Импорт защищенных модулем HSM ключей в Key Vault

Чтобы обеспечить более высокий уровень защиты при работе с хранилищем ключей Azure, можно импортировать ключи или создать их в аппаратных модулях безопасности (ключи никогда не покидают их пределы). Такой сценарий с использованием собственного ключа часто называется BYOK. Azure Key Vault использует проверенные HSM FIPS 140 для защиты ключей.

Эта функция недоступна для Microsoft Azure, управляемой 21Vianet.

Примечание.

Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?
Указания по началу работы, включая создание хранилища для ключей, защищенных модулем HSM, см. в этой статье.

Поддерживаемые модули HSM

В зависимости от используемого HSM поддерживается два различных метода передачи ключей, защищенных модулем HSM, в Key Vault. Используйте эту таблицу, чтобы определить, какой метод следует использовать для создания виртуальных машин HSM, а затем передать собственные ключи, защищенные HSM, для использования с Azure Key Vault.

Имя поставщика	Тип поставщика	Поддерживаемые модели модуля HSM	Поддерживаемый метод переноса ключа HSM
Cryptomathic	ISV (Enterprise Key Management System)	Несколько торговых марок и моделей HSM, в том числе nCipher Thales Utimaco Дополнительные сведения см. на сайте Cryptomathic.	Использование нового метода BYOK
Entrust	Производитель, HSM как услуга	Семейство модулей HSM nShield nShield как услуга	Использование нового метода BYOK
Fortanix	Производитель, HSM как услуга	Служба управления ключами для самостоятельной защиты (SDKMS) Equinix SmartKey	Использование нового метода BYOK
Futurex	Производитель, HSM как услуга	CryptoHub CryptoHub Cloud Серия KMES 3	Использование нового метода BYOK
IBM	Производитель	IBM 476x, CryptoExpress	Использование нового метода BYOK
Marvell	Производитель	Все модули HSM LiquidSecurity со встроенным ПО версии 2.0.4 или более поздней встроенным ПО версии 3.2 или более новой	Использование нового метода BYOK
nCipher	Производитель, HSM как услуга	Семейство модулей HSM nShield nShield как услуга	Метод 1: nCipher BYOK (не рекомендуется). Поддержка данного метода прекратится после 30 июня 2021 г. Метод 2. Использование нового метода BYOK (рекомендуется) См. строку "Доверие".
Securosys SA	Производитель, HSM как услуга	Семейство Primus HSM, Securosys Clouds HSM	Использование нового метода BYOK
StorMagic	ISV (Enterprise Key Management System)	Несколько торговых марок и моделей HSM, в том числе Utimaco Thales nCipher Дополнительные сведения см. на сайте StorMagic.	Использование нового метода BYOK
Thales	Производитель	Семейство HSM 7 Luna со встроенным ПО версии 7.3 или более поздней	Использование нового метода BYOK
Utimaco	Производитель, HSM как услуга	u.trust Anchor, CryptoServer	Использование нового метода BYOK

Следующие шаги

• Ознакомьтесь с общими сведениями о безопасности в Key Vault. Они помогут обеспечить безопасность, устойчивость и мониторинг ключей.
• Полное описание нового метода BYOK см. в спецификации BYOK.