Как настроить закрытый и открытый ключи RSA HSM в хранилище Microsoft Azure? - PullRequest
Новая
       73

Как настроить закрытый и открытый ключи RSA HSM в хранилище Microsoft Azure?

0 голосов
/ 15 мая 2019

Мне необходимо настроить открытый и закрытый ключи RSA HSM в хранилище ключей Azure и сохранить данные в зашифрованном виде.

1 Ответ

1 голос
/ 17 мая 2019

Для дополнительной уверенности, когда вы используете хранилище ключей Azure, вы можете импортировать или создавать ключи в модулях аппаратной защиты (HSM), которые никогда не выходят за границы HSM.Этот сценарий часто называют принести свой собственный ключ, или BYOK.ИМПы соответствуют стандарту FIPS 140-2 уровня 2.Azure Key Vault использует семейство модулей HSM nCipher nShield для защиты ваших ключей.

Дополнительные сведения о создании и передаче ключа, защищенного HSM через Интернет:

  • Ключ генерируется изавтономная рабочая станция, которая уменьшает поверхность атаки.
  • Ключ шифруется ключом обмена ключами (KEK), который остается зашифрованным до его передачи в HSM хранилища ключей Azure.Только зашифрованная версия вашего ключа покидает исходную рабочую станцию.
  • Набор инструментов устанавливает свойства вашего ключа клиента, который связывает ваш ключ с миром безопасности Azure Key Vault.Поэтому после того, как HSM Key Vault Azure получит и расшифрует ваш ключ, только эти HSM смогут его использовать.Ваш ключ не может быть экспортирован.Это связывание обеспечивается HSM nCipher.
  • Ключ обмена ключами (KEK), который используется для шифрования вашего ключа, создается внутри HSM хранилища ключей Azure и не подлежит экспорту.HSM обеспечивают, что не может быть четкой версии KEK за пределами HSM.Кроме того, набор инструментов включает в себя подтверждение от nCipher того, что KEK не экспортируется и был создан внутри подлинного HSM, изготовленного nCipher.
  • Набор инструментов включает в себя подтверждение из nCipher, что также был создан мир безопасности хранилища ключей Azure.на подлинном HSM производства nCipher.Это подтверждение подтверждает, что Microsoft использует подлинное оборудование.
  • Microsoft использует отдельные KEK и отдельные Миры безопасности в каждом географическом регионе.Такое разделение гарантирует, что ваш ключ может использоваться только в центрах обработки данных в регионе, в котором вы его зашифровали.Например, ключ от европейского клиента не может быть использован в дата-центрах в Северной Америке или Азии.

Для реализации принести свой собственный ключ (BYOK), пожалуйста, посетите здесь

Надеюсь, это поможет.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...