Schlüssel in die Cloud bringen
Verschlüsselungsschlüssel enthalten Untergruppen von Informationen, wie z. B. die Metadaten, die Ihnen bei der Identifizierung des Schlüssels helfen, und das Schlüsselmaterial, das zum Verschlüsseln und Entschlüsseln von Daten verwendet wird.
Wenn Sie zum Erstellen von Schlüsseln Key Protect verwenden, generiert der Service kryptographische Schlüsselinformationen in Ihrem Namen, die ihren Stamm in cloudbasierten Hardwaresicherheitsmodulen (HSMs) haben. Abhängig von Ihren Geschäftsanforderungen müssen Sie jedoch möglicherweise Schlüsselinformationen aus Ihrer internen Lösung generieren und dann Ihre lokale Schlüsselmanagementinfrastruktur auf die Cloud erweitern, indem Sie Schlüssel importieren in Key Protect.
Nutzen | Beschreibung |
---|---|
Bring Your Own Keys (BYOK) | Sie möchten Ihre Schlüsselmanagementverfahren vollständig kontrollieren und stärken, indem Sie starke Schlüssel in Ihrem lokalen Sicherheitsmodul (HSM) generieren. Wenn Sie die Option zum Exportieren von symmetrischen Schlüsseln aus Ihrer internen Schlüsselmanagement-Infrastruktur wählen, können Sie Key Protect verwenden, um sie sicher in die Cloud zu bringen. |
Sicherer Import der Rootschlüsselinformationen. | Wenn Sie Ihre Schlüssel in die Cloud exportieren, möchten Sie sichergehen, dass die Schlüsselinformationen während der Übertragung geschützt werden. Sie können das Risiko von Man-in-the-Middle-Angriffen mindern, indem Sie ein Importtoken verwenden, um Rootschlüsselinformationen sicher in Ihre Key Protect-Instanz zu importieren. |
Importierte Schlüssel können nicht für automatische Rotation geplantwerden. Sie müssen manuell rotiert werden.
Vorausplanung für das Importieren von Schlüsselinformationen
Beachten Sie die folgenden Hinweise, wenn Sie beabsichtigen, Rootschlüsselinformationen in den Service zu importieren.
Optionen zum Erstellen von Schlüsselinformationen prüfen
Prüfen Sie Ihre Optionen zum Erstellen von symmetrischen 256-Bit-Verschlüsselungsschlüsseln, die Ihren Sicherheitsanforderungen entsprechen.
Sie können zum Beispiel Ihr internes Schlüsselmanagementsystem, das durch ein FIPS-validiertes, lokales Hardwaresicherheitsmodul (HSM) gestützt wird, verwenden, um Schlüsselinformationen zu generieren, bevor Sie Schlüssel in die Cloud übertragen.
Wenn Sie ein Proof of Concept erstellen, können Sie auch ein Kryptographie-Toolkit verwenden wie zum Beispiel OpenSSL verwenden, um Schlüsselmaterial zu erzeugen, das Sie in Key Protect importieren können.
Wählen Sie eine Option zum Importieren von Schlüsselinformationen in Key Protect aus.
Wählen Sie unter zwei Optionen zum Importieren von Rootschlüsseln entsprechend der Sicherheitsstufe aus, die für Ihre Umgebung bzw. Ihre Workload erforderlich ist.
Standardmäßig verschlüsselt Key Protect Ihr Schlüsselmaterial bei der Übertragung mit unterstützten Verschlüsselungen der Protokolle Transport Layer Security (TLS) 1.2 und 1.3. Weitere Informationen zu diesen Verschlüsselungen entnehmen Sie Datenverschlüsselung.
Wenn Sie einen Machbarkeitsnachweis erstellen oder den Service zum ersten Mal ausprobieren, können Sie Rootschlüsselmaterial mit dieser Standardoption in Key Protect importieren.
Wenn für Ihre Workload ein Sicherheitsmechanismus über TLS hinaus erforderlich ist, können Sie auch ein Importtoken verwenden, um Rootschlüsselinformationen zu verschlüsseln und in den Service zu importieren.
Vorausplanung für das Verschlüsseln der Schlüsselinformationen
Wenn Sie Ihre Schlüsselinformationen mit einem Importtoken verschlüsseln, bestimmen Sie eine Methode für die Ausführung der RSA-Verschlüsselung für die Schlüsselinformationen. Sie müssen die
RSAES_OAEP_SHA_256
-Verschlüsselungsschema, wie durch die angegeben
Standard PKCS #1 v2.1 für RSA-Verschlüsselung.
Lesen Sie die Informationen zu den Funktionen Ihres internen Schlüsselmanagementsystems oder lokalen Hardwarsicherheitsmoduls (HSM), um Ihre Optionen zu ermitteln, oder prüfen Sie die Beispiele im Lernprogramm zum sicheren Import.
Vorausplanung für das Verschlüsseln der Nonce
Wenn Sie die Schlüsselinformationen unter Verwendung eines Importtokens verschlüsseln möchten, müssen Sie eine Methode für die Ausführung der AES-GCM-Verschlüsselung für die generierte Zufallszahl festlegen, die von Key Protect verteilt wird.
Die Nonce dient als Sitzungstoken, an dem die Ursprünglichkeit einer Anforderung geprüft wird, um einen Schutz gegen böswillige Angriffe und unberechtigte Aufrufe einzurichten.
Lesen Sie die Informationen zu den Funktionen Ihres internen Schlüsselmanagementsystems oder lokalen Hardwarsicherheitsmoduls (HSM), um Ihre Optionen zu ermitteln, oder prüfen Sie die Beispiele im Lernprogramm zum sicheren Import.
Lebenszyklus der importierten Schlüsselinformationen verwalten
Wenn Sie Schlüsselinformationen in den Service importiert haben, beachten Sie, dass Sie selbst für die Verwaltung des gesamten Lebenszyklus Ihres Schlüssels verantwortlich sind. Durch die Verwendung der Key Protect-API können Sie ein Ablaufdatum für den Schlüssel festlegen, wenn Sie ihn in den Service hochladen wollen.
Wenn Sie jedoch einen importierten Rootschlüssel rotieren, müssen Sie neue Schlüsselinformationen generieren und bereitstellen, um den vorhandenen Schlüssel außer Kraft zu setzen und zu ersetzen.
Importtokens verwenden
Wenn Sie Ihr Schlüsselmaterial verschlüsseln möchten, bevor Sie es in Key Protect importieren, können Sie ein Importtoken für Ihre Key Protect-Instanz über die Key Protect-API verfügbar.
Importtoken sind ein Ressourcentyp in Key Protect, die den sicheren Import von Schlüsselmaterial in Ihre Key Protect-Instanz ermöglichen. Wenn Sie den Inhalt eines Importtokens verwenden, um Ihr Schlüsselmaterial lokal zu verschlüsseln, schützen Sie Rootschlüssel während der Übertragung zu Key Protect basierend auf den von Ihnen angegebenen Richtlinien. Sie können beispielsweise eine Richtlinie für das Importtoken festlegen, die die Verwendung basierend auf der Zeit und der Nutzungszahl begrenzt. a
Funktionsweise
Wenn Sie ein Importtoken erstellen für Ihre Key Protect-Instanz, generiert Key Protect ein 4096-Bit-RSA-Schlüsselpaar aus dessen HSMs.
Wenn Sie das Importtoken abrufen, wird der öffentliche Schlüssel vom Service bereitgestellt, den Sie zum Verschlüsseln und Hochladen eines Schlüssels in Key Protect verwenden können.
In der folgenden Liste wird der Ablauf für Importtokens beschrieben.
-
Sie senden eine Anforderung zum Erstellen eines Importtokens.
-
Von Key Protect wird ein RSA-Schlüsselpaar aus den Hardwaresicherheitsmodulen generiert.
-
Der öffentliche Schlüssel wird abhängig von der Richtlinie, die Sie bei der Erstellung angegeben haben, für den Abruf verfügbar.
-
Der private Schlüssel wird nicht extrahierbar und bleibt immer im Hardwaresicherheitsmodul.
-
-
Sie senden eine Anforderung zum Abrufen des Importtokens.
-
Sie empfangen den Inhalt des Importtokens, zu dem folgende Elemente gehören:
-
Ein öffentlicher Schlüssel für das Verschlüsseln von Schlüsselinformationen, die Sie in den Service importieren wollen.
-
Ein Nonce-Wert, der zum Überprüfen der Schlüsselimportanforderung verwendet wird.
-
-
-
Sie bereiten den Schlüssel vor, den Sie in den Service importieren wollen.
-
Sie generieren Schlüsselinformationen, indem Sie einen lokalen Schlüsselmanagementmechanismus verwenden.
-
Sie verschlüsseln den Nonce-Wert mit den Schlüsselinformationen, indem Sie eine AES-GCM-Verschlüsselungsmethode verwenden, die mit Ihrer Umgebung kompatibel ist.
-
Sie verschlüsseln die Schlüsselinformationen mit dem öffentlichen Schlüssel, indem Sie eine RSA-Verschlüsselungsmethode verwenden, die mit Ihrer Umgebung kompatibel ist.
-
-
Sie senden eine Anforderung zum Importieren des Schlüssels.
-
Sie stellen die verschlüsselten Schlüsselinformationen, die verschlüsselte Nonce und den Initialisierungsvektor (IV) bereit, der von dem AES-GCM-Algorithmus generiert wurde.
-
Von Key Protect werden die Anforderung überprüft, das verschlüsselte Paket entschlüsselt und die Schlüsselinformationen als Rootschlüssel in Ihrer Key Protect-Instanz gespeichert.
-
Sie können jeweils nur ein Importtoken pro Instanz Key Protect zu einer Zeit erstellen. Weitere Informationen über Abrufgrenzen für Import-Tokens finden Sie in der Key Protect API-Referenzdokument.
Die Funktion zum Importieren von Token können Sie im Lernprogramm: Verschlüsselungsschlüssel erstellen und importieren testen.
API-Methoden
Im Hintergrund führt die Key Protect-API den Erstellungsprozess für das Importtoken aus.
In der folgenden Tabelle sind die API-Methoden aufgeführt, die ein Importtoken für Ihre Key Protect-Instanz verhindert.
Methode | Beschreibung |
---|---|
POST api/v2/import_token |
Importtoken erstellen |
GET api/v2/import_token |
Importtoken abrufen |
Weitere Informationen zur programmgesteuerten Verwaltung Ihrer Schlüssel in Key Protect entnehmen Sie dem Key Protect API-Referenzdokument.
Nächste Schritte
-
Weitere Informationen zum Erstellen eines Importtokens für Ihre Key Protect-Instanz finden Sie unter Importtoken erstellen.
-
Weitere Informationen zum Importieren von Schlüsseln in den Service finden Sie unter Rootschlüssel importieren.