使用 BYOK(存储帐户、数据库等)存储在 Azure 中的数据能否在技术上(而不是通过合同)保证即使是 Microsoft 也不能访问?例如,我们假设 HSM 密钥已安全传输到 HSM 支持的 Key Vault。应用程序如何使用 BYOK 对存储进行写入和读取,而 Microsoft 无法查看配置、内存进程或数据保存到存储中的情况?
问问题
137 次
1 回答
0
现在,在公共预览版中,您可以使用托管 HSM (MHSM)。您可以配置类似于 Key Vault (KV) 的 MHSM,但要激活和使用它,您需要设置 3 个或更多密钥才能从 HSM 下载安全域。Microsoft 无权解密密钥 - 只有您上传的 3 个或更多公钥的法定人数。虽然有点特定于我们的测试环境,但我们有一个脚本,它显示了我们如何使用这些公钥创建证书和下载安全域以测试 MHSM。
你可以使用现有的 Key Vault SDK 和Azure CLI等工具来访问 MHSM,就像访问 KV 一样。对于 Azure CLI,您需要传递--hsm-name
而不是传递--vault-name
,但其他方面对密钥的工作方式相同。
我们很快将发布另一个适用于 .NET、Java、JavaScript 和 Python 的 Azure SDK 测试版,它们支持 MHSM 支持的其他算法(AES-CBC、AES-CBC-PAD 和 AES-GCM)。查看我们的博客以获取公告。
于 2021-01-30T01:09:08.603 回答