我目前正在尝试确定为部署到 Azure 的 Web 角色加密 web.config 的优点。这个问题的答案似乎强调了了解谁可以访问实例的重要性:
Shall the DB ConnectionString within Web.config be encrypted when using Azure Cloud?
但是,我的印象是没有人能够以允许他们读取 web.config 的方式访问 Web 角色实例。
所以我的问题是:是否可以从已部署的 Web 角色获取 web.config?
例如:Azure 门户中是否有我未见过的选项?是否可以通过其他部署进行访问?
最佳答案
首先,web.config 内容未加密意味着任何可以访问服务包的人都可以访问 web.config 内容 - 而且访问人数可能会超出您的预期。例如,如果您有自动构建,那么公司中看到构建结果的任何人都将看到该数据。您决定这是否可以接受。
接下来,不要忘记软件中存在漏洞。有时可能会在 IIS 中发现允许轻松下载 web.config 的漏洞。
接下来,如果您碰巧关闭了 customErrors,并且 web.config 中的某些配置错误,那么向您的 Web 角色发出 HTTP 请求的任何人都可能会看到来自 IIS 的错误消息说这个和那个在 web.config 中配置错误,并显示 web.config 中发生错误配置的部分。这可能会暴露你的 secret - here's an example of similar exposure 。可能性不大,但技术上可行。
最后,尊重所有云提供商,您并不能真正控制数据中心处理数据的方式。他们可能会丢弃未损坏的磁盘,或者某些员工可能已损坏,并且您的服务包可能会泄漏。可能性不大,但技术上可行。如果您提出这样的问题(这是一个非常好的问题),您也应该考虑到这一风险。
所以像往常一样,没有绝对的安全。你所能做的就是提高标准。正确地以加密形式存储连接字符串肯定会提高标准。
您可能还对 this related question 的答案感兴趣.
关于azure - 是否可以从已部署的 Web 角色获取 web.config?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11204047/