azure - 将 Thales payshield 9000 迁移到 Azure Key Vault
问题描述
我们想从HSM keys
迁移Thales paysheild 9000
到Azure Key vault
。我们想知道是否支持这种迁移,如果支持,客户已经迁移到 Azure 的迁移方法和用例是什么。我们已经阅读了文章https://github.com/MicrosoftDocs/azure-docs/blob/master/articles/key-vault/key-vault-hsm-protected-keys.md,它谈到了 Thales nShield 系列,但我们正在使用https://www.thalesesecurity.com/products/payment-hsms/payshield-9000
提前致谢。
解决方案
很好的问题,正如 Dan 建议的那样,您应该联系 Microsoft 进行澄清,但不幸的是,我认为这是不可能的。
回顾一下,我相信您知道 HSM 的目的是使密钥不可导出。
微软(我假设 Thales)支持密钥备份:https ://docs.microsoft.com/en-us/rest/api/keyvault/backupkey但它只能恢复到相同的地理区域。
在您提供的文章中,它提到了每个地理区域中的“密钥交换密钥”,我认为这意味着微软将使用与另一个 HSM 安装不同的密钥。
话虽如此,我不是一般的 HSM 专家,这些只是我在使用 KeyVault 时遇到的链接。
请联系 Microsoft,如果可能的话,我很感兴趣,请在收到回复后发布答案,或者 Microsoft 员工也许可以直接回答。
在泰雷兹的文献中,它指出:
“借助适用于 Microsoft Azure 的 nShield BYOK,您的本地 nShield HSM 可以代表您生成、存储、包装和导出密钥到 Microsoft Azure Key Vault”
http://go.thalesesecurity.com/rs/480-LWA-970/images/Thales-e-Security-Microsoft-Azure-UK-sb.pdf
有趣的是,它说 generate / stores 表明可以迁移预先创建的密钥。但是,相反,我猜测必须使用“密钥交换密钥”进行导出,并在 BYOK 过程中同时存储在本地和为 Azure 导出,而不是先在本地进行。
如果有帮助,此博客文章包含 keyvault 团队的联系方式:https ://blog.romyn.ca/key-management-in-azure/
推荐阅读
- r - 根据标识符输入缺失值
- javascript - 我如何在不发生这种情况的情况下接受输入?
- android - Flutter - Keeping variable's value after each app restart
- r-markdown - Rmarkdown:如果块中有错误,则继续编织
- flask - 有没有办法导入一个本身包含 Jinja2 块的块?
- javascript - Alpine.js 如何监视单选按钮的更改
- awesome-wm - awesome-wm polkit 身份验证代理?
- middleware - Loopback 4 扩展:如何将它们与中间件序列一起使用
- python - Python比较字符串,endlines问题
- java - 如何根据给定的主题顺序concume kafka主题