우리는 파일을 찾기 위해 C#의 filewatcher를 사용하여 폴더를 모니터링하고 파일을 blob에 업로드하는 Windows 서비스를 제공합니다. Windows 서비스는 사용자 이름을 전달하는 ADFS WS-Trust 1.3 끝점에서 가져온 JWT를 전달하여 ADFS 2.0으로 보안 된 WebAPI 끝점 (TLS 1.2)에서 blob 클라이언트에 blob 클라이언트를 생성하는 데 사용되는 쓰기 전용 SAS 토큰을 검색합니다. 및 암호.업로드 전 csv 암호화
내 경험에 보안 영역이 제한되어 있습니다. 두 가지 질문이 있습니다.
1 blob에 데이터를 업로드하기 전에 암호화가 있어야합니까? 그렇다면 어떻게 구현할 수 있습니까?
2 내가 업로드하기 전에
1- 암호화가있을 경우,이 ADFS로 보호 및 HTTPS를 초과하더라도, 엔드 포인트에서 보안 위험의 종류는 SAS 토큰을 가지고 검색겠습니까 BLOB 데이터? 그렇다면 어떻게 구현할 수 있습니까? 당신은 암호화 할 통과하고 저장된 데이터 중 추가 보안을 원하는 경우 내 이해 당
, 당신은 클라이언트 측 암호화을 활용하고이 tutorial을 참조 할 수있다. 이 시점에서 애플리케이션을 프로그래밍 방식으로 변경해야합니다.
또한, 전송중인 데이터의 보안을 제공하지 않습니다 스토리지 서비스 암호화 (SSE)을 활용할 수 있지만, 다음과 같은 혜택을 제공합니다
SSE 자동 스토리지 서비스 수를 Azure Storage에 데이터를 쓸 때 데이터를 암호화하십시오. Azure Storage에서 데이터를 읽을 때 은이 반환되기 전에 스토리지 서비스에 의해 해독됩니다. 따라서 코드를 수정하거나 코드를 추가하지 않고도 데이터를 보호 할 수 있습니다.
전송중인 데이터에 HTTPS를 사용하고 BLOB를 암호화하는 SSE를 사용하는 것이 좋습니다. SSE를 활성화하는 방법은 here을 참조하십시오. 또한 Azure Storage 보안 가이드에 대해서는 here을 참조하십시오.
2는이 ADFS로 보호 및 HTTPS를 초과하더라도, 엔드 포인트에서
SAS는 권한을 부여 할 수있는 방법을 제공합니다 보안 위험의 종류는 SAS 토큰을 가지고 검색겠습니까 저장소 계정의 리소스에 대한 다른 사용자의 사용 권한이 제한됩니다. 보안을 고려하여 SAS가 유효한 간격을 설정할 수 있습니다. 또한 Azure Storage가 SAS를 수용 할 수있는 IP 주소를 제한 할 수 있습니다. 내 이해에 따르면, SAS 토큰을 생성하는 끝점은 HTTP를 통해 ADFS 2.0으로 보호되므로 충분히 안전하다고 가정했습니다.