Securosys aus der Schweiz bringt externen Schlüsselverwaltungs-Proxy für Azure auf den Markt
2026-07-09 12:01
Merken

de.wedoany.com-Bericht: Der Schweizer Hersteller von Hardware-Sicherheitsmodulen Securosys hat einen externen Schlüsselverwaltungs-Proxy für Microsoft Azure vorgestellt. Die Lösung unterstützt die externe Schlüsselverwaltung in der Azure Key Vault Managed HSM-Umgebung und richtet sich vor allem an Unternehmen aus regulierten Branchen wie Finanzen, Gesundheitswesen und öffentlicher Sektor, die bei der Nutzung von Cloud-Diensten die Kontrolle über ihre Verschlüsselungsschlüssel behalten möchten.

Der Kern der externen Schlüsselverwaltung liegt darin, dass „das Schlüsselmaterial die Cloud-Plattform nicht betritt". Unternehmen generieren, speichern und verwalten Schlüssel in Securosys Primus HSM oder CloudHSM, während auf der Seite von Azure Key Vault Managed HSM lediglich externe Schlüsselverweise, Zugriffskontrollen und Prüffunktionen vorgehalten werden. Wenn ein Azure-Dienst kryptografische Operationen wie das Verpacken oder Entpacken von Schlüsseln durchführen muss, wird die Anfrage an das Managed HSM gesendet, über den Securosys EKM Proxy an die vom Unternehmen kontrollierte externe HSM-Umgebung weitergeleitet, dort berechnet und das Ergebnis an den Azure-Dienst zurückgegeben. Auf diese Weise können Geschäftssysteme weiterhin die Schlüsselverwaltungsschnittstellen und Berechtigungssysteme des Azure-Ökosystems nutzen, während das Kernschlüsselmaterial innerhalb der vom Kunden selbst betriebenen oder kontrollierten HSM-Grenzen verbleibt.

Diese Art von Lösung dient hauptsächlich stark regulierten Branchen. Finanzinstitute, Gesundheitsorganisationen und öffentliche Einrichtungen müssen in der Regel Anforderungen an Datensouveränität, Schlüsselsouveränität, Prüfnachweise und Compliance-Isolation erfüllen und können sich nicht allein auf die von der Cloud-Plattform gehosteten Schlüssel verlassen.

Der Securosys EKM Proxy übernimmt in der Architektur die Rolle eines Konnektors. Er verbindet Azure Key Vault Managed HSM mit der Securosys HSM-Umgebung, sodass Azure-Dienste externe Schlüssel für kontrollierte kryptografische Operationen aufrufen können. Die Kommunikationsverbindung verwendet eine beidseitige TLS-Authentifizierung; das Managed HSM und der Proxy-Dienst müssen sich gegenseitig authentifizieren, bevor Anfragen verarbeitet werden. Die Proxy-Schnittstelle ist nur für kryptografische Operationen zuständig und ersetzt nicht die Schlüssellebenszyklusverwaltung im externen HSM. Die Generierung, Sicherung, Rotation, Löschung und Wiederherstellung von Schlüsseln muss weiterhin in der Securosys HSM-Umgebung erfolgen, was bedeutet, dass Unternehmen mit der Kontrolle über die Schlüssel auch eine umfassendere Verantwortung für den Schlüsselbetrieb übernehmen müssen.

Für die Cloud-Sicherheitsarchitektur von Unternehmen ist die externe Schlüsselverwaltung nicht einfach eine „zusätzliche Verschlüsselungsschicht", sondern eine Veränderung der Schlüsselkontrollgrenzen. Das traditionelle Modell der kundenseitigen Schlüsselverwaltung belässt die Schlüssel in der Regel weiterhin im Schlüsselverwaltungsdienst der Cloud-Plattform, während die externe Schlüsselverwaltung das kritische Schlüsselmaterial im vom Kunden kontrollierten HSM belässt und die Cloud-Seite nur Verweise und Berechtigungsinformationen vorhält. Regulierte Unternehmen können weiterhin Anwendungen, Speicher, Datenbanken und Cloud-Dienste in Azure nutzen und gleichzeitig die zentralen kryptografischen Root-Schlüssel in unabhängigen Hardware-Sicherheitsmodulen betreiben, um interne Risikokontroll-, Regulierungsprüfungs- und grenzüberschreitende Datenverwaltungsanforderungen zu erfüllen.

Die Lösung stellt auch Anforderungen an Systemlatenz, Netzwerkpfade und HSM-Kapazität. Wenn Azure-Dienste externe Schlüssel aufrufen, durchlaufen sie die drei Stufen Managed HSM, EKM Proxy und externes HSM. Unternehmen müssen sicherstellen, dass der Proxy-Dienst erreichbar ist, die Zertifikatskonfiguration korrekt ist, der HSM-Cluster über ausreichenden Durchsatz verfügt und sowohl auf Proxy- als auch auf HSM-Seite Prüfprotokolle aufgezeichnet werden können. Für hochfrequente Verschlüsselungsoperationen, Finanztransaktionssysteme, medizinische Datenplattformen und Cloud-Workloads der öffentlichen Hand muss die externe Schlüsselverwaltung nach der Bereitstellung im Hinblick auf Verfügbarkeit, Failover, Schlüsselrotationsprozesse und Prüfkreisläufe validiert werden.

Mit der Einführung des externen Schlüsselverwaltungs-Proxys für Azure durch Securosys werden die HSM-Fähigkeiten des Unternehmens weiter in das Sicherheitssystem der gängigen Public Clouds vordringen. Die Schwerpunkte der anschließenden Implementierung werden auf der Konfiguration der Azure Managed HSM-Verbindung, der Bereitstellung von Securosys Primus HSM oder CloudHSM, dem mTLS-Zertifikatsmanagement, der Koordination des Schlüssellebenszyklus, der Compliance-Prüfung und den Migrationsplänen für Kunden aus regulierten Branchen liegen.

Diese Kurznachricht stammt aus der Übersetzung und Weiterverbreitung von Informationen aus dem globalen Internet und von strategischen Partnern. Sie dient lediglich dem Austausch mit den Lesern. Bei Urheberrechtsverletzungen oder anderen Problemen bitten wir um rechtzeitige Mitteilung, und wir werden die notwendigen Änderungen oder Löschungen vornehmen. Die Weitergabe dieses Artikels ist ausdrücklich ohne formelle Genehmigung verboten.E-Mail: news@wedoany.com