecenia az keyvault key import, aby przekazać plik BYOK do modułu HSM Key Vault.

Aby zaimportować klucz RSA, użyj następującego polecenia. Parametr --kty jest opcjonalny i domyślnie ma wartość "RSA-HSM".

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Aby zaimportować klucz EC, należy określić typ klucza i nazwę krzywej.

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok

Jeśli przekazywanie zakończy się pomyślnie, interfejs wiersza polecenia platformy Azure wyświetli właściwości zaimportowanego klucza.

Następne kroki

Teraz możesz użyć tego klucza chronionego przez moduł HSM w magazynie kluczy. Aby uzyskać więcej informacji, zobacz porównanie cen i funkcji.