В чем разница между ключом, защищенным программным образом, и ключом, защищенным аппаратным модулем HSM, в хранилище ключей Azure Key Vault?

Оба типа ключа представляют собой ключ, который хранится в модуле HSM. Разница состоит в том, что для ключа, защищенного программным путем, криптографические операции выполняются в программном обеспечении при работе виртуальных машин, тогда как в случае защищенных HSM ключей криптографические операции выполняются внутри HSM.

При разработке и тестировании желательно выбирать вариант зашиты программным обеспечением, а вот при реальной эксплуатации рекомендуется защищенный HSM ключ. Единственный недостаток применения защищенного HSM ключа — это дополнительная плата каждый месяц, если ключ в этом месяце исполь­зовался.