一些 HSM（我更习惯于 nCipher 的那些）允许类似云的操作：几个 HSM 可能共享相同的“安全世界”，这意味着它们看到相同的私钥，它们通过加密隧道相互交换。存储本身在物理上不在 HSM 中；它是外部的，但使用保存在 HSM 中的密钥加密（完整的设置涉及多种类型的智能卡，它比这更复杂，但你明白了）。

Azure 有一种机制，可以将私钥安全地下载到每个部署的 VM 中，并且私钥是不可导出的。这是描述第 2.1.1.4 节中的过程的白皮书

http://www.globalfoundationservices.com/security/documents/WindowsAzureSecurityOverview1_0Aug2010.pdf

.

如何将证书安装到 Azure

http://blogs.msdn.com/b/jnak/archive/2010/01/29/installing-certificates-in-windows-azure-vms.aspx

Amazon 现在支持将 SafeNet HSM 与CloudHSM 结合使用。
Microsoft Azure 支持使用 Thales HSM：Thales，Microsoft 在云中提供安全加密。

我怀疑描述“典型”使用、密钥管理或存储是不可能的，细节会因云提供商和 HSM 供应商而异。

Azure“自带密钥”概念确实允许您使用在您自己的 HSM 上生成的密钥，但您几乎可以肯定仍然必须信任您的云提供商才能正确管理 HSM。

（HSM 的设计目的是让未经授权的人很难从中提取密钥，但允许 HSM 共享密钥以进行故障转移和可扩展性意味着在它们之间共享秘密，并且必须以受信任的方式完成。在 nCipher 的情况下@thomas-pornin 提到的（现在的 Thales）HSM，如果攻击者不受控制地访问用于将 HSM 添加到安全世界的管理员智能卡的法定人数，他们可以有效地从该世界中提取密钥。在 SafeNet 案例中，类似注意事项适用于 Luna PED。除非云提供商允许您直接访问数据中心中的“您的”HSM，否则您必须信任他们的初始设置。一旦与 HSM 建立了机密，就可以与他们进行安全的经过身份验证的通信。）

几年后编辑：亚马逊的 CloudHSM 现在使用他们自己的硬件，SafeNet（现为金雅拓）HSM 现在是“CloudHSM Classic”，由于 Luna 5 HSM 已停产 AWS CloudHSM Classic 常见问题解答，因此将逐步淘汰。

泰雷兹和金雅拓正在合并，但前 nCipher HSM 业务正在出售给 Entrust Datacard。泰雷兹出售GP HSM业务。

Microsoft Azure 现在提供专用 HSM什么是 Azure 专用 HSM？.

昨天的这篇 IEEE 文章指出，许多提供商将安全视为用户的问题http://spectrum.ieee.org/riskfactor/telecom/internet/your-security-not-our-problem-say-cloud-providers?utm_source= feedburner&utm_medium=feed&utm_campaign=Feed:+IeeeSpectrum+(IEEE+Spectrum )。我建议避免对非常不透明的云进行假设，而是在签订服务合同之前从您的提供商那里获取具体信息。