Met HSM beveiligde sleutels importeren in Key Vault (BYOK)
Als u Azure Key Vault gebruikt, kunt u het beste sleutels in een HSM (Hardware Security Module) importeren of genereren; de sleutel zal de HSM-grens nooit overschrijden. Dit scenario wordt vaak aangeduid als Bring Your Own Key (BYOK). Key Vault maakt gebruik van met FIPS 140 gevalideerde HSM's om uw sleutels te beveiligen.
Gebruik de informatie in dit artikel bij het plannen, genereren en overbrengen van uw eigen, met HSM beveiligde sleutels voor gebruik met Azure Key Vault.
Notitie
Deze functionaliteit is niet beschikbaar voor Microsoft Azure beheerd door 21Vianet.
Deze importmethode is alleen beschikbaar voor ondersteunde HSM's.
Zie Wat is Azure Key Vault? voor meer informatie en voor een zelfstudie om aan de slag te gaan met Key Vault (inclusief het maken van een sleutelkluis voor met HSM beveiligde sleutels).
Overzicht
Hier volgt een overzicht van het proces. De specifieke uit te voeren stappen worden verderop in het artikel beschreven.
- Genereer in Key Vault een sleutel (aangeduid als een Key Exchange Key (KEK)). De KEK moet een RSA-HSM-sleutel zijn die alleen de sleutelbewerking
importbevat. Alleen Key Vault Premium en Beheerde HSM ondersteunen RSA-HSM-sleutels. - Download de openbare KEK-sleutel als een .pem-bestand.
- Draag de openbare KEK-sleutel over naar een offline computer die is verbonden met een on-premises HSM.
- Gebruik op de offline computer het BYOK-hulpprogramma van de HSM-leverancier om een BYOK-bestand te maken.
- De doelsleutel wordt versleuteld met een KEK, die versleuteld blijft totdat de sleutel wordt overgebracht naar de Key Vault-HSM. Alleen de versleutelde versie van de sleutel verlaat de on-premises HSM.
- Een KEK die wordt gegenereerd in een Key Vault-HSM kan niet worden geëxporteerd. HSM's dwingen de regel af dat er geen duidelijke versie van een KEK mag bestaan buiten een Key Vault-HSM.
- De KEK moet zich in dezelfde sleutelkluis bevinden als waar de doelsleutel wordt geïmporteerd.
- Wanneer het BYOK-bestand wordt geüpload naar Key Vault, gebruikt een Key Vault-HSM de persoonlijke KEK-sleutel om het doelsleutelmateriaal te ontsleutelen en te importeren als een HSM-sleutel. Deze bewerking vindt volledig in een Key Vault-HSM plaats. De doelsleutel blijft altijd binnen de beschermingsgrens van de HSM.
Vereisten
De volgende tabel bevat de vereisten voor het gebruik van BYOK in Azure Key Vault:
| Vereiste | Meer informatie |
|---|---|
| Een Azure-abonnement | Als u een sleutelkluis in Azure Key Vault wilt maken, hebt u een Azure-abonnement nodig. Registreer u voor een gratis proefversie. |
| Een Key Vault Premium- of beheerde HSM om met HSM beveiligde sleutels te importeren | Zie Prijzen van Azure Key Vault voor meer informatie over de servicelagen en mogelijkheden van Azure Key Vault. |
| Een HSM uit de lijst met ondersteunde HSM's en een BYOK-hulpprogramma en instructies van uw HSM-leverancier | U moet over machtigingen beschikken voor een HSM en basiskennis van het gebruik van uw HSM hebben. Zie Ondersteunde HSM's. |
| Azure CLI versie 2.1.0 of hoger | Raadpleeg De Azure CLI installeren. |
Ondersteunde HSM's
| Leveranciernaam | Type leverancier | Ondersteunde HSM-modellen | Meer informatie |
|---|---|---|---|
| Cryptomathic | ISV (Enterprise Key Management System) | Meerdere HSM-merken en -modellen, inclusief
|
|
| Vertrouwen | Fabrikant, HSM as a service |
|
Nieuw BYOK-hulpprogramma en -documentatie van nCipher |
| Fortanix | Fabrikant, HSM as a service |
|
SDKMS-sleutels exporteren naar cloudproviders voor BYOK - Azure Key Vault |
| IBM | Fabrikant | IBM 476x, CryptoExpress | IBM Enterprise Key Management Foundation |
| Marvell | Fabrikant | Alle LiquidSecurity-HSM's met
|
BYOK-hulpprogramma en -documentatie van Marvell |
| nCipher | Fabrikant, HSM as a service |
|
Nieuw BYOK-hulpprogramma en -documentatie van nCipher |
| Securosys SA | Fabrikant, HSM as a service |
Primus HSM-serie, Securosys Clouds HSM | BYOK-hulpprogramma en -documentatie van Primus |
| StorMagic | ISV (Enterprise Key Management System) | Meerdere HSM-merken en -modellen, inclusief
|
SvKMS en Azure Key Vault BYOK |
| Thales | Fabrikant |
|
BYOK-hulpprogramma en -documentatie van Luna |
| Utimaco | Fabrikant, HSM as a service |
u.trust Anchor, CryptoServer | Utimaco BYOK-hulpprogramma en integratiehandleiding |
Ondersteunde sleuteltypen
| Sleutelnaam | Type sleutel | Sleutelgrootte/curve | Oorprong | Beschrijving |
|---|---|---|---|---|
| Key Exchange Key (KEK) | RSA | 2048-bits 3072-bits 4096-bits |
Azure Key Vault-HSM | Een met HSM ondersteund RSA-sleutelpaar dat wordt gegenereerd in Azure Key Vault |
| Doelsleutel | ||||
| RSA | 2048-bits 3072-bits 4096-bits |
HSM-leverancier | De sleutel die moet worden overgedragen naar de Azure Key Vault-HSM | |
| EC | P-256 P-384 P-521 |
HSM-leverancier | De sleutel die moet worden overgedragen naar de Azure Key Vault-HSM | |
Uw sleutel genereren en overdragen naar Key Vault Premium HSM of beheerde HSM
Uw sleutel genereren en overdragen naar een Key Vault Premium of beheerde HSM:
- Stap 1: Een KEK genereren
- Stap 2: De openbare KEK-sleutel downloaden
- Stap 3: Uw sleutel genereren en voorbereiden voor overdracht
- Stap 4: Uw sleutel overdragen naar Azure Key Vault
Een KEK genereren
Een KEK is een RSA-sleutel die wordt gegenereerd in een Key Vault Premium- of Beheerde HSM. De KEK wordt gebruikt voor het versleutelen van de sleutel die u wilt importeren (de doelsleutel).
De KEK moet aan het volgende voldoen:
- Een RSA-HSM-sleutel (2048-bits, 3072-bits of 4096-bits)
- Gegenereerd in de sleutelkluis waarin u de doelsleutel wilt importeren
- Gemaakt met toegestane sleutelbewerkingen ingesteld op
import
Notitie
De KEK moet 'import' bevatten als de enige toegestane sleutelbewerking. 'import' en alle andere sleutelbewerkingen sluiten elkaar wederzijds uit.
Gebruik de opdracht az keyvault key create om een KEK te maken waarbij de sleutelbewerkingen zijn ingesteld op import. Noteer de sleutel-id (kid) die wordt geretourneerd met de volgende opdracht. (U gebruikt de waarde kid in stap 3.)
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM
Voor beheerde HSM:
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM
De openbare KEK-sleutel downloaden
Gebruik az keyvault key download om de openbare KEK-sleutel te downloaden naar een .pem-bestand. De doelsleutel die u importeert, wordt versleuteld met behulp van de openbare KEK-sleutel.
az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Voor beheerde HSM:
az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Draag het bestand KEKforBYOK.publickey.pem over naar uw offline computer. U hebt dit bestand in de volgende stap nodig.
De sleutel genereren en voorbereiden op overdracht
Raadpleeg de documentatie van uw HSM-leverancier om het BYOK-hulpprogramma te downloaden en te installeren. Volg de instructies van de HSM-leverancier om een doelsleutel te genereren en maak vervolgens een sleuteloverdrachtspakket (een BYOK-bestand). Het BYOK-hulpprogramma gebruikt de kid van stap 1 en het bestand KEKforBYOK.publickey.pem dat u in stap 2 hebt gedownload om een versleutelde doelsleutel in een BYOK-bestand te genereren.
Draag het BYOK-bestand over naar de verbonden computer.
Notitie
Het importeren van 1024-bits RSA-sleutels wordt niet ondersteund. Het importeren van elliptische curvesleutel met curve P-256K wordt ondersteund.
Bekend probleem: het importeren van een RSA 4K-doelsleutel van Luna HSM's wordt alleen ondersteund met firmware 7.4.0 of hoger.
De sleutel overdragen naar Azure Key Vault
Om de sleutelimport te voltooien, draagt u het sleuteloverdrachtspakket (een BYOK-bestand) over van de niet-verbonden computer naar de computer met internetverbinding. Gebruik de opdracht az keyvault key import om het BYOK-bestand te uploaden naar de Key Vault-HSM.
Gebruik de volgende opdracht om een RSA-sleutel te importeren. Parameter --kty is optioneel en standaard ingesteld op RSA-HSM.
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Voor beheerde HSM
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Als u een EC-sleutel wilt importeren, moet u het sleuteltype en de curvenaam opgeven.
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Voor beheerde HSM
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok
Als het uploaden is gelukt, worden in Azure CLI de eigenschappen van de geïmporteerde sleutel weergegeven.
Volgende stappen
U kunt deze met HSM beveiligde sleutel nu gebruiken in uw sleutelkluis. Zie voor meer informatie deze vergelijking van prijzen en functies.