Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Key Vault HSM gestito supporta l'importazione di chiavi generate nel tuo modulo di sicurezza hardware locale. Le chiavi non lasciano mai il limite di protezione HSM. Questo scenario viene spesso definito BYOK (Bring Your Own Key). Per proteggere le chiavi, il modulo di protezione hardware gestito usa le schede HSM Marvell LiquidSecurity (convalidate in base agli standard FIPS 140-3 livello 3).
Usa le informazioni in questo articolo per aiutarti a pianificare, generare e trasferire le tue chiavi protette da HSM da usare con un HSM gestito.
Annotazioni
Questo metodo di importazione è disponibile solo per i moduli di protezione hardware supportati.
Per ulteriori informazioni e per un'esercitazione su come iniziare a usare HSM gestito, consultare Che cos'è HSM gestito?
Informazioni generali
Ecco una panoramica del processo. I passaggi specifici da completare sono illustrati più avanti nell'articolo.
- In HSM gestito, generare una chiave (denominata Key Exchange Key (KEK)). La chiave KEK deve essere una chiave RSA-HSM che ha solo l'operazione
importdella chiave. - Scaricare la chiave pubblica KEK come file PEM.
- Trasferire la chiave pubblica KEK in un computer offline connesso a un modulo di protezione hardware locale.
- Nel computer offline usare lo strumento BYOK fornito dal fornitore del modulo di protezione hardware per creare un file BYOK.
- La chiave di destinazione è crittografata con una chiave KEK, che rimane crittografata fino al trasferimento nel modulo di protezione hardware gestito. Solo la versione crittografata della chiave esce dal modulo di protezione hardware locale.
- Una chiave KEK generata all'interno di un modulo di protezione hardware gestito non è esportabile. Gli HSM impongono la regola in base alla quale non esistono versioni non crittografate di una chiave KEK all'esterno di un HSM gestito.
- La chiave KEK deve trovarsi nello stesso HSM gestito in cui verrà importata la chiave di destinazione.
- Quando si carica il file BYOK nel modulo di protezione hardware gestito, un modulo di protezione hardware gestito usa la chiave privata KEK per decrittografare il materiale della chiave di destinazione e importarlo come chiave HSM. Questa operazione viene eseguita interamente nell'HSM. La chiave di destinazione rimane sempre entro i limiti di protezione del modulo di protezione hardware.
Prerequisiti
È necessaria una sottoscrizione Azure. Se non ne hai uno, crea un account gratuito prima di iniziare.
Altri elementi necessari:
- interfaccia della riga di comando di Azure versione 2.12.0 o successiva. Eseguire
az --versionper trovare la versione. Se è necessario installare o aggiornare, vedere Installare il interfaccia della riga di comando di Azure. - Un HSM gestito nell'elenco degli HSM supportati nella sottoscrizione. Per effettuare il provisioning e attivare un modulo di protezione hardware gestito, vedere Quickstart: Effettuare il provisioning e attivare un modulo di protezione hardware gestito usando interfaccia della riga di comando di Azure.
Azure Cloud Shell
Azure host Azure Cloud Shell, un ambiente shell interattivo che è possibile usare tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi Cloud Shell preinstallati per eseguire il codice in questo articolo, senza dover installare alcun elemento nell'ambiente locale.
Per avviare Azure Cloud Shell:
| Opzione | Esempio/collegamento |
|---|---|
| Selezionare Prova nell'angolo superiore destro di un codice o di un blocco di comandi. Se si seleziona Try It non viene copiato automaticamente il codice o il comando in Cloud Shell. |
|
| Passare a https://shell.azure.com oppure selezionare il pulsante Launch Cloud Shell per aprire Cloud Shell nel browser. |
|
| Selezionare il pulsante Cloud Shell nella barra dei menu in alto a destra nel portale Azure. |
|
Per usare Azure Cloud Shell:
Avviare Cloud Shell.
Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.
Incollare il codice o il comando nella sessione di Cloud Shell selezionando Ctrl+Shift+V in Windows e Linux oppure selezionando Cmd+Shift+V in macOS.
Selezionare Immettere per eseguire il codice o il comando.
Per accedere a Azure usando l'interfaccia della riga di comando, digitare:
az login
Per altre informazioni sulle opzioni di autenticazione tramite l'interfaccia della riga di comando, vedere sign in with interfaccia della riga di comando di Azure.
Moduli di protezione hardware supportati
| Nome fornitore | Tipo di fornitore | Modelli di HSM supportati | Maggiori informazioni |
|---|---|---|---|
| Cryptomathic | ISV (Sistema di Gestione delle Chiavi Aziendale) | Varie marche e modelli di HSM (moduli di sicurezza hardware), tra cui
|
|
| Affidare | Produttore, modulo di protezione hardware come servizio |
|
Nuovo strumento BYOK e documentazione di nCipher |
| Fortanix | Produttore, modulo di protezione hardware come servizio |
|
Esportazione delle chiavi SDKMS nei provider di servizi cloud per BYOK - Azure Key Vault |
| IBM | Fabbricante | IBM 476x, CryptoExpress | IBM Enterprise Key Management Foundation |
| Marvell | Fabbricante | Moduli di protezione hardware di All LiquidSecurity con
|
Strumento BYOK e documentazione di Marvell |
| Securosys SA | Produttore, HSM come servizio | Famiglia di HSM Primus, Securosys Clouds HSM | Strumento BYOK e documentazione di Primus |
| StorMagic | ISV (Sistema di Gestione delle Chiavi Aziendale) | Varie marche e modelli di HSM (moduli di sicurezza hardware), tra cui
|
SvKMS e Azure Key Vault BYOK |
| Thales | Fabbricante |
|
Documentazione e strumento BYOK di Luna |
| Utimaco | Produttore, modulo di protezione hardware come servizio |
u.trust Anchor, CryptoServer | Guida all'integrazione e agli strumenti BYOK di Utimaco |
Tipi di chiave supportati
| Nome chiave | Tipo di chiave | Dimensioni/curva chiave | Origine | Descrizione |
|---|---|---|---|---|
| Chiave di Scambio Chiavi (KEK) | RSA-HSM | 2,048 bit 3.072 bit 4.096 bit |
HSM gestito | Coppia di chiavi RSA generata in un HSM gestito e supportata da HSM |
| Chiave di destinazione | ||||
| RSA-HSM | 2,048 bit 3.072 bit 4.096 bit |
Modulo di protezione hardware del fornitore | La chiave da trasferire all'HSM gestito | |
| EC-HSM | P-256 P-384 P-521 |
Modulo di protezione hardware del fornitore | La chiave da trasferire all'HSM gestito | |
| Chiave simmetrica (oct-hsm) | 128 bit 192 bit 256 bit |
Modulo di protezione hardware del fornitore | La chiave da trasferire all'HSM gestito | |
Generare e trasferire la chiave all'HSM gestito
Passaggio 1: Generare un KEK
Una chiave KEK è una chiave RSA generata in un modulo di protezione hardware gestito. Usare la chiave kek per crittografare la chiave da importare (la chiave di destinazione ).
La KEK deve essere:
- Una chiave RSA-HSM (2.048 bit, 3.072 bit o 4.096 bit)
- Generato nello stesso HSM gestito, dove si intende importare la chiave di destinazione.
- Creata con operazioni di chiave consentite impostate su
import
Annotazioni
La chiave KEK deve avere import come unica operazione di chiave consentita.
import e tutte le altre operazioni delle chiavi si escludono a vicenda.
Usare il comando az keyvault key create per creare una chiave KEK con operazioni della chiave impostate su import. Registrare l'identificatore della chiave (kid) restituito dal comando seguente. Il valore kid verrà usato nel Passaggio 3.
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name <hsm-name>
Passaggio 2: Scarica la chiave pubblica KEK
Usare az keyvault key download per scaricare la chiave pubblica KEK in un file PEM. La chiave di destinazione importata viene crittografata mediante la chiave pubblica KEK.
az keyvault key download --name KEKforBYOK --hsm-name <hsm-name> --file KEKforBYOK.publickey.pem
Trasferire il KEKforBYOK.publickey.pem file nel computer offline. Questo file è necessario nel passaggio successivo.
Passaggio 3: Generare e preparare la chiave per il trasferimento
Per scaricare e installare lo strumento BYOK, vedere la documentazione del fornitore del modulo di protezione hardware. Seguire le istruzioni del fornitore del modulo di protezione hardware per generare una chiave di destinazione e quindi creare un pacchetto di trasferimento delle chiavi (un file BYOK). Lo strumento BYOK usa kid dal passaggio 1 e il file KEKforBYOK.publickey.pem che hai scaricato nel passaggio 2 per generare una chiave di destinazione crittografata nel file BYOK.
Trasferire il file BYOK nel computer connesso.
Annotazioni
L'importazione di chiavi RSA a 1.024 bit non è supportata. È supportata l'importazione di chiavi EC-HSM P256K.
Problema noto: l'importazione di una chiave di destinazione RSA 4K da moduli di protezione hardware Luna è supportata solo con firmware 7.4.0 o versione successiva.
Passaggio 4: Trasferire la chiave all'HSM gestito
Per completare l'importazione della chiave, trasferire il pacchetto di trasferimento della chiave, ovvero un file BYOK, dal computer disconnesso al computer connesso a Internet. Usare il comando az keyvault key import per caricare il file BYOK nel modulo di protezione hardware gestito.
az keyvault key import --hsm-name <hsm-name> --name <key-name> --byok-file KeyTransferPackage-<key-name>.byok
Se il caricamento ha esito positivo, interfaccia della riga di comando di Azure visualizza le proprietà della chiave importata.
Passaggi successivi
È ora possibile utilizzare questa chiave protetta da HSM nel tuo HSM gestito. Per altre informazioni, vedere questo confronto tra prezzi e funzionalità.