Verschlüsselung von csv vor dem Hochladen

Question

Wir haben einen Windows-Dienst, der einen Ordner (mit Filewatcher von C#) auf Dateien überwacht und die Dateien in einen Blob hochlädt. Der Windows-Dienst ruft das Nur-Schreiben-SAS-Token, das zum Generieren des Blobclients zum Hochladen in einen Blob verwendet wird, von einem mit ADFS 2.0 gesicherten WebAPI-Endpunkt (TLS 1.2) ab, indem er den vom ADFS-WS-Trust 1.3-Endpunkt abgerufenen JWT übergibt und den Benutzernamen übergibt und Passwort.

Meine Erfahrung ist im Bereich der Sicherheit begrenzt. Ich habe zwei Fragen.

1- Sollte es eine Verschlüsselung geben, bevor ich die Daten in den Blob hochlade? Wenn ja, wie kann ich es umsetzen?

2- Möchten Sie das SAS-Token von einem Endpunkt abrufen, auch wenn es mit ADFS befestigt ist, und ist über https, besitzt jede Art von Sicherheitsrisiko

Answer 1

1- Sollte es eine Verschlüsselung dauern, bis ich das Hochladen Daten zu Blob? Wenn ja, wie kann ich es umsetzen?

Per mein Verständnis, wenn Sie während des Transports und Ihre gespeicherten Daten zusätzliche Sicherheit verschlüsselt werden soll, könnten Sie Client-seitige Verschlüsselung nutzen und auf diese tutorial verweisen. An diesem Punkt müssen Sie programmatische Änderungen an Ihrer Anwendung vornehmen.

Auch könnten Sie Storage Service Encryption (SSE) nutzen, die nicht für die Sicherheit der Daten bei der Übertragung gibt, doch es bietet die folgenden Vorteile:

SSE ermöglicht es dem Service-Speicher automatisch Verschlüsseln Sie die Daten beim Schreiben in Azure Storage. Wenn Sie die Daten von Azure Storage lesen, wird vom Speicherdienst entschlüsselt, bevor sie zurückgegeben werden. Auf diese Weise können Sie Ihre Daten sichern, ohne Code ändern oder Code zu Anwendungen hinzufügen zu müssen.

Ich würde empfehlen, Sie könnten nur HTTPs für Ihre Daten im Transit und SSE verwenden, um Ihre Blobs zu verschlüsseln. Informationen zur Aktivierung von SSE finden Sie unter . Darüber hinaus können Sie dem Azure Storage-Sicherheitshandbuch here folgen.

2- Möchten Sie das SAS-Token von einem Endpunkt abrufen, auch wenn es mit ADFS befestigt ist, und ist über https, besitzen jede Art von Sicherheitsrisiko

SAS Ihnen eine Möglichkeit bietet die Erteilungs eingeschränkte Berechtigungen für Ressourcen in Ihrem Speicherkonto für andere Clients. Aus Sicherheitsgründen können Sie das Intervall festlegen, über das Ihre SAS gültig ist. Sie können auch die IP-Adressen begrenzen, die Azure Storage für die SAS-Lösung akzeptieren würde. Nach meinem Verständnis ist der Endpunkt für die Generierung von SAS-Token mit ADFS 2.0 über HTTP gesichert, ich nahm an, dass es sicher genug ist.