将我的角色服务包存储在 Azure Blob 存储中的安全性如何？

Question

Azure 管理门户允许从之前上传到 Azure blob 存储的服务包部署服务。这看起来很方便，但有点偏执 - 如果某个第三方访问 blob 存储并检索包含我的角色的可执行文件怎么办？

在 Azure Blob 存储中存储角色服务包的安全性如何？如果有的话，还有什么更好的选择？

Answer 1

有一些攻击向量可以访问 Blob 存储，并且您可以控制所有这些向量，因此您可以确保访问安全。具体来说：

1. 保护存储帐户的主密钥和辅助密钥。丢失这些密钥会危及存储帐户。默认情况下，所有对 Blob 存储的访问都必须经过身份验证。
2. 保护订阅的所有管理证书（私钥）。管理证书持有者始终可以获取 sub 中所有存储帐户的存储密钥，因此这完全是一种妥协。
3. 用包裹固定容器。如果您将容器标记为公开，人们可以在没有存储密钥的情况下获取它。
4. 删除任何签名标识符或确保您不会无意中允许通过制作不当的 SAS 签名进行访问。

就是这样。除非 blob 存储服务存在实际的安全问题（我们目前不知道），否则这些是获得访问权限的唯一方法。如果你保护它，它是非常安全的，我认为没有比在 Windows Azure 中存储包更好的选择。

最后一件事：您默认上传的包实际上是加密的。即使有人下载了它，唯一能解密它的就是结构控制器。我认为您还有其他问题应该更加担心。