HSM korumalı anahtarları Key Vault'a aktarma (BYOK)
Azure Key Vault kullanırken daha fazla güvence için bir donanım güvenlik modülünde (HSM) bir anahtarı içeri aktarabilir veya oluşturabilirsiniz; anahtarı HSM sınırından asla ayrılmaz. Bu senaryo genellikle kendi anahtarını getir (KAG) olarak adlandırılır. Key Vault, anahtarlarınızı korumak için FIPS 140 doğrulanmış HSM'leri kullanır.
Azure Key Vault ile kullanmak üzere kendi HSM korumalı anahtarlarınızı planlamanıza, oluşturmanıza ve aktarmanıza yardımcı olması için bu makaledeki bilgileri kullanın.
Not
Bu işlevsellik, 21Vianet tarafından sağlanan Microsoft Azure'da kullanılamaz.
Bu içeri aktarma yöntemi yalnızca desteklenen HSM'ler için kullanılabilir.
Daha fazla bilgi ve Key Vault kullanmaya başlama öğreticisi (HSM korumalı anahtarlar için anahtar kasası oluşturma dahil) için bkz . Azure Key Vault nedir?.
Genel bakış
Burada işleme genel bir bakış sağlanır. Tamamlanması gereken belirli adımlar makalenin devamında açıklanmıştır.
- Key Vault'ta bir anahtar oluşturun (Anahtar Değişim Anahtarı (KEK) olarak adlandırılır). KEK, yalnızca
importanahtar işlemine sahip bir RSA-HSM anahtarı olmalıdır. Yalnızca Key Vault Premium ve Yönetilen HSM, RSA-HSM anahtarlarını destekler. - KEK ortak anahtarını .pem dosyası olarak indirin.
- KEK ortak anahtarını şirket içi HSM'ye bağlı çevrimdışı bir bilgisayara aktarın.
- Çevrimdışı bilgisayarda, bir BYOK dosyası oluşturmak için HSM satıcınız tarafından sağlanan BYOK aracını kullanın.
- Hedef anahtar, Key Vault HSM'ye aktarılana kadar şifrelenmiş olarak kalan bir KEK ile şifrelenir. Anahtarınızın yalnızca şifrelenmiş sürümü şirket içi HSM'den ayrılır.
- Key Vault HSM içinde oluşturulan KEK dışarı aktarılamaz. HSM'ler, Key Vault HSM'nin dışında KEK'nin net bir sürümünün bulunmaması kuralını zorlar.
- KEK, hedef anahtarın içeri aktarılacağı aynı anahtar kasasında olmalıdır.
- BYOK dosyası Key Vault'a yüklendiğinde, Key Vault HSM hedef anahtar malzemesinin şifresini çözmek ve HSM anahtarı olarak içeri aktarmak için KEK özel anahtarını kullanır. Bu işlem tamamen bir Key Vault HSM içinde gerçekleşir. Hedef anahtar her zaman HSM koruma sınırında kalır.
Önkoşullar
Aşağıdaki tabloda, Azure Key Vault'ta KAG'yi kullanmak için önkoşullar listelanmaktadır:
| Gereksinim | Daha Fazla Bilgi |
|---|---|
| Bir Azure aboneliği | Azure Key Vault'ta anahtar kasası oluşturmak için bir Azure aboneliğine ihtiyacınız vardır. Ücretsiz deneme için kaydolun. |
| HSM korumalı anahtarları içeri aktarmak için Key Vault Premium veya Yönetilen HSM | Azure Key Vault'taki hizmet katmanları ve özellikleri hakkında daha fazla bilgi için bkz . Key Vault Fiyatlandırması. |
| Desteklenen HSM'ler listesinden bir HSM ve bir KAG aracı ve HSM satıcınız tarafından sağlanan yönergeler | HSM için izinlere ve HSM'nizi kullanma hakkında temel bilgilere sahip olmanız gerekir. Bkz. Desteklenen HSM'ler. |
| Azure CLI sürüm 2.1.0 veya üzeri | Bkz . Azure CLI'yi yükleme. |
Desteklenen HSM'ler
| Satıcı adı | Satıcı Türü | Desteklenen HSM modelleri | Daha Fazla Bilgi |
|---|---|---|---|
| Şifreleme | ISV (Kurumsal Anahtar Yönetim Sistemi) | Birden çok HSM markası ve modeli
|
|
| Emanet | Üretici Hizmet olarak HSM |
|
nCipher new BYOK tool and documentation |
| Fortanix | Üretici Hizmet olarak HSM |
|
BYOK için SDKMS anahtarlarını Bulut Sağlayıcılarına aktarma - Azure Key Vault |
| Futurex | Üretici Hizmet olarak HSM |
|
Futurex Tümleştirme Kılavuzu - Azure Key Vault |
| IBM | Üretici | IBM 476x, CryptoExpress | IBM Enterprise Key Management Foundation |
| Marvell | Üretici | Tüm LiquidSecurity HSM'leri
|
Marvell BYOK aracı ve belgeleri |
| nCipher | Üretici Hizmet olarak HSM |
|
nCipher new BYOK tool and documentation |
| Securosys SA | Üretici Hizmet olarak HSM |
Primus HSM ailesi, Securosys Clouds HSM | Primus BYOK aracı ve belgeleri |
| StorMagic | ISV (Kurumsal Anahtar Yönetim Sistemi) | Birden çok HSM markası ve modeli
|
SvKMS ve Azure Key Vault BYOK |
| Thales | Üretici |
|
Luna BYOK aracı ve belgeleri |
| Utimaco | Üretici Hizmet olarak HSM |
u.trust Anchor, CryptoServer | Utimaco BYOK aracı ve Tümleştirme kılavuzu |
Desteklenen anahtar türleri
| Anahtar adı | Anahtar türü | Anahtar boyutu/eğrisi | Kaynak | Açıklama |
|---|---|---|---|---|
| Anahtar Değişim Anahtarı (KEK) | RSA-HSM | 2.048 bit 3.072 bit 4.096 bit |
Azure Key Vault HSM | Azure Key Vault'ta oluşturulan HSM destekli RSA anahtar çifti |
| Hedef anahtar | ||||
| RSA-HSM | 2.048 bit 3.072 bit 4.096 bit |
Satıcı HSM | Azure Key Vault HSM'ye aktarılacak anahtar. | |
| EC-HSM | P-256 P-384 P-521 |
Satıcı HSM | Azure Key Vault HSM'ye aktarılacak anahtar. | |
| OCT-HSM | 128 bit 192 bit 256 bit |
Satıcı HSM | Azure Key Vault HSM'ye aktarılacak anahtar. Yalnızca Azure Key Vault Yönetilen HSM'de desteklenir. |
Not
RSA ve EC, test için hedef anahtar türleri olarak desteklenirken Key Vault HSM'leri yerine Key Vault Hizmetine aktarılan yazılım anahtarı türleridir.
Anahtarınızı oluşturma ve Key Vault Premium HSM veya Yönetilen HSM'ye aktarma
Anahtarınızı oluşturmak ve Key Vault Premium veya Yönetilen HSM'ye aktarmak için:
- 1. Adım: KEK oluşturma
- 2. Adım: KEK ortak anahtarını indirme
- 3. Adım: Anahtarınızı oluşturma ve aktarım için hazırlama
- 4. Adım: Anahtarınızı Azure Key Vault'a aktarma
KEK oluşturma
KEK, Key Vault Premium veya Yönetilen HSM'de oluşturulan bir RSA anahtarıdır. KEK, içeri aktarmak istediğiniz anahtarı ( hedef anahtar) şifrelemek için kullanılır.
KEK şu şekilde olmalıdır:
- RSA-HSM anahtarı (2.048 bit; 3.072 bit; veya 4.096 bit)
- Hedef anahtarı içeri aktarmayı planladığınız aynı anahtar kasasında oluşturulur
- İzin verilen anahtar işlemleri olarak ayarlanmış şekilde oluşturuldu
import
Not
KEK'nin izin verilen tek anahtar işlemi olarak 'içeri aktarma' olması gerekir. 'import' diğer tüm anahtar işlemleriyle birbirini dışlar.
anahtar işlemleri olarak ayarlanmış importbir KEK oluşturmak için az keyvault key create komutunu kullanın. Aşağıdaki komuttan döndürülen anahtar tanımlayıcısını (kid) kaydedin. (3. Adımda değerini kullanacaksınızkid.)
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM
Yönetilen HSM için:
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM
KEK ortak anahtarını indirme
KEK ortak anahtarını bir .pem dosyasına indirmek için az keyvault key download komutunu kullanın. İçeri aktardığınız hedef anahtar KEK ortak anahtarı kullanılarak şifrelenir.
az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Yönetilen HSM için:
az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
KEKforBYOK.publickey.pem dosyasını çevrimdışı bilgisayarınıza aktarın. Sonraki adımda bu dosyaya ihtiyacınız olacak.
Anahtarınızı oluşturma ve aktarım için hazırlama
KAG aracını indirip yüklemek için HSM satıcınızın belgelerine bakın. Hedef anahtar oluşturmak için HSM satıcınızın yönergelerini izleyin ve ardından bir anahtar aktarım paketi (BYOK dosyası) oluşturun. BYOK aracı, 1. Adım'dan ve 2. Adımda indirdiğiniz KEKforBYOK.publickey.pem dosyasını kullanarak kid bir BYOK dosyasında şifrelenmiş bir hedef anahtar oluşturur.
BYOK dosyasını bağlı bilgisayarınıza aktarın.
Not
P-256K eğrisi ile Eliptik Eğri anahtarını içeri aktarma desteklenir.
Bilinen sorun: Luna HSM'lerinden RSA 4K hedef anahtarını içeri aktarmak yalnızca üretici yazılımı 7.4.0 veya daha yeni sürümlerle desteklenir.
Anahtarınızı Azure Key Vault'a aktarma
Anahtar içeri aktarma işlemini tamamlamak için, anahtar aktarım paketini (byok dosyası) bağlantısı kesilmiş bilgisayarınızdan İnternet'e bağlı bilgisayara aktarın. BYOK dosyasını Key Vault HSM'ye yüklemek için az keyvault key import komutunu kullanın.
Bir RSA anahtarını içeri aktarmak için aşağıdaki komutu kullanın. --kty parametresi isteğe bağlıdır ve varsayılan olarak 'RSA-HSM' olarak ayarlanır.
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Yönetilen HSM için
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Ec anahtarını içeri aktarmak için anahtar türünü ve eğri adını belirtmeniz gerekir.
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Yönetilen HSM için
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok
Karşıya yükleme başarılı olursa, Azure CLI içeri aktarılan anahtarın özelliklerini görüntüler.
Sonraki adımlar
Artık bu HSM korumalı anahtarı anahtar kasanızda kullanabilirsiniz. Daha fazla bilgi için bu fiyat ve özellik karşılaştırması konusuna bakın.