Импорт защищенных модулем HSM ключей в Key Vault

Чтобы обеспечить более высокий уровень защиты при работе с хранилищем ключей Azure, можно импортировать ключи или создать их в аппаратных модулях безопасности (ключи никогда не покидают их пределы). Такой сценарий с использованием собственного ключа часто называется BYOK. Для защиты ключей Azure Key Vault использует семейство модулей HSM nCipher nShield (проверенных по стандарту FIPS 140-2 уровня 2).

Эта функция недоступна в Azure для Китая (21Vianet).

Примечание

Дополнительные сведения о хранилище ключей Azure см. в статье Что такое хранилище ключей Azure?
Указания по началу работы, включая создание хранилища для ключей, защищенных модулем HSM, см. в этой статье.

Поддерживаемые модули HSM

В зависимости от используемого HSM поддерживается два различных метода передачи ключей, защищенных модулем HSM, в Key Vault. Используйте приведенную ниже таблицу, чтобы определить, какой метод создания следует применять в модулях HSM, а затем перенесите собственные ключи, защищенные модулем HSM, для использования с Azure Key Vault.

Имя поставщика Тип поставщика Поддерживаемые модели модуля HSM Поддерживаемый метод переноса ключа HSM
Cryptomathic ISV (Enterprise Key Management System) Несколько торговых марок и моделей HSM, в том числе
  • nCipher
  • Thales
  • Utimaco
Дополнительные сведения см. на сайте Cryptomathic.
Использование нового метода BYOK
Entrust Производитель,
HSM как услуга
  • Семейство модулей HSM nShield
  • nShield как услуга
Использование нового метода BYOK
Fortanix Производитель,
HSM как услуга
  • Служба управления ключами для самостоятельной защиты (SDKMS)
  • Equinix SmartKey
Использование нового метода BYOK
IBM Изготовитель IBM 476x, CryptoExpress Использование нового метода BYOK
Marvell Изготовитель Все модули HSM LiquidSecurity со
  • встроенным ПО версии 2.0.4 или более поздней
  • встроенным ПО версии 3.2 или более новой
Использование нового метода BYOK
nCipher Производитель,
HSM как услуга
  • Семейство модулей HSM nShield
  • nShield как услуга
Метод 1: nCipher BYOK (не рекомендуется). Поддержка данного метода прекратится после 30 июня 2021 г.
Метод 2.Использование нового метода BYOK (рекомендуется)
См. строку Entrust выше.
Securosys SA Производитель,
HSM как услуга
Семейство Primus HSM, Securosys Clouds HSM Использование нового метода BYOK
StorMagic ISV (Enterprise Key Management System) Несколько торговых марок и моделей HSM, в том числе
  • Utimaco
  • Thales
  • nCipher
Дополнительные сведения см. на сайте StorMagic.
Использование нового метода BYOK
Thales Изготовитель
  • Семейство HSM 7 Luna со встроенным ПО версии 7.3 или более поздней
Использование нового метода BYOK
Utimaco Производитель,
HSM как услуга
u.trust Anchor, CryptoServer Использование нового метода BYOK

Дальнейшие действия