问题描述
使用 BYOK 存储在 Azure 中的数据(存储帐户、数据库等)能否在技术上(而不是合同上)确保即使来自 Microsoft 也不会被访问?例如,我们假设 HSM 密钥已安全传输到 HSM 支持的 Key Vault。应用程序如何使用 BYOK 写入和读取存储,而 Microsoft 无法查看配置、内存过程或数据保存到存储中?
解决方法
在 public preview now 中,您可以使用托管 HSM (MHSM)。您可以配置类似于 Key Vault (KV) 的 MHSM,但要激活和使用它,您需要设置 3 个或更多密钥以从 HSM 下载安全域。 Microsoft 无权解密密钥 - 只有您上传的 3 个或更多公钥的法定人数。虽然有点特定于我们的测试环境,但我们有一个 script 显示我们如何使用这些公钥创建证书和下载安全域以测试 MHSM。
您可以像访问 KV 一样使用现有的 Key Vault SDK 和工具(如 Azure CLI)来访问 MHSM。对于 Azure CLI,您需要传递 --hsm-name 而不是 --vault-name,但其他方面对键的作用相同。
我们很快将发布适用于 .NET、Java、JavaScript 和 Python 的 Azure SDK 的另一个测试版,支持 MHSM(AES-CBC、AES-CBC-PAD 和 AES-GCM)支持的其他算法。查看我们的 blog 以获取公告。