Azure Management Portalを使用すると、以前にAzureBLOBストレージにアップロードされたサービスパッケージからサービスをデプロイできます。これは非常に便利に見えますが、一種の妄想的です-サードパーティがblobストレージにアクセスし、私の役割を構成する実行可能ファイルを取得した場合はどうなりますか?
役割サービスパッケージをAzureBLOBストレージに保存することはどの程度安全ですか?もしあれば、より良い選択肢は何ですか?
1 に答える
5
BLOB ストレージに到達するための攻撃ベクトルはいくつかありますが、それらすべてを制御できるのはユーザーであるため、アクセスを保護するのはユーザー次第です。具体的には:
- プライマリおよびセカンダリの秘密キーをストレージ アカウントにセキュリティで保護します。これらのキーを紛失すると、ストレージ アカウントが侵害されます。既定では、ブロブ ストレージへのすべてのアクセスは認証される必要があります。
- サブスクリプションのすべての管理証明書 (秘密キー) を保護します。管理証明書の所有者は、サブ内のすべてのストレージ アカウントのストレージ キーをいつでも取得できるため、これは完全な妥協です。
- パッケージでコンテナを固定します。コンテナーをパブリックとしてマークすると、ユーザーはストレージ キーなしでコンテナーを取得できます。
- 署名付き識別子を削除するか、巧妙に細工された SAS 署名を介して無意識のうちにアクセスを許可していないことを確認します。
それでおしまい。BLOB ストレージ サービスに実際のセキュリティ上の問題 (現時点では不明) がない限り、これらがアクセスを取得する唯一の方法です。セキュリティで保護されていれば、かなり安全です。パッケージを Windows Azure に保存するより良い方法はないと思います。
最後に、デフォルトでアップロードするパッケージは実際には暗号化されています。誰かがダウンロードしたとしても、復号化できるのはファブリック コントローラーだけです。もっと心配すべき問題が他にもあると思います。
于 2011-07-06T15:17:44.320 に答える