Azure Key Vault 不是一个产品,而是一组由合规边界严格切分的密钥服务形态。 合规前提设定错误通常会直接导致选型错误。
一、唯一的起点问题:是否要求硬件 FIPS 140-3 Level 3?
所有 Azure Key Vault 的分叉,实际上都源于一个问题:
是否要求 FIPS 140-3 Level 3?
- 否 → 进入软件或多租户 HSM 边界
- 是 → 进入硬件 HSM 边界(成本与责任模型发生根本变化)
这是唯一的分叉。
二、第二个问题:是否要求密钥主权(单租户)?
在确定必须使用 HSM 后,选型只剩下一个判断:
是否要求密钥只存在于你的控制域中?
- 否 → 多租户 HSM
- 是 → 单租户 HSM
从这一刻起,Key Vault 的性质从“服务”变为“基础设施”。
三、Azure Key Vault 的三层信任模型
软件 / 多租户边界(逻辑安全)
Azure Key Vault Standard
- FIPS 140-2 Level 1
- 软件保护
- 多租户
- Microsoft 控制信任根
适用场景: 普通加密、Secrets 管理、无强审计要求。
共享 HSM 边界(形式合规)
Azure Key Vault Premium
- FIPS 140-2 Level 3
- 多租户 HSM
- Microsoft 控制 HSM
适用场景: “监管要求 HSM,但不要求主权”。
单租户 HSM 边界(主权合规)
这一层不再讨论“是否安全”,而是讨论谁拥有最终控制权。
四、用途不是功能,而是合规证据
Vault 选型不是根据 API,而是根据你需要对外证明什么。
| 证明目标 | 选型结果 |
|---|---|
| 不需要证明硬件边界 | AKV Standard |
| 需要证明使用 HSM | AKV Premium |
| 需要证明云厂商不可触及密钥 | Managed / Cloud HSM |
五、计费模型的本质变化
Standard / Premium
- 按 对象 + 操作次数 计费
- Key 是“逻辑资源”
Managed HSM
- 按 HSM 实例 / 池 计费,为“独占的信任边界”付费
六、结论(工程视角)
1. 纯软件维度 (Standard Tier)
- 核心逻辑:这是最经济的入门方案,完全基于软件保护,密钥存储在 Azure 共享存储中。
- 计费特点:按量付费,主要支出是API调用次数。
- 合规等级:满足 FIPS 140-2 Level 1。
- 单价区间:极其低廉,操作费通常在 $0.03/1万次 左右。
2. 公共 HSM 维度 (Premium Tier)
- 核心逻辑:密钥存储在云端共享的物理硬件(HSM)中。它在易用性和高合规性之间取得了平衡。
- 计费特点:月租 + 操作费。每个受 HSM 保护的密钥都有固定的月租费(根据密钥类型和长度,单价在 $1/月 到 $5/月 不等),同时额外收取少量的调用操作费。
- 合规等级:满足 FIPS 140-3 Level 3(硬件级验证)。
- 单价区间:属于中等支出,密钥数量越多,阶梯单价越低。
3. 独享 HSM 维度 (Managed/Dedicated HSM)
- 核心逻辑:为单个客户提供独占的、物理隔离的 HSM 实例或设备,提供最高的性能和安全性。
- 计费特点:高额固定底价。主要按“实例小时”收费,不论你是否频繁使用,只要实例开启就在计费。
- 合规等级:满足 FIPS 140-3 Level 3(单租户逻辑/物理隔离)。
- 单价区间:支出最高,单月成本通常在 $2,300 - $3,500 以上,适合对吞吐量、隔离度有极端要求的大型企业。