Azure 管理门户允许从之前上传到 Azure Blob 存储的服务包中部署服务。这看起来非常方便,但有点偏执 - 如果某些第三方访问 blob 存储并检索构成我的角色的可执行文件怎么办?
在 Azure Blob 存储中存储角色服务包的安全性如何?如果有的话,更好的选择是什么?
最佳答案
有一些攻击媒介可以访问 blob 存储,并且您可以控制所有这些攻击媒介,因此您需要确保访问的安全。具体来说:
- 保护存储帐户的主 key 和辅助 key 。丢失这些 key 将危及存储帐户。默认情况下,所有对 Blob 存储的访问都必须经过身份验证。
- 保护订阅的所有管理证书(私钥)。管理证书持有者始终可以获得子系统中所有存储帐户的存储 key ,因此这是一个彻底的妥协。
- 用包裹固定容器。如果您将容器标记为公开,人们无需存储 key 即可获取它。
- 删除任何签名标识符或确保您不会无意中允许通过精心设计的 SAS 签名进行访问。
就是这样。除非 Blob 存储服务存在实际的安全问题(我们目前不知道),否则这些是获得访问权限的唯一方法。如果您保护它,它就非常安全,而且我认为没有更好的替代方案可以在 Windows Azure 中存储包。
最后一件事:您默认上传的包实际上是加密的。即使有人下载了它,唯一可以解密它的就是结构 Controller 。我认为您还有其他问题更应该担心。
关于windows - 在 Azure Blob 存储中存储我的角色服务包有多安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6597986/