维度网讯,瑞士硬件安全模块制造商Securosys推出面向Microsoft Azure的外部密钥管理器代理。该方案支持Azure Key Vault Managed HSM环境下的外部密钥管理,主要面向金融、医疗、公共部门等受监管行业企业,用于在使用云服务的同时保留对加密密钥的控制权。
外部密钥管理的关键在于“密钥材料不进入云平台”。企业在Securosys Primus HSM或CloudHSM中生成、保存和管理密钥,Azure Key Vault Managed HSM侧保留的是外部密钥引用、访问控制和审计能力。当Azure服务需要执行密钥包装或解包等密码操作时,请求会进入Managed HSM,再通过Securosys EKM Proxy转发到企业控制的外部HSM环境中完成计算,结果再返回给Azure侧服务。这样一来,业务系统仍可使用Azure生态中的密钥管理接口和权限体系,但核心密钥材料留在客户自有或客户控制的HSM边界内。
这类方案主要服务强监管行业。金融机构、医疗机构和公共部门通常需要满足数据主权、密钥主权、审计留痕和合规隔离要求,不能只依赖云平台托管密钥。
Securosys EKM Proxy在架构中承担连接器角色。它把Azure Key Vault Managed HSM与Securosys HSM环境连接起来,使Azure服务能够调用外部密钥完成受控密码操作。通信链路采用双向TLS认证,Managed HSM与代理服务需要相互认证后才会处理请求;代理接口只负责密码操作,不替代外部HSM里的密钥生命周期管理。密钥生成、备份、轮换、销毁和恢复仍需要在Securosys HSM环境中完成,这也意味着企业在获得密钥控制权的同时,需要承担更完整的密钥运维责任。
对企业云安全架构来说,外部密钥管理不是简单的“多一层加密”,而是改变密钥控制边界。传统客户托管密钥模式通常仍把密钥放在云平台密钥管理服务中,而外部密钥管理把关键密钥材料留在客户控制的HSM里,云侧只持有引用和权限控制信息。受监管企业可以继续使用Azure中的应用、存储、数据库和云服务,同时把核心加密根密钥放在独立硬件安全模块中运行,以满足内部风控、监管审计和跨境数据治理要求。
该方案也对系统延迟、网络路径和HSM容量提出要求。Azure服务调用外部密钥时,会经过Managed HSM、EKM Proxy和外部HSM三个环节,企业需要确保代理服务可访问、证书配置正确、HSM集群具备足够吞吐,并能记录代理侧和HSM侧审计日志。对于高频加密操作、金融交易系统、医疗数据平台和政府云工作负载,外部密钥管理部署后仍需围绕可用性、故障切换、密钥轮换流程和审计闭环进行验证。
Securosys推出面向Azure的外部密钥管理代理后,其HSM能力将进一步进入主流公有云安全体系。后续落地重点将集中在Azure Managed HSM连接配置、Securosys Primus HSM或CloudHSM部署、mTLS证书管理、密钥生命周期协同、合规审计和受监管行业客户迁移方案上。










