Cloud 如何确保云HSM服务提供商真正使用的是物理硬件安全模块而不是模拟软件？

这正是我想知道的。基于云的HSM非常昂贵，我需要确定要支付什么。

如果云HSM提供商声明它已被验证为符合要求，您不必担心他们的系统

专门的合规公司检查云HSM提供商并给予监管批准。

---

合规性验证每年由合格的安全评估员进行。整个信用卡系统基于HSM的这些安全性，因此这些安全性要求是广泛的（不仅仅是检查HSM的硬件）。这就是为什么云HSM也很昂贵。

主要是公钥加密。HSM包含链接回受信任公共根的密钥对，其工作方式与SSL/TLS相同。您可以从设备获取签名证书，然后验证该证书是否正确​ 由制造商签字。（这与您验证实际拥有的HSM是真实的而不是伪造的方式相同。）

你也相信制造商和他们合作的认证机构关于设备安全性的声明是正确的，但这与你拥有的HSM没有什么不同

on-prem与cloud-HSM威胁模型的唯一区别在于，在云环境中，我的云提供商可以监视流量并尝试在HSM上运行命令。但是，流量都是加密的，设备至少有密码保护（如果登录尝试失败太多，通常会将自身归零），因此我的云提供商实际上无法访问任何加密材料或查看您正在做什么。他们能看到的最多的是你向HSM发送了多少流量，如果你真的有妄想症，你可以有一个系统，添加随机流量以混淆使用模式

---

有关更多信息，AWS在其CloudHSM常见问题解答中提供了此问题的答案（您需要向下滚动一点，文档不支持链接到特定问题，只支持一个部分）

回答不错。详细解释见