运维开发网

安全性 – Azure Blob在Microsoft中存储时是否加密?

运维开发网 https://www.qedev.com 2020-05-11 21:01 出处:网络 作者:运维开发网整理
我正在开发一个在Azure Blob存储中存储文本的站点.文本可能是敏感的(不一定是密码,但是个人信息).在我将其存储在Azure Blob存储中之前,我试图决定是否应加密文本.我的理解是,这可以减轻暴露数据的风险,如果Azure键和帐户名称出来,恶意用户下载该blob.我的问题是: > Azure Blob在微软登陆磁盘时是否已被加密?帐号密钥是用作加密密钥还是只是访问令牌? >如果我要使用.N
我正在开发一个在Azure Blob存储中存储文本的站点.文本可能是敏感的(不一定是密码,但是个人信息).在我将其存储在Azure Blob存储中之前,我试图决定是否应加密文本.我的理解是,这可以减轻暴露数据的风险,如果Azure键和帐户名称出来,恶意用户下载该blob.我的问题是:

> Azure Blob在微软登陆磁盘时是否已被加密?帐号密钥是用作加密密钥还是只是访问令牌?

>如果我要使用.NET AES算法在Azure网站中执行此操作,那么我应该在哪里存储用于生成密钥的加密密钥或密码/盐? (即web.config一个好的地方为此?)

Blob内容未加密;那一步将完全取决于你. Blob访问由访问密钥严格控制(并且有两个键:主要和次要的,两者都工作均等).这是我的想法:

>如果存储访问专用于您的应用程序层(即密钥永远不会暴露在应用程序之外),则风险相当低(而不是将密钥嵌入桌面或移动应用程序,或将其与在线存储浏览器服务一起使用) ).有人需要窃取你的钥匙(如窃取源/配置文件).您提到使用不提供RDP访问的网站,进一步保护您的运行代码.

>如果不知何故,您的密钥被盗用,您可以通过生成一个新的密钥来使该密钥无效.这会立即切断对持有旧钥匙的人的访问.作为一般模式,当我使用外部工具(如Cerebrata工具)时,我总是使用我的辅助键,为我的应用程序预留主键.这样,我可以随时使我的次要密钥无效,阻止这些工具访问我的存储,但不会干扰我正在运行的应用程序.

>如果您需要向您的客户公开特定的Blob,您有两种方法可以实现.首先,您可以将blob下载到Web服务器,然后将内容流下载.第二:您可以为特定的Blob生成共享访问签名(SAS),然后将该结果URI提供给用户(例如,作为< a>标签的href).通过使用SAS,您可以允许访问私人Blob一段给定的时间,如10-20分钟.即使有人拿到了SAS URL并将其发布在Internet上,它只对你指定的时间窗口有效(它是散列的,防止修改).

>为多个应用程序(甚至每个应用程序)考虑多个存储帐户.这样,如果存在安全漏洞,则受到特定受损存储帐户的限制.

编辑2016年4月

Azure存储服务加密数据,仅在刚刚宣布的休息,现在可以预览,可用于通过Azure资源管理器(ARM)创建的任何存储帐户.它不适用于“经典”存储帐户(我的其余答案,上面仍然适用).您可以通过门户网站为您的存储帐户启用/禁用加密:

安全性 – Azure Blob在Microsoft中存储时是否加密?

该服务可用于标准和高级存储帐户中的Blob.更多细节在this post.

扫码领视频副本.gif

0

精彩评论

暂无评论...
验证码 换一张
取 消

关注公众号