Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Key Vault HSM administrado admite la importación de claves generadas en el módulo de seguridad de hardware local (HSM). Las claves nunca salen del límite de protección del Módulo de Seguridad de Hardware (HSM). Este escenario se conoce a menudo como traiga su propia clave (BYOK). Managed HSM usa los adaptadores de HSM Marvell LiquidSecurity (validados por FIPS 140-3 nivel 3) para proteger las claves.
Use la información de este artículo como ayuda para planear, generar y transferir sus propias claves protegidas con HSM para utilizarlas con HSM administrado.
Nota:
Este método de importación solo está disponible para HSM compatibles.
Para más información y para ver un tutorial para empezar a usar Managed HSM, consulte ¿Qué es HSM administrado?
Información general
Visión general del proceso de integración Los pasos específicos que se deben realizar se describen más adelante en el artículo.
- En HSM administrado, genere una clave (denominada Key Exchange Key (KEK)). La KEK debe ser una clave RSA-HSM que tenga solo la operación de clave
import. - Descargue la clave pública KEK como un archivo .pem.
- Transfiera la clave pública KEK a un equipo sin conexión que esté conectado a un HSM local.
- En la estación de trabajo sin conexión, use la herramienta BYOK que proporciona su proveedor de HSM para crear un archivo BYOK.
- La clave de destino se cifra con una KEK, que permanece cifrada hasta que se transfiere al HSM administrado. Solo la versión cifrada de la clave sale del HSM local.
- Las KEK generadas en un HSM administrado no se pueden exportar. Los HSM aplican la regla de que no existe ninguna versión clara de una KEK fuera de un HSM administrado.
- La KEK debe estar en el mismo HSM administrado al que se va a importar la clave de destino.
- Al cargar el archivo BYOK en HSM administrado, un HSM administrado usa la clave privada KEK para descifrar el material de clave de destino e importarlo como una clave HSM. Esta operación tiene lugar enteramente dentro del HSM. La clave de destino siempre permanece en el límite de la protección de HSM.
Prerrequisitos
Se requiere una suscripción Azure. Si no tienes una, crea una cuenta gratuita antes de empezar.
También necesita lo siguiente:
- CLI de Azure versión 2.12.0 o posterior. Ejecute
az --versionpara encontrar la versión. Si necesita instalar o actualizar, consulte Instalar el CLI de Azure. - Un HSM administrado en la lista de HSM admitidos en su suscripción. Para aprovisionar y activar un HSM administrado, consulte Quickstart: Aprovisionamiento y activación de un HSM administrado mediante CLI de Azure.
Azure Cloud Shell
Azure hospeda Azure Cloud Shell, un entorno de shell interactivo que puede usar a través del explorador. Puede usar Bash o PowerShell con Cloud Shell para trabajar con servicios de Azure. Puede usar los comandos Cloud Shell preinstalados para ejecutar el código de este artículo, sin tener que instalar nada en el entorno local.
Para iniciar Azure Cloud Shell:
| Opción | Ejemplo o vínculo |
|---|---|
| Seleccione Pruébelo en la esquina superior derecha de un código o bloque de comandos. Al seleccionar Try It no se copia automáticamente el código ni el comando en Cloud Shell. |
|
| Vaya a https://shell.azure.com o seleccione el botón Launch Cloud Shell para abrir Cloud Shell en el explorador. |
|
| Seleccione el botón Cloud Shell en la barra de menús de la parte superior derecha del portal Azure. |
|
Para usar Azure Cloud Shell:
Inicie Cloud Shell.
Seleccione el botón Copiar en un bloque de código (o bloque de comandos) para copiar el código o comando.
Pegue el código o comando en la sesión de Cloud Shell seleccionando Ctrl+Shift+V en Windows y Linux, o seleccionando Cmd+Shift+V en macOS.
Seleccione Enter para ejecutar el código o comando.
Para iniciar sesión en Azure mediante la CLI, escriba:
az login
Para obtener más información sobre las opciones de autenticación a través de la CLI, consulte signar con CLI de Azure.
HSM compatibles
| Nombre de proveedor | Tipo de proveedor | Modelos de HSM compatibles | Información adicional |
|---|---|---|---|
| Cryptomathic | ISV (sistema de administración de claves empresariales) | Varias marcas y modelos de HSM, como
|
|
| Confiar | Fabricante, HSM como servicio |
|
Nueva herramienta BYOK y documentación de nCipher |
| Fortanix | Fabricante, HSM como servicio |
|
Exportación de claves SDKMS a los proveedores de nube para BYOK: Azure Key Vault |
| IBM | Fabricante | IBM 476x, CryptoExpress | IBM Enterprise Key Management Foundation |
| Marvell | Fabricante | Todos los HSM de LiquidSecurity con
|
Herramienta BYOK y documentación de Marvell |
| Securosys SA | Fabricante, HSM como servicio | Familia Primus HSM, Securosys Clouds HSM | Herramienta y documentación de BYOK de Primus |
| StorMagic | ISV (sistema de administración de claves empresariales) | Varias marcas y modelos de HSM, como
|
SvKMS y Azure Key Vault BYOK |
| Thales | Fabricante |
|
Herramienta y documentación de Luna BYOK |
| Utimaco | Fabricante, HSM como servicio |
u.trust Anchor, CryptoServer | Guía de integración y herramienta BYOK de Utimaco |
Tipos de clave admitidos
| Nombre de clave | Tipo de clave | Tamaño o curva de la clave | Origen | Descripción |
|---|---|---|---|---|
| Clave de intercambio de claves (KEK) | RSA-HSM | 2048 bits 3072 bits 4096 bits |
HSM administrado | Un par de claves RSA respaldadas por HSM generado en HSM administrado |
| Clave de destino | ||||
| RSA-HSM | 2048 bits 3072 bits 4096 bits |
HSM del proveedor | La clave que se va a transferir al HSM administrado | |
| EC-HSM | P-256 P-384 P-521 |
HSM del proveedor | La clave que se va a transferir al HSM administrado | |
| Clave simétrica (oct-hsm) | 128 bits 192 bits 256 bits |
HSM del proveedor | La clave que se va a transferir al HSM administrado | |
Generación y transferencia de la clave al HSM administrado
Paso 1: Generar una KEK
Una KEK es una clave RSA que se genera en un HSM administrado. Use la KEK para cifrar la clave que desea importar (la clave de destino ).
La KEK debe:
- Una clave de RSA-HSM (2048 bits, 3072 bits o 4096 bits)
- Se genera en el mismo HSM Gestionado en el que desea importar la clave de destino.
- Crearse con las operaciones de clave permitidas establecidas en
import
Nota:
La KEK debe tener import como la única operación clave permitida.
import es mutuamente excluyente con todas las otras operaciones clave.
Use el comando az keyvault key create para crear una KEK que tenga operaciones de clave establecidas en import. Registre el identificador de clave (kid) que se devuelve con el siguiente comando (usará el valor kid en el paso 3).
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name <hsm-name>
Paso 2: Descarga de la clave pública KEK
Utilice az keyvault key download para descargar la clave pública del KEK en un archivo .pem. La clave de destino que importa se cifra mediante la clave pública KEK.
az keyvault key download --name KEKforBYOK --hsm-name <hsm-name> --file KEKforBYOK.publickey.pem
Transfiera el KEKforBYOK.publickey.pem archivo al equipo sin conexión. Necesita este archivo en el paso siguiente.
Paso 3: Generación y preparación de la clave para la transferencia
Para descargar e instalar la herramienta BYOK, consulte la documentación del proveedor de HSM. Siga las instrucciones del proveedor de HSM para generar una clave de destino y, a continuación, cree un paquete de transferencia de claves (un archivo BYOK). La herramienta BYOK usa el kid del paso 1 y el KEKforBYOK.publickey.pem archivo que descargó en el paso 2 para generar una clave de destino cifrada en un archivo BYOK.
Transfiera el archivo BYOK al equipo conectado.
Nota:
No se admite la importación de claves RSA de 1024 bits. Se admite la importación de claves EC-HSM P256K.
Problema conocido: La importación de una clave de destino RSA 4K desde los HSM Luna solo se admite con el firmware 7.4.0 o una versión más reciente.
Paso 4: Transferencia de la clave a HSM administrado
Para completar la importación de claves, transfiera el paquete de transferencia de claves (un archivo BYOK) del equipo desconectado al equipo conectado a Internet. Use el comando az keyvault key import para cargar el archivo BYOK en el HMS administrado.
az keyvault key import --hsm-name <hsm-name> --name <key-name> --byok-file KeyTransferPackage-<key-name>.byok
Si la carga se realiza correctamente, CLI de Azure muestra las propiedades de la clave importada.
Pasos siguientes
Ahora puede usar esta clave protegida por HSM en su HSM administrado. Para más información, vea esta comparación de precios y características.