我们目前正在使用福吉洛克作为身份和访问管理解决方案,它托管在 Azure 中的基础设施即服务机器上,即虚拟机规模集需要使用经过 FIPS-140-2 验证的硬件安全模块 (HSM) 来保护私钥,研究表明,实现这一目标的唯一方法是使用Azure 密钥保管库。
现在已经研究了如何配置使用 ForgeRock 的 HSM这似乎是可能的,因为您可以更改 Java 加密扩展提供程序以使用该SunPKCS11提供程序,并配置提供程序本身以与 HSM 通信以提供加密卸载。
是否可以对 Azure Key Vault 执行相同操作?作为参考,Azure Key Vault 本身不支持 JCE 或 PKCS11,尽管它由Thales nShield HSM 系列。