15

Windows Azure にキー (データ暗号化用) を格納する方法について少し混乱しています。

次の 2 つのリンク ( #1#2 ) によると、キー/キー ライブラリを Windows Azure ストレージに格納することをお勧めします。

独自のキー ライブラリを Windows Azure ストレージ サービス内に保存することは、機密情報を保持するための良い方法です。このデータはマルチテナント環境で安全であり、独自のストレージ キーによって保護されていると信頼できるからです。

ただし、「Windows Azure アプリケーションを開発するためのセキュリティのベスト プラクティス」( #3 ) では、キー関連の資料を Windows Azure に保存しないことを推奨しています。

また、開発者は、キーやキー マテリアルを Windows Azure ストレージにアップロードするべきではありません。コンピューターまたはストレージ サービスが侵害された場合、暗号化キーが公開される可能性があります。

Windows Azure で暗号化用のキーを格納するための最良の方法は何ですか?

4

5 に答える 5

11

その最初のリンクの私のコメントから、私があなたの懸念に同意することがわかります。:)

Azure には、独自の証明書ストレージ以外にキーを安全に保存する方法がありません。この方法の使用に関する記事は次のとおりです。

フィールド ノート: Windows Azure アプリケーションでの証明書ベースの暗号化の使用

この質問にリンクして、その記事の欠点についてもコメントしたことに気付くでしょう。

c# を使用して、Azure ServiceConfiguration ファイルの証明書セクションを読み取ります。

Azure の組み込みの証明書ストレージを使用して AES キーを暗号化する (AES キーを安全に保ちながら、暗号化されたデータの長さに対する RSA の制限を回避する) 例は、次のプロジェクトにあります。

Codeplex: 属性による Azure テーブル暗号化

EncryptDecrypt プロジェクトのSymmetricKeyHelperクラスは特に興味深いものです。

@breischl に言及し、プロジェクトに貢献してくれたことに感謝します。

于 2012-07-11T11:53:40.050 に答える
7

最近リリースされた Azure Key Vault サービスは、この問題に最適である可能性があります。これは、キーを中央の場所で管理し、アクセスを簡単に制御できるようにするために導入されました。また、HSM に基づくサービスもサポートしているため、非常に安全です。

これは、Azure Key Vaultの概要に関する記事です。

于 2015-01-26T17:17:24.780 に答える
2

将来の Google 社員のために - 私は Stuart Pegg が上で説明したソリューションを実装しましたが、Azure Tables から切り離しました。

記事についてはhttps://www.fasterweb.io/Blog/two-way-encryption-for-azure-web-rolesを参照してください。コードのみについてはhttps://gist.github.com/strommen/20905504949072fe5e16を参照してください。

于 2014-10-14T20:48:58.080 に答える
1

リスクは常にあります。誰かが何らかの手段 (ツールの使用など) を使用してストレージ アカウントにアクセスした場合、キーを見つけられる可能性があります。したがって、最終的にはストレージ アカウント自体を不正アクセスから保護する必要があります。

たとえば、開発者が運用ストレージ アカウントにアクセスすることを許可しないでください。これには、ツールを使用してアカウントにアクセスすることを許可しないことも含まれます。ストレージ アカウント キーを保護し、どのアプリケーションでも情報を漏らさないようにしてください。

ストレージ管理者 (および 100% 信頼できる開発者) のみが、運用ストレージ アカウントに完全にアクセスできます。その後、安全にストレージ アカウントにキーを保存できます。

于 2012-07-11T11:21:14.280 に答える