对于将在 Azure 中构建的新 Web 应用程序,我们正在考虑将敏感的个人文档(护照扫描件、教育成绩单等(存储在 Azure blob 中。
这是一种足够安全的方法,还是有更好的方法?感谢您的输入。
默认情况下,为所有存储帐户启用存储服务加密。如果您愿意,您可以选择使用自己的加密密钥。
https://learn.microsoft.com/en-us/azure/storage/common/storage-service-encryption
如果要创建由 Azure 密钥保管库管理的自定义密钥,可以按照以下说明操作:https://learn.microsoft.com/en-us/azure/storage/common/storage-service-encryption-customer-managed-keys
但是,如果在将数据传输到 Azure Blob 时担心数据,则还需要使用客户端加密。这是链接:https://learn.microsoft.com/en-us/azure/storage/common/storage-client-side-encryption?toc=%2fazure%2fstorage%2fqueues%2ftoc.json
与 Azure 中的许多内容一样,它可以是安全的,但需要努力才能做到这一点。
1( 截至去年,所有存储帐户都使用 AES-256 使用Microsoft管理的密钥进行静态加密。 您也可以自带钥匙,如此处所述。
2(使用客户端加密 - 这样,如果帐户遭到入侵,攻击者将无法读取数据;他们还需要密钥来解密数据。 这确实会影响性能,但在大多数情况下通常是可以接受的。
3( 使用存储帐户的防火墙仅允许需要访问存储帐户的地址。
旁注:如果从应用服务访问存储,则出站 IP 地址不会更改,除非纵向扩展或缩减应用服务计划。 水平自动缩放应用服务不会更改出站 IP 地址。
4( 将存储帐户与 Azure 密钥保管库集成,以自动轮换密钥并生成 SAS 令牌,如此处所述。 我希望这可以通过门户网站完成,因为大多数人都不知道这存在。
5( 不要使用存储帐户密钥 - 生成并分发生存期较短的 SAS 令牌。密钥保管库集成可以帮助解决这个问题。
6( 启用存储诊断指标和日志记录。虽然它本身不是一种防御措施,但它在事后可能会有所帮助。
7(启用软删除;如果发生违规行为,这可能会减少某些攻击的影响。
8( 启用"需要安全传输"设置,以仅允许通过 HTTPS 的流量。