Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure Key Vault HSM gerenciado dá suporte à importação de chaves geradas no HSM (módulo de segurança de hardware) local. As chaves nunca saem do limite de proteção do HSM. Esse cenário geralmente é chamado de BYOK (traga sua própria chave). O HSM gerenciado usa os adaptadores de HSM do Marvell LiquidSecurity (validados por FIPS 140-3 Nível 3) para proteger suas chaves.
Use as informações deste artigo para ajudar você a planejar, gerar e transferir as próprias chaves protegidas por HSM a serem usadas com o HSM Gerenciado.
Observação
Esse método de importação está disponível somente para HSMs compatíveis.
Para obter mais informações e para obter um tutorial para começar a usar o HSM Gerenciado, consulte o que é hsm gerenciado?
Visão geral
Eis uma visão geral do processo. As etapas específicas a serem concluídas serão descritas mais adiante neste artigo.
- No HSM Gerenciado, gere uma chave (conhecida como Chave de Troca (KEK)). A KEK precisa ser uma chave RSA-HSM que tenha apenas a operação de chave
import. - Baixe a chave pública KEK como um arquivo .pem.
- Transfira a chave pública KEK para um computador offline que esteja conectado a um HSM local.
- No computador offline, use a ferramenta BYOK disponibilizada pelo fornecedor do HSM para criar um arquivo BYOK.
- A chave de destino é criptografada com uma KEK, que permanece criptografada até ser transferida para o HSM Gerenciado. Apenas a versão criptografada da chave sai do HSM local.
- Uma KEK gerada em um HSM Gerenciado não é exportável. Os HSMs impõem a regra de que não existe nenhuma versão clara de uma KEK fora de um HSM Gerenciado.
- A KEK precisa estar no mesmo HSM gerenciado em que a chave de destino será importada.
- Quando você faz upload do arquivo BYOK no HSM Gerenciado, um HSM Gerenciado usa a chave privada KEK para descriptografar o material da chave de destino e importá-lo como uma chave HSM. Essa operação ocorre inteiramente no HSM. A chave de destino sempre permanece no limite de proteção do HSM.
Pré-requisitos
Uma assinatura Azure é necessária. Se você não tiver uma, crie uma conta gratuita antes de começar.
Você também precisará de:
- CLI do Azure versão 2.12.0 ou posterior. Execute
az --versionpara encontrar a versão. Se você precisar instalar ou atualizar, consulte Instale o CLI do Azure. - Um HSM gerenciado na lista de HSMs compatíveis com sua assinatura. Para provisionar e ativar um HSM gerenciado, consulte Quickstart: Provisionar e ativar um HSM gerenciado usando CLI do Azure.
Azure Cloud Shell
Azure hospeda Azure Cloud Shell, um ambiente de shell interativo que você pode usar por meio do navegador. Você pode usar o Bash ou o PowerShell com Cloud Shell para trabalhar com serviços de Azure. Você pode usar os comandos pré-instalados Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.
Para iniciar Azure Cloud Shell:
| Opção | Exemplo/Link |
|---|---|
| Selecione Experimente no canto superior direito de um código ou bloco de comando. Selecionar Try It não copia automaticamente o código ou o comando para Cloud Shell. |
|
| Vá para https://shell.azure.com ou selecione o botão Launch Cloud Shell para abrir Cloud Shell no navegador. |
|
| Selecione o botão Cloud Shell na barra de menus no canto superior direito no portal Azure. |
|
Para usar Azure Cloud Shell:
Inicie Cloud Shell.
Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou o comando.
Cole o código ou o comando na sessão Cloud Shell selecionando Ctrl+Shift+V em Windows e Linux, ou selecionando Cmd+Shift+V no macOS.
Pressione Enter para executar o código ou o comando.
Para entrar no Azure usando a CLI, digite:
az login
Para obter mais informações sobre opções de autenticação por meio da CLI, consulte sign in with CLI do Azure.
HSMs compatíveis
| Nome do fornecedor | Tipo de fornecedor | Modelos de HSM compatíveis | Mais informações |
|---|---|---|---|
| Cryptomathic | ISV (Sistema de Gerenciamento de Chaves Empresariais) | Várias marcas e modelos de HSM, incluindo
|
|
| Confiar | Fabricante, HSM como serviço |
|
Nova ferramenta BYOK nCipher e documentação |
| Fortanix | Fabricante, HSM como serviço |
|
Exportando chaves SDKMS para provedores de nuvem para BYOK - Azure Key Vault |
| IBM | Fabricante | IBM 476x, CryptoExpress | IBM Enterprise Key Management Foundation |
| Marvell | Fabricante | Todos os HSMs LiquidSecurity com
|
Ferramenta BYOK Marvell e documentação |
| Securosys SA | Fabricante, HSM como serviço | Família HSM Primus, Securosys Clouds HSM | Ferramenta e documentação do Primus BYOK |
| StorMagic | ISV (Sistema de Gerenciamento de Chaves Empresariais) | Várias marcas e modelos de HSM, incluindo
|
SvKMS e Azure Key Vault BYOK |
| Thales | Fabricante |
|
Ferramenta Luna BYOK e documentação |
| Utimaco | Fabricante, HSM como serviço |
Âncora u.trust, CryptoServer | Ferramenta BYOK e Guia de integração da Ultimaco |
Tipos de chave com suporte
| Nome da chave | Tipo de chave | Tamanho/curva da chave | Origem | Descrição |
|---|---|---|---|---|
| KEK (Chave de Troca de Chaves) | RSA-HSM | 2.048-bit 3.072-bit 4.096 bits |
HSM Gerenciado | Um par de chaves RSA compatível com HSM gerado no HSM Gerenciado |
| Chave de destino | ||||
| RSA-HSM | 2.048-bit 3.072-bit 4.096 bits |
HSM do fornecedor | A chave a ser transferida para o HSM Gerenciado | |
| EC-HSM | P-256 P-384 P-521 |
HSM do fornecedor | A chave a ser transferida para o HSM Gerenciado | |
| Chave simétrica (oct-hsm) | 128 bits 192 bits 256 bits |
HSM do fornecedor | A chave a ser transferida para o HSM Gerenciado | |
Gerar e transferir sua chave para o HSM Gerenciado
Etapa 1: Gerar uma KEK
Uma KEK é uma chave RSA que você gera em um HSM Gerenciado. Use o KEK para criptografar a chave que você deseja importar (a chave de destino ).
A KEK precisa ser:
- Uma chave RSA-HSM (2.048 bits, 3.072 bits ou 4.096 bits)
- Gerado no mesmo HSM Gerenciado em que você pretende importar a chave de destino
- Criada com operações de chave permitidas definidas como
import
Observação
O KEK deve ter import como a única operação de chave permitida.
import é mutuamente exclusivo com todas as outras operações de chave.
Use o comando az keyvault key create para criar uma KEK que tenha operações de chave definidas como import. Registre o identificador de chave (kid) que é retornado do comando a seguir. (Você usará o valor kid na Etapa 3.)
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name <hsm-name>
Etapa 2: Baixar a chave pública KEK
Use az keyvault key download para baixar a chave pública do KEK em um arquivo .pem. A chave de destino que você importa é criptografada com a chave pública KEK.
az keyvault key download --name KEKforBYOK --hsm-name <hsm-name> --file KEKforBYOK.publickey.pem
Transfira o KEKforBYOK.publickey.pem arquivo para o computador offline. Você precisa desse arquivo na próxima etapa.
Etapa 3: Gerar e preparar sua chave para transferência
Para baixar e instalar a ferramenta BYOK, consulte a documentação do fornecedor do HSM. Siga as instruções do fornecedor do HSM para gerar uma chave de destino e, em seguida, crie um pacote de transferência de chave (um arquivo BYOK). A ferramenta BYOK usa o kid da Etapa 1 e o arquivo KEKforBYOK.publickey.pem que você baixou na Etapa 2 para gerar uma chave de destino criptografada em um arquivo BYOK.
Transfira o arquivo BYOK para o computador conectado.
Observação
Não há suporte para importar chaves RSA de 1.024 bits. Há suporte para a importação de chaves EC-HSM P256K.
Problema conhecido: Só há suporte para a importação de uma chave de destino RSA de 4 mil bits de HSMs do Luna no firmware 7.4.0 ou mais recente.
Etapa 4: transferir sua chave para o HSM Gerenciado
Para concluir a importação da chave, transfira o pacote de transferência de chave (um arquivo BYOK) do computador desconectado para o computador conectado à Internet. Use o comando az keyvault key import para carregar o arquivo BYOK para o HSM Gerenciado.
az keyvault key import --hsm-name <hsm-name> --name <key-name> --byok-file KeyTransferPackage-<key-name>.byok
Se o upload for bem-sucedido, CLI do Azure exibirá as propriedades da chave importada.
Próximas etapas
Agora você pode usar essa chave protegida por HSM no HSM Gerenciado. Para obter mais informações, confira esta comparação de preços e recursos.