在Azure blob存储中存储我的角色服务包有多安全？

Question

Azure管理门户允许从先前上载到Azure blob存储的服务包部署服务。这看起来非常方便，但有点偏执 - 如果某个第三方访问blob存储并检索包含我的角色的可执行文件会怎么样？

在Azure blob存储中存储角色服务包的安全性如何？如果有的话，有哪些更好的选择？

Answer 1

有一些攻击媒介可以获取blob存储，并且您可以控制所有这些，所以由您来保护访问权限。具体做法是：

1. 将主要和次要密钥保护到存储帐户。丢失这些密钥会损害存储帐户。默认情况下，所有访问blob存储都必须通过身份验证。
2. 保护订阅的所有管理证书（私钥）。管理证书持有者始终可以获取子证书中所有存储帐户的存储密钥，因此这是完全妥协。
3. 用包裹固定容器。如果将容器标记为公共容器，那么人们可以在没有存储密钥的情况下获取容器。
4. 删除任何已签名的标识符，或确保您不会无意中允许通过制作精良的SAS签名进行访问。

就是这样。除非blob存储服务存在实际的安全问题（我们目前还不知道），否则这些是获取访问权限的唯一方法。如果你保护它，它是非常安全的，我不认为有更好的替代方法来存储Windows Azure中的包。

最后一件事：您默认上传的软件包实际上是加密的。即使有人下载了它，唯一可以解密它的是结构控制器。我认为您还有其他问题需要担心。