azure - 将 Thales payshield 9000 迁移到 Azure Key Vault

标签 azure azure-keyvault hsm

我们希望将 HSM key Thales paysheild 9000 迁移到 Azure Key Vault。我们想知道是否支持此迁移,如果支持,迁移方法是什么以及客户已迁移到 Azure 的用例。我们已经浏览了文章https://github.com/MicrosoftDocs/azure-docs/blob/master/articles/key-vault/key-vault-hsm-protected-keys.md ,它谈论的是 Thales nShield 系列,但我们正在使用 https://www.thalesesecurity.com/products/payment-hsms/payshield-9000

提前致谢。

最佳答案

这是一个很好的问题,Dan 建议您联系 Microsoft 进行澄清,但不幸的是,我认为这是不可能的。

回顾一下,我确信您知道 HSM 的目的是使 key 不可导出。

微软(我认为泰雷兹)支持 key 备份:https://learn.microsoft.com/en-us/rest/api/keyvault/backupkey但只能恢复到同一地理区域。

在您提供的文章中,它提到了每个地理区域中的“ key 交换 key ”,我认为这意味着 Microsoft 将使用与另一个 HSM 安装不同的 key 。

话虽如此,我不是一般的 HSM 专家,这些只是我在使用 KeyVault 时遇到的链接。

请务必联系 Microsoft,因为如果可能的话,我很感兴趣,请在收到回复后发布答案,或者 Microsoft 员工也许可以直接回答。

泰雷兹文献中指出:

“借助适用于 Microsoft Azure 的 nShield BYOK,您的本地 nShield HSM 生成、存储、包装 key 并将其导出到 代表您的 Microsoft Azure Key Vault”

http://go.thalesesecurity.com/rs/480-LWA-970/images/Thales-e-Security-Microsoft-Azure-UK-sb.pdf

有趣的是,它说生成/存储,这表明可以迁移预先创建的 key 。然而,相反,我猜测导出必须使用“ key 交换 key ”进行,并在 BYOK 流程中同时存储在本地并导出到 Azure,而不是首先存储在本地。

这篇博文包含 keyvault 团队的联系方式(如果有帮助的话):https://blog.romyn.ca/key-management-in-azure/

关于azure - 将 Thales payshield 9000 迁移到 Azure Key Vault,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51503544/

上一篇:git - 如何让 GRAV git-sync 插件在 Azure 网站中工作

下一篇:azure - 从我的 azure 函数中检索主机 key

相关文章:

azure - 从 ARM 模板部署逻辑应用自定义连接器时设置身份验证

azure - 部署Azure Bot错误 "Updates to converged applications are not allowed in this version."

azure - 如何在从 Azure Key Vault 更新 secret 时自动重新启动 Pod/部署

azure - 如何在函数应用程序中正确使用 Azure 应用程序配置和 Key Vault 引用?

powershell - -JoinDomain 参数在 Add-AzureProvisioningConfig 中不起作用

Azure 应用程序网关 TLS 加密不适用于 Key Vault 中的证书

pkcs#11 - CloudHSM 登录/注销错误

python - HSM 使用 PKCS11 中关键对象的标签

java - SoftHSM2 java 不工作

node.js - Azure 机器人应用程序在修改后不会更新

©2024 IT工具网  联系我们