要连接到Azure存储端点,有http和https两个选项。
第一。 https给出了开销,可能是5%-10%,但我没有按相同的数据中心支付费用。
第二。 http速度更快,但Authorization: SharedKey已曝光。但是,由于它的SHA-256带有时间戳,应该非常安全(至少算法仍然安全)
因此,如果有效负载没有敏感数据,例如,如果上传一张假设要公开查看的图片,我使用http作为端点协议,但是当有效负载具有敏感数据时,我使用https。
我的问题是:我在这里冒险,将公开关键的http标头导致我的azure存储帐户的安全漏洞(它还会公开帐户名称),这会存储大量数据并且是整个业务的核心
答案 0 :(得分:2)
当您想通过互联网保护数据时,将使用HTTPS。当您想要控制谁可以在特定时间段内检索数据时,将使用SAS。对我来说,他们关注的是不同方面。
回到你的问题,我个人的选择是,你可以设置你的数据(我认为它是BLOB,因为你提到SAS)或容器是私有的,所以它不能通过互联网通过HTTP / HTTPS连接,但只有当你在azure里面使用SDK库。然后这将是非常安全的,因为没有公共交易,没有钥匙和没有帐户名称。
如果您确实需要在互联网上公开BLOB,我认为HTTPS应该是安全的,因为即使帐户名在请求中,对于黑客来说,他们几乎不可能“猜测”您的访问令牌。如果您想保护特定用户的数据,或者通过使用您的BLOB URL来阻止他们通过其他网站链接,您可以使用SAS,这意味着您可以在很长一段时间(即3秒)内获取SAS并让您的网站检索数据然后它已过期。甚至URL都在您的网站上,但其他人无法使用。
希望这能回答你的问题。