Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управляемый модуль HSM для Azure Key Vault поддерживает возможность импорта ключей, созданных в локальном модуле HSM. Ключи всегда будут находиться под защитой модуля HSM. Этот сценарий обычно называется созданием собственных ключей (BYOK). Управляемый HSM использует адаптеры Marvell LiquidSecurity HSM, сертифицированные по стандарту FIPS 140-3 третий уровень, для защиты ваших ключей.
Информация в этой статье поможет вам подготовить и создать ваши собственные ключи, защищенные модулем HSM, и передать их в управляемый модуль HSM.
Замечание
Этот метод импорта доступен только для поддерживаемых модулей HSM.
Дополнительные сведения и руководство по началу работы с управляемым модулем HSM см. в статье о том, что такое управляемый модуль HSM.
Обзор
Ниже представлен обзор этого процесса. Конкретные действия, которые необходимо для этого выполнить, описаны далее в этой статье.
- В управляемом модуле HSM создайте ключ (который называется ключом обмена ключами (KEK)). KEK должен быть ключом RSA-HSM, с которым можно выполнять только операцию
import. - Скачайте открытый ключ KEK в виде PEM-файла.
- Перенесите открытый ключ KEK на автономный компьютер, подключенный к локальному модулю HSM.
- На автономном компьютере используйте средство BYOK, предоставленное поставщиком HSM, для создания файла BYOK.
- Целевой ключ шифруется с помощью KEK, который остается зашифрованным, пока он не будет передан в управляемый HSM. Локальный модуль HSM покидает только зашифрованная версия ключа.
- KEK, созданный в управляемом HSM, не может экспортироваться. Модули HSM принудительно применяют правило, согласно которому за пределами управляемого модуля HSM не должно быть незашифрованной версии KEK.
- Ключ KEK должен находиться в том же управляемом модуле HSM, в который будет импортирован целевой ключ.
- Получив файл BYOK, управляемый модуль HSM использует закрытый ключ KEK для расшифровки материала целевого ключа и его импорта в качестве ключа HSM. Эта операция выполняется полностью в HSM. Целевой ключ всегда остается под защитой HSM.
Предпосылки
Чтобы использовать команды Azure CLI в этой статье, вам необходимо следующее:
- Подписка на Microsoft Azure. Если у вас ее нет, зарегистрируйтесь, чтобы воспользоваться бесплатной пробной версией.
- Azure CLI 2.12.0 или более поздней версии. Чтобы узнать версию, выполните команду
az --version. Если вам нужно установить или обновить, см. статью "Установка Azure CLI". - Управляемый модуль HSM — список поддерживаемых HSM в вашей подписке. См. раздел "Краткое руководство: подготовка и активация управляемого HSM с помощью Azure CLI" для настройки и активации управляемого устройства HSM.
Azure Cloud Shell
Azure размещает Azure Cloud Shell, интерактивную среду оболочки, которую можно использовать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для выполнения кода в этой статье можно использовать предустановленные команды Cloud Shell, не устанавливая ничего в локальной среде.
Чтобы запустить Azure Cloud Shell, выполните приведенные действия.
| Вариант | Пример/ссылка |
|---|---|
| Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически. |
|
| Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell. |
|
| Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure. |
|
Чтобы использовать Azure Cloud Shell, выполните следующие действия:
Запустите Cloud Shell.
Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.
Вставьте код или команду в сеанс Cloud Shell, выбрав CTRL+SHIFT+V в Windows и Linux или выбрав Cmd+Shift+V в macOS.
Нажмите Enter, чтобы запустить код или команду.
Чтобы войти в Azure с помощью интерфейса командной строки, введите следующее:
az login
Дополнительные сведения о параметрах входа с помощью ИНТЕРФЕЙСА командной строки см. в разделе о входе с помощью Azure CLI.
Поддерживаемые модули HSM
| Наименование поставщика | Тип поставщика | Поддерживаемые модели модуля HSM | Дополнительные сведения |
|---|---|---|---|
| Cryptomathic | ISV (корпоративная система управления ключами) | Несколько торговых марок и моделей HSM, в том числе
|
|
| Вверять | Производитель, HSM как услуга |
|
Новое средство BYOK и документация для nCipher |
| Fortanix | Производитель, HSM как услуга |
|
Экспорт ключей SDKMS в поставщики облачных служб для BYOK — Azure Key Vault |
| IBM | Изготовитель | IBM 476x, CryptoExpress | IBM Enterprise Key Management Foundation |
| Marvell | Изготовитель | Все модули HSM LiquidSecurity со
|
Новое средство BYOK и документация для Marvell |
| Securosys SA | Производитель, HSM как услуга | Семейство Primus HSM, Securosys Clouds HSM | Новое средство BYOK и документация для Primus |
| StorMagic | ISV (корпоративная система управления ключами) | Несколько торговых марок и моделей HSM, в том числе
|
SvKMS и Azure Key Vault (BYOK) |
| Фалес | Изготовитель |
|
Новое средство BYOK и документация для Luna |
| Utimaco | Производитель, HSM как услуга |
Привязка u.trust, CryptoServer | Инструмент Utimaco BYOK и руководство по интеграции |
Поддерживаемые типы ключей
| Имя ключа | Тип ключа | Размер ключа (кривая) | Происхождение | Описание |
|---|---|---|---|---|
| Ключ обмена ключами (KEK) | RSA-HSM | 2048-разрядный 3072-разрядный 4096-разрядный |
Управляемый модуль HSM | Защищенная модулем HSM пара ключей RSA, созданная в управляемом модуле HSM |
| Целевой ключ | ||||
| RSA-HSM | 2048-разрядный 3072-разрядный 4096-разрядный |
HSM от поставщика | Ключ для передачи в управляемый модуль HSM | |
| EC-HSM | P-256 P-384 P-521 |
HSM от поставщика | Ключ для передачи в управляемый модуль HSM | |
| Симметричный ключ (oct-hsm) | 128-разрядное 192-битный 256-битный |
HSM от поставщика | Ключ для передачи в управляемый модуль HSM | |
Создание ключа и его передача в управляемый модуль HSM
Шаг 1. Создание KEK
KEK — это ключ RSA, который создается в Управляемом модуле HSM. KEK используется для шифрования ключа, который необходимо импортировать (целевого ключа).
Ключ KEK должен:
- быть ключом RSA-HSM (2048-, 3072- или 4096-разрядным);
- создаваться в том же управляемом модуле HSM, в который планируется импортировать целевой ключ;
- поддерживать только операцию
import.
Замечание
Единственной допустимой операцией с ключом KEK должна быть операция "import", которая является взаимоисключающей с любыми другими операциями с ключами.
С помощью команды az keyvault key create создайте ключ KEK, для которого в качестве операции с ключами задана операция import. Запишите идентификатор ключа (kid), возвращаемый следующей командой. (Вы будете использовать значение на шаге kid 3.)
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM
Шаг 2. Скачивание открытого ключа KEK
Чтобы скачать открытый ключ KEK в PEM-файл, используйте команду az keyvault key download. Импортируемый целевой ключ шифруется с помощью открытого ключа KEK.
az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Перенесите файл KEKforBYOK.publickey.pem на автономный компьютер. Этот файл потребуется для выполнения следующего шага.
Шаг 3. Создание ключа и подготовка его к передаче
Сведения о том, как скачать и установить средство BYOK, см. в документации поставщика HSM. Следуйте инструкциям поставщика HSM, чтобы создать целевой ключ, а затем создайте пакет для перемещения ключа (файл BYOK). Средство BYOK будет использовать значение kid, полученное на шаге 1, и файл KEKforBYOK.publickey.pem, скачанный на шаге 2, для создания зашифрованного целевого ключа в файле BYOK.
Перенесите файл BYOK на подключенный компьютер.
Замечание
Импорт 1024-разрядных ключей RSA не поддерживается. Поддерживается импорт ключей EC-HSM P256K.
Известная проблема. Импорт целевого 4096-разрядного ключа RSA из модулей HSM Luna поддерживается только при использовании встроенного ПО версии 7.4.0 или более поздней.
Шаг 4. Перенос ключа в управляемый модуль HSM
Чтобы завершить импорт ключа, перенесите пакет обмена ключами (файл BYOK) с отключенного компьютера на компьютер, подключенный к Интернету. Чтобы передать файл BYOK в управляемый модуль HSM, используйте команду az keyvault key import.
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Если отправка прошла успешно, в Azure CLI отобразятся свойства импортированного ключа.
Дальнейшие шаги
Теперь ключ, защищенный модулем HSM, можно использовать в управляемом модуле HSM. Дополнительные сведения см. на этой странице цен и сравнения характеристик.