Importieren von HSM-geschützten Schlüsseln in Key Vault

Zur Steigerung der Sicherheit können Sie bei Verwendung des Azure-Schlüsseltresors Schlüssel in HSMs (Hardwaresicherheitsmodule) importieren oder darin generieren. Diese Schlüssel verbleiben immer innerhalb der HSM-Grenzen. Dieses Szenario wird häufig als Bring Your Own Key (BYOK) bezeichnet. Azure Key Vault verwendet FIPS 140-validierte HSMs zum Schutz Ihrer Schlüssel.

Diese Funktionalität ist für Microsoft Azure des Betreibers 21Vianet nicht verfügbar.

Hinweis

Weitere Informationen zum Azure-Schlüsseltresor finden Sie unter Was ist der Azure-Schlüsseltresor?
Ein Tutorial zu den ersten Schritten, z.B. zum Erstellen eines Schlüsseltresors für HSM-geschützte Schlüssel, finden Sie unter Was ist Azure Key Vault?.

Unterstützte HSMs

HSM-geschützte Schlüssel können abhängig vom verwendeten HSM auf zwei Arten an Key Vault übertragen werden. In dieser Tabelle erfahren Sie, welche Methode für Ihre HSMs verwendet werden muss, um Ihre eigenen HSM-geschützten Schlüssel zu generieren und anschließend für die Verwendung mit Azure Key Vault zu übertragen.

Herstellername Herstellertyp Unterstützte HSM-Modelle Unterstützte Übertragungsmethode für HSM-Schlüssel
Cryptomathic ISV (Enterprise Key Management System) Mehrere HSM-Marken und -Modelle, einschließlich
  • nCipher
  • Thales
  • Utimaco
Weitere Informationen finden Sie auf der Cryptomathic-Website.
Verwenden einer neuen BYOK-Methode
Entrust Hersteller,
HSM als Dienst (aaS)
  • HSM-Produktfamilie „nShield“
  • nShield als Dienst
Verwenden einer neuen BYOK-Methode
Fortanix Hersteller,
HSM als Dienst (aaS)
  • Self-Defending Key Management Service (SDKMS, selbstverteidigender Schlüsselverwaltungsdienst)
  • Equinix SmartKey
Verwenden einer neuen BYOK-Methode
Futurex Hersteller,
HSM als Dienst (aaS)
  • CryptoHub
  • CryptoHub Cloud
  • KMES Serie 3
Verwenden einer neuen BYOK-Methode
IBM Hersteller IBM 476x, CryptoExpress Verwenden einer neuen BYOK-Methode
Marvell Hersteller Alle Liquid Security-HSMs mit
  • Firmwareversion 2.0.4 oder höher
  • Firmwareversion 3.2 oder höher
Verwenden einer neuen BYOK-Methode
nCipher Hersteller,
HSM als Dienst (aaS)
  • HSM-Produktfamilie „nShield“
  • nShield als Dienst
Methode 1: nCipher BYOK (veraltet). Diese Methode wird nach dem 30. Juni 2021 nicht mehr unterstützt.
Methode 2: Verwenden der neuen BYOK-Methode (empfohlen)
Siehe die Zeile „Entrust“ (Anvertrauen).
Securosys SA Hersteller,
HSM als Dienst
Primus-HSM-Familie, Securosys Clouds HSM Verwenden einer neuen BYOK-Methode
StorMagic ISV (Enterprise Key Management System) Mehrere HSM-Marken und -Modelle, einschließlich
  • Utimaco
  • Thales
  • nCipher
Weitere Informationen finden Sie auf der StorMagic-Website.
Verwenden einer neuen BYOK-Methode
Thales Hersteller
  • Produktfamilie „Luna HSM 7“ mit Firmwareversion 7.3 oder neuer
Verwenden einer neuen BYOK-Methode
Utimaco Hersteller,
HSM als Dienst
u.trust Anchor, CryptoServer Verwenden einer neuen BYOK-Methode

Nächste Schritte