为进一步确保,使用Azure Key Vault时,可以在永远不会脱离HSM边界的硬件安全模块(HSM)中导入或生成密钥。这种情况通常称为自带密钥或BYOK。 HSM已通过FIPS 140-2 2级认证。 Azure Key Vault使用nCipher nShield HSM系列保护您的密钥。
有关通过Internet生成和传输受HSM保护的密钥的更多信息:
- 您从脱机工作站生成密钥,从而减少了攻击面。
- 密钥使用密钥交换密钥(KEK)进行加密,密钥交换密钥(KEK)保持加密状态,直到将其传输到Azure密钥保管库HSM。只有密钥的加密版本才离开原始工作站。
- 该工具集在您的租户密钥上设置属性,该属性将您的密钥绑定到Azure Key Vault安全性世界。因此,在Azure Key Vault HSM接收并解密您的密钥之后,只有这些HSM才能使用它。您的密钥无法导出。此绑定由nCipher HSM强制执行。
- 用于加密您的密钥的密钥交换密钥(KEK)在Azure密钥保管库HSM内部生成,并且不可导出。 HSM强制规定,HSM之外不能有清晰的KEK版本。此外,该工具集还包含来自nCipher的证明,证明KEK不可出口,并且是在nCipher生产的正版HSM内部生成的。
- 该工具集包含来自nCipher的证明,Azure Key Vault安全性世界也是在nCipher生产的正版HSM上生成的。此证明向您证明Microsoft使用的是正版硬件。
- Microsoft在每个地理区域使用单独的KEK和单独的“安全性世界”。这种分离确保您的密钥只能在您对其进行加密的区域的数据中心中使用。例如,来自欧洲客户的密钥不能在北美或亚洲的数据中心中使用。
要实现自带密钥(BYOK),请访问here
希望有帮助。