我们希望将 HSM key
从 Thales paysheild 9000
迁移到 Azure Key Vault
。我们想知道是否支持此迁移,如果支持,迁移方法是什么以及客户已迁移到 Azure 的用例。我们已经浏览了文章https://github.com/MicrosoftDocs/azure-docs/blob/master/articles/key-vault/key-vault-hsm-protected-keys.md ,它谈论的是 Thales nShield 系列,但我们正在使用 https://www.thalesesecurity.com/products/payment-hsms/payshield-9000
提前致谢。
最佳答案
这是一个很好的问题,Dan 建议您联系 Microsoft 进行澄清,但不幸的是,我认为这是不可能的。
回顾一下,我确信您知道 HSM 的目的是使 key 不可导出。
微软(我认为泰雷兹)支持 key 备份:https://learn.microsoft.com/en-us/rest/api/keyvault/backupkey但只能恢复到同一地理区域。
在您提供的文章中,它提到了每个地理区域中的“ key 交换 key ”,我认为这意味着 Microsoft 将使用与另一个 HSM 安装不同的 key 。
话虽如此,我不是一般的 HSM 专家,这些只是我在使用 KeyVault 时遇到的链接。
请务必联系 Microsoft,因为如果可能的话,我很感兴趣,请在收到回复后发布答案,或者 Microsoft 员工也许可以直接回答。
泰雷兹文献中指出:
“借助适用于 Microsoft Azure 的 nShield BYOK,您的本地 nShield HSM 生成、存储、包装 key 并将其导出到 代表您的 Microsoft Azure Key Vault”
http://go.thalesesecurity.com/rs/480-LWA-970/images/Thales-e-Security-Microsoft-Azure-UK-sb.pdf
有趣的是,它说生成/存储,这表明可以迁移预先创建的 key 。然而,相反,我猜测导出必须使用“ key 交换 key ”进行,并在 BYOK 流程中同时存储在本地并导出到 Azure,而不是首先存储在本地。
这篇博文包含 keyvault 团队的联系方式(如果有帮助的话):https://blog.romyn.ca/key-management-in-azure/
关于azure - 将 Thales payshield 9000 迁移到 Azure Key Vault,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51503544/