Azure 管理门户允许从之前上传到 Azure blob 存储的服务包部署服务。这看起来很方便,但有点偏执——如果某些第三方访问 blob 存储并检索构成我的角色的可执行文件怎么办?
在 Azure Blob 存储中存储角色服务包的安全性如何?如果有的话,有什么更好的选择?
问问题
200 次
1 回答
5
有一些攻击向量可以访问 blob 存储,并且您可以控制所有这些向量,因此您可以确保访问安全。具体来说:
- 保护存储帐户的主密钥和辅助密钥。丢失这些密钥会危及存储帐户。默认情况下,所有对 blob 存储的访问都必须经过身份验证。
- 保护订阅的所有管理证书(私钥)。管理证书持有者始终可以获取 sub 中所有存储帐户的存储密钥,因此这是一种完全妥协。
- 用包裹固定容器。如果您将容器标记为公开,人们可以在没有存储密钥的情况下获取它。
- 删除任何签名标识符或确保您不会无意中允许通过制作不当的 SAS 签名进行访问。
就是这样。除非 blob 存储服务存在实际的安全问题(我们目前不知道),否则这些是获得访问权限的唯一方法。如果您保护它,它就非常安全,而且我认为没有更好的替代方法可以将包存储在 Windows Azure 中。
最后一件事:您默认上传的包实际上是加密的。即使有人下载了它,唯一能解密它的就是结构控制器。我认为您还有其他问题应该更多地担心。
于 2011-07-06T15:17:44.320 回答