Importación de claves protegidas con HSM en Key Vault

Para obtener una mayor seguridad, cuando utilice Azure Key Vault, puede importar o generar claves en módulos de seguridad de hardware (HSM) que no se salen nunca del límite de los HSM. Con frecuencia este escenario se conoce también como Aportar tu propia clave, o BYOK. Azure Key Vault usa HSM validados de FIPS 140 para proteger las claves.

Esta funcionalidad no está disponible para Microsoft Azure operado por 21Vianet.

Nota:

Para obtener más información sobre Azure Key Vault, consulte ¿Qué es Azure Key Vault?
Para ver un tutorial introductorio que incluya la creación de un almacén de claves para claves protegidas con HSM, consulte ¿Qué es Azure Key Vault?.

HSM compatibles

La transferencia de claves protegidas con HSM a Key Vault se admite a través de dos métodos diferentes en función de los HSM que se usen. Use esta tabla para determinar qué método debe usar para generar los HSM y transferir sus propias claves protegidas con HSM para usarlas con Azure Key Vault.

Nombre del proveedor	Tipo de proveedor	Modelos de HSM compatibles	Método de transferencia de clave HSM compatible
Cryptomathic	ISV (sistema de administración de claves empresariales)	Varias marcas y modelos de HSM, como nCipher Thales Utimaco Consulte el sitio de Cryptomathic para obtener más información.	Usar el nuevo método BYOK
Entrust	Fabricante, HSM como servicio	Familia nShield de HSM nShield como servicio	Usar el nuevo método BYOK
Fortanix	Fabricante, HSM como servicio	Self-Defending Key Management Service (SDKMS) Equinix SmartKey	Usar el nuevo método BYOK
Futurex	Fabricante, HSM como servicio	CryptoHub CryptoHub Cloud KMES Series 3	Usar el nuevo método BYOK
IBM	Fabricante	IBM 476x, CryptoExpress	Usar el nuevo método BYOK
Marvell	Fabricante	Todos los HSM de LiquidSecurity con versión de firmware 2.0.4 o posterior versión de firmware 3.2 o posterior	Usar el nuevo método BYOK
nCipher	Fabricante, HSM como servicio	Familia nShield de HSM nShield como servicio	Método 1: nCipher BYOK (en desuso). Este método dejará de tener soporte técnico el 30 de junio de 2021 Método 2: usar el nuevo método BYOK (se recomienda) Consulte la fila Entrust.
Securosys SA	Fabricante, HSM como servicio	Familia Primus HSM, Securosys Clouds HSM	Usar el nuevo método BYOK
StorMagic	ISV (sistema de administración de claves empresariales)	Varias marcas y modelos de HSM, como Utimaco Thales nCipher Consulte el sitio web de StorMagic para más información.	Usar el nuevo método BYOK
Thales	Fabricante	Familia Luna HSM 7 con la versión del firmware 7.3 o posterior	Usar el nuevo método BYOK
Utimaco	Fabricante, HSM como servicio	u.trust Anchor, CryptoServer	Usar el nuevo método BYOK

Pasos siguientes

• Consulte Introducción a la seguridad de Azure Key Vault para garantizar la seguridad, la durabilidad y la supervisión de las claves.
• Consulte la especificación de BYOK para obtener una descripción completa del nuevo método BYOK.