Импорт защищенных модулем HSM ключей в Key Vault

Чтобы обеспечить более высокий уровень защиты при работе с хранилищем ключей Azure, можно импортировать ключи или создать их в аппаратных модулях безопасности (ключи никогда не покидают их пределы). Такой сценарий с использованием собственного ключа часто называется BYOK. Azure Key Vault использует проверенные HSM FIPS 140 для защиты ключей.

Примечание.

Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?
Указания по началу работы, включая создание хранилища для ключей, защищенных модулем HSM, см. в этой статье.

Поддерживаемые модули HSM

Передача ключей, защищенных HSM, в Key Vault поддерживается двумя различными методами в зависимости от используемых HSM. Используйте следующую таблицу, чтобы определить, какой метод вы должны использовать для генерации ключей в аппаратных модулях безопасности (HSM), а затем для передачи собственных HSM-защищенных ключей для использования с Azure Key Vault.

Имя поставщика	Тип поставщика	Поддерживаемые модели модуля HSM	Поддерживаемый метод переноса ключа HSM
Cryptomathic	ISV (корпоративная система управления ключами)	Несколько торговых марок и моделей HSM, в том числе nCipher Фалес Utimaco Криптоматический сайт для получения дополнительных сведений	Использование нового метода BYOK
Вверять	Производитель, HSM как услуга	Семейство модулей HSM nShield nShield как услуга	Использование нового метода BYOK
Fortanix	Производитель, HSM как услуга	Служба управления ключами для самостоятельной защиты (SDKMS) Equinix SmartKey	Использование нового метода BYOK
Futurex	Производитель, HSM как услуга	CryptoHub CryptoHub Cloud Серия KMES 3	Использование нового метода BYOK
IBM	Производитель	IBM 476x, CryptoExpress	Использование нового метода BYOK
Marvell	Производитель	Все модули HSM LiquidSecurity со встроенным ПО версии 2.0.4 или более поздней встроенным ПО версии 3.2 или более новой	Использование нового метода BYOK
nCipher	Производитель, HSM как услуга	Семейство модулей HSM nShield nShield как услуга	Метод 1: nCipher BYOK (не рекомендуется). Этот метод не поддерживается с 30 июня 2021 г. Метод 2.Использование нового метода BYOK (рекомендуется) См. строку "Доверие".
Securosys SA	Производитель, HSM как услуга	Семейство Primus HSM, Securosys Clouds HSM	Использование нового метода BYOK
StorMagic	ISV (корпоративная система управления ключами)	Несколько торговых марок и моделей HSM, в том числе Utimaco Фалес nCipher Сведения о сайте StorMagic	Использование нового метода BYOK
Фалес	Производитель	Семейство HSM 7 Luna со встроенным ПО версии 7.3 или более поздней	Использование нового метода BYOK
Utimaco	Производитель, HSM как услуга	Привязка u.trust, CryptoServer	Использование нового метода BYOK
Yubico	Производитель	YubiHSM 2	Использование нового метода BYOK

Следующие шаги

• Просмотрите обзор безопасности Key Vault , чтобы обеспечить безопасность, устойчивость и мониторинг ключей.
• Ознакомьтесь со спецификацией BYOK для полного описания нового метода BYOK.