Importación de claves protegidas con HSM en Key Vault

Para obtener una mayor seguridad, cuando utilice Azure Key Vault, puede importar o generar claves en módulos de seguridad de hardware (HSM) que no se salen nunca del límite de los HSM. Con frecuencia este escenario se conoce también como Aportar tu propia clave, o BYOK. En Azure Key Vault se usa la familia nCipher nShield de HSM (validado con FIPS 140-2 de nivel 2) para proteger las claves.

Esta funcionalidad no está disponible para Microsoft Azure operado por 21Vianet.

Nota:

Para obtener más información sobre Azure Key Vault, consulte ¿Qué es Azure Key Vault?
Para ver un tutorial introductorio que incluya la creación de un almacén de claves para claves protegidas con HSM, consulte ¿Qué es Azure Key Vault?.

HSM compatibles

La transferencia de claves protegidas con HSM a Key Vault se admite a través de dos métodos diferentes en función de los HSM que se usen. Use esta tabla para determinar qué método debe usar para generar los HSM y transferir sus propias claves protegidas con HSM para usarlas con Azure Key Vault.

Nombre del proveedor Tipo de proveedor Modelos de HSM compatibles Método de transferencia de clave HSM compatible
Cryptomathic ISV (sistema de administración de claves empresariales) Varias marcas y modelos de HSM, como
  • nCipher
  • Thales
  • Utimaco
Consulte el sitio de Cryptomathic para obtener más información.
Usar el nuevo método BYOK
Entrust Fabricante,
HSM como servicio
  • Familia nShield de HSM
  • nShield como servicio
Usar el nuevo método BYOK
Fortanix Fabricante,
HSM como servicio
  • Self-Defending Key Management Service (SDKMS)
  • Equinix SmartKey
Usar el nuevo método BYOK
IBM Fabricante IBM 476x, CryptoExpress Usar el nuevo método BYOK
Marvell Fabricante Todos los HSM de LiquidSecurity con
  • versión de firmware 2.0.4 o posterior
  • versión de firmware 3.2 o posterior
Usar el nuevo método BYOK
nCipher Fabricante,
HSM como servicio
  • Familia nShield de HSM
  • nShield como servicio
Método 1:BYOK de nCipher (en desuso). Este método dejará de tener soporte técnico el 30 de junio de 2021
Método 2:usar el nuevo método BYOK (recomendado)
Consulte la fila Entrust.
Securosys SA Fabricante,
HSM como servicio
Familia Primus HSM, Securosys Clouds HSM Usar el nuevo método BYOK
StorMagic ISV (sistema de administración de claves empresariales) Varias marcas y modelos de HSM, como
  • Utimaco
  • Thales
  • nCipher
Consulte el sitio web de StorMagic para más información.
Usar el nuevo método BYOK
Thales Fabricante
  • Familia Luna HSM 7 con la versión del firmware 7.3 o posterior
Usar el nuevo método BYOK
Utimaco Fabricante,
HSM como servicio
u.trust Anchor, CryptoServer Usar el nuevo método BYOK

Pasos siguientes