我們有一個windows服務,用於監視文件的文件夾(使用C#的filewatcher)並將文件上傳到blob。 Windows服務通過傳遞從ADFS WS-Trust 1.3端點傳遞的JWT傳遞用戶名,從通過ADFS 2.0保護的WebAPI端點(TLS 1.2)中檢索只寫SAS令牌(用於生成blob客戶端以上載到Blob)和密碼。上傳前加密csv
我的經驗在安全方面有限。我有兩個問題。
1-在將數據上傳到blob之前是否應該進行加密?如果是的話,我該如何執行它。
2-將從端點檢索SAS令牌,即使它被固定與ADFS是通過https,擁有任何形式的安全風險
1 - 如果有一個加密我上傳前數據blob?如果是的話,我該如何執行它。
按我的理解,如果你想交通和你的存儲數據時額外的安全性進行加密,你可以利用客戶端加密,並參照本tutorial。此時,您需要對應用程序進行編程更改。
此外,您可以利用存儲服務加密(SSE)不提供對運輸過程中的數據的安全性,但它提供了以下好處:
SSE允許自動存儲服務在將數據寫入Azure存儲時加密數據。當您從Azure存儲讀取數據時,將在返回之前由存儲服務解密。這使您可以保護您的數據,而無需修改代碼或將代碼添加到任何應用程序。
我建議你可以在傳輸和SSE中使用HTTPs來加密你的blob。有關如何啓用SSE,請參閱here。此外,您可以按照here關於Azure存儲安全指南。
2-將從端點檢索SAS令牌,即使它被固定與ADFS是通過https,擁有任何形式的安全風險
SAS提供了一種方式,授予對其他客戶端的存儲帳戶資源的有限權限。出於安全考慮,您可以設置您的SAS有效的時間間隔。此外,您可以限制Azure存儲接受SAS的IP地址。根據我的理解,生成SAS令牌的端點通過HTTP通過ADFS 2.0進行保護,我認爲它足夠安全。