Importare chiavi con protezione HSM in Key Vault

Per una maggiore sicurezza, quando si usa l'insieme di credenziali delle chiavi di Azure è possibile importare o generare le chiavi in moduli di protezione hardware (HSM) che rimangono sempre entro il limite HSM. Questa modalità è spesso definita con il termine Bring Your Own Key o BYOK. Azure Key Vault usa i moduli di protezione hardware della famiglia di prodotti nCipher nShield (con convalida FIPS 140-2 Livello 2) per proteggere le chiavi.

Questa funzionalità non è disponibile per Azure Cina 21Vianet.

Nota

Per altre informazioni sull'insieme di credenziali di Azure, vedere Cos'è l'insieme di credenziali delle chiavi di Azure?
Per un'esercitazione introduttiva che illustra la creazione di un insieme di credenziali delle chiavi per chiavi con protezione HSM, vedere Che cos'è Azure Key Vault?.

Moduli di protezione hardware supportati

Il trasferimento delle chiavi con protezione HSM in Key Vault è supportato tramite due metodi diversi, in base al modulo di protezione hardware usato. Usare la tabella seguente per determinare il metodo da usare per generare i moduli di protezione hardware e quindi trasferire le proprie chiavi protette dal modulo di protezione hardware da usare con Azure Key Vault.

Nome produttore Tipo di fornitore Modelli di moduli di protezione hardware supportati Metodo di trasferimento supportato per le chiavi HSM
Cryptomathic ISV (Enterprise Key Management System) Più marchi e modelli di moduli di protezione hardware, tra cui
  • nCipher
  • Thales
  • Utimaco
Per dettagli, vedere il sito di Cryptomathic
Usare il nuovo metodo BYOK
Affidare Produttore,
modulo di protezione hardware come servizio
  • Famiglia di moduli di protezione hardware nShield
  • nShield come servizio
Usare il nuovo metodo BYOK
Fortanix Produttore,
modulo di protezione hardware come servizio
  • Self-Defending Key Management Service (SDKMS)
  • Equinix SmartKey
Usare il nuovo metodo BYOK
IBM Produttore IBM 476x, CryptoExpress Usare il nuovo metodo BYOK
Marvell Produttore Moduli di protezione hardware di All LiquidSecurity con
  • Firmware con versione 2.0.4 o successiva
  • Firmware con versione 3.2 o successiva
Usare il nuovo metodo BYOK
nCipher Produttore,
modulo di protezione hardware come servizio
  • Famiglia di moduli di protezione hardware nShield
  • nShield come servizio
Metodo 1:nCipher BYOK (deprecato). Questo metodo non sarà supportato dopo il 30 giugno 2021
Metodo 2:Usare il nuovo metodo BYOK (scelta consigliata)
Vedere La riga di Entrust sopra
Securosys SA Produttore,
modulo di protezione hardware come servizio
Famiglia di moduli di protezione hardware Primus, Securosys Clouds HSM Usare il nuovo metodo BYOK
StorMagic ISV (Enterprise Key Management System) Più marchi e modelli di moduli di protezione hardware, tra cui
  • Utimaco
  • Thales
  • nCipher
Per dettagli, vedere il sito di StorMagic
Usare il nuovo metodo BYOK
Thales Produttore
  • Famiglia di prodotti Luna HSM 7 con firmware con versione 7.3 o successiva
Usare il nuovo metodo BYOK
Utimaco Produttore,
modulo di protezione hardware come servizio
u.trust Anchor, CryptoServer Usare il nuovo metodo BYOK

Passaggi successivi