我想将Cosmos db与c#代码一起使用。非常重要的一点是,数据应该在任何时候保持加密状态。因此,据我了解,一旦服务器上的数据,它就会由 azure 通过静态加密自动加密。但是在运输过程中,我必须使用证书还是自动加密。我使用此链接来管理数据库 https://learn.microsoft.com/fr-fr/azure/cosmos-db/create-sql-api-dotnet。我的问题是:如果我只是按照本教程进行操作,是否有任何安全风险?
谢谢。
我认为这是一个很好的起点。
请注意,您的数据仅与帐户的访问密钥一样安全,因此,在静态和传输中的加密之上,访问密钥可能是您需要保护的最敏感的信息。
我的建议是使用 KeyVault 来存储数据库访问密钥,而不是将它们定义为环境变量。与托管标识结合使用,密钥永远不会离开 Azure 门户的范围,这使其成为最安全的选项。我不确定您计划如何部署代码,但很多时候我看到这些键编码在源代码或最终暴露的某些配置文件中。
不久前,我写了一个分步教程,描述了如何实现这一点。你可以在这里找到我的文章
我建议你按照此处提到的说明进行操作,甚至不要使用访问密钥,因为如果它们被意外公开,无论你是否将它们存储在 Key Vault 中,你的数据库都在那里。此外,如果要使用访问密钥,建议定期更改访问密钥,然后需要将其设置为自动并为您的密钥保管库所知,这里描述了如何自动化。