azure - 将 Thales payshield 9000 迁移到 Azure Key Vault

我们想从HSM keys迁移Thales paysheild 9000到Azure Key vault。我们想知道是否支持这种迁移，如果支持，客户已经迁移到 Azure 的迁移方法和用例是什么。我们已经阅读了文章https://github.com/MicrosoftDocs/azure-docs/blob/master/articles/key-vault/key-vault-hsm-protected-keys.md，它谈到了 Thales nShield 系列，但我们正在使用https://www.thalesesecurity.com/products/payment-hsms/payshield-9000

提前致谢。

标签： azureazure-keyvaulthsm

很好的问题，正如 Dan 建议的那样，您应该联系 Microsoft 进行澄清，但不幸的是，我认为这是不可能的。

回顾一下，我相信您知道 HSM 的目的是使密钥不可导出。

微软（我假设 Thales）支持密钥备份：https ://docs.microsoft.com/en-us/rest/api/keyvault/backupkey但它只能恢复到相同的地理区域。

在您提供的文章中，它提到了每个地理区域中的“密钥交换密钥”，我认为这意味着微软将使用与另一个 HSM 安装不同的密钥。

话虽如此，我不是一般的 HSM 专家，这些只是我在使用 KeyVault 时遇到的链接。

请联系 Microsoft，如果可能的话，我很感兴趣，请在收到回复后发布答案，或者 Microsoft 员工也许可以直接回答。

在泰雷兹的文献中，它指出：

“借助适用于 Microsoft Azure 的 nShield BYOK，您的本地 nShield HSM 可以代表您生成、存储、包装和导出密钥到 Microsoft Azure Key Vault”

有趣的是，它说 generate / stores 表明可以迁移预先创建的密钥。但是，相反，我猜测必须使用“密钥交换密钥”进行导出，并在 BYOK 过程中同时存储在本地和为 Azure 导出，而不是先在本地进行。

如果有帮助，此博客文章包含 keyvault 团队的联系方式：https ://blog.romyn.ca/key-management-in-azure/