我们有一个Windows服务,它监视文件夹(使用C#的filewatcher)文件,并将文件上传到blob。 Windows服务通过传递从ADFS WS-Trust 1.3端点传递的用户名检索的JWT,从用于ADFS 2.0保护的WebAPI端点(TLS 1.2)检索“仅写入SAS令牌”,该令牌用于生成要上载到blob的Blob客户端。和密码。
我在安全方面的经验有限。我有两个问题。
1-在将数据上传到blob之前是否应该进行加密?如果是,我该如何实施呢。
2-从端点检索SAS令牌,即使它使用ADFS保护并且超过https,也具有任何类型的安全风险
答案 0 :(得分:0)
1-在将数据上传到blob之前是否应该进行加密?如果是,我该如何实施呢。
根据我的理解,如果您希望在传输过程中获得额外的安全性并加密存储的数据,则可以利用客户端加密并参考此tutorial。此时,您需要对应用程序进行编程更改。
此外,您可以利用存储服务加密(SSE),它不提供传输中数据的安全性,但它提供以下好处:
SSE允许存储服务在将数据写入Azure存储时自动加密数据。当您从Azure存储中读取数据时,将在返回之前由存储服务解密。这使您可以保护数据,而无需修改代码或向任何应用程序添加代码。
我建议您只能利用HTTP传输数据和SSE来加密blob。有关如何启用SSE,您可以参考here。此外,您可以关注有关Azure存储安全指南的here。
2-从端点检索SAS令牌,即使它使用ADFS保护并且超过https,也具有任何类型的安全风险
SAS为您提供了一种方法,可以将存储帐户中资源的有限权限授予其他客户端。出于安全考虑,您可以设置SAS有效的时间间隔。此外,您可以限制Azure存储可以接受SAS的IP地址。根据我的理解,生成SAS令牌的端点是通过HTTP上的ADFS 2.0保护的,我认为它足够安全。