我使用的是 Azure 云服务,而不是网站。
我想知道在 Azure 服务配置设置中存储敏感数据(密码)是否安全。
我真的不想实施加密 Azure Web 角色中的 web.config 所需的 4 部分博客系列,所以我想我可以将我的设置保留在 Azure 配置中,然后通过 @987654321 访问它们@。
这些设置在一个配置文件中,很像 web.config,所以我的问题是这个配置文件是否只是用于构建云服务然后被丢弃,或者它是否在实例的生命周期内保留在磁盘上(因此将敏感数据暴露给攻击)。
我喜欢在运行时通过门户更新这些设置的能力,我认为门户是一个安全的端点,所以我可以接受。但是,如果文件保留在磁盘上,那么它并不比 web.config 文件更安全。
【问题讨论】:
标签: asp.net security azure azure-cloud-services
我们使用安装在 Web 角色上的域证书来加密/解密 Azure 配置设置和其他内容。我在我的博客上发布了一个完整的示例:Securing Azure ServiceConfiguration values for Enterprise Deployment。
【讨论】:
这与远程桌面插件的功能相似(但更惯用,恕我直言)。远程桌面添加:
<ConfigurationSettings>
<Setting name="Microsoft.WindowsAzure.Plugins.RemoteAccess.Enabled" value="true" />
<Setting name="Microsoft.WindowsAzure.Plugins.RemoteAccess.AccountUsername" value="<name-of-user-account>" />
<Setting name="Microsoft.WindowsAzure.Plugins.RemoteAccess.AccountEncryptedPassword" value="<base-64-encrypted-password>" />
<Setting name="Microsoft.WindowsAzure.Plugins.RemoteAccess.AccountExpiration" value="<certificate-expiration>" />
<Setting name="Microsoft.WindowsAzure.Plugins.RemoteForwarder.Enabled" value="true" />
</ConfigurationSettings>
<Certificates>
<Certificate name="Microsoft.WindowsAzure.Plugins.RemoteAccess.PasswordEncryption" thumbprint="<certificate-thumbprint>" thumbprintAlgorithm="sha1" />
</Certificates>
RDP 插件“知道”Microsoft.WindowsAzure.Plugins.RemoteAccess.AccountEncryptedPassword 值已加密,将使用证书 Microsoft.WindowsAzure.Plugins.RemoteAccess.PasswordEncryption 对其进行解密。
我的功能请求是将名为 thumbprint 的属性添加到 <Setting /> 节点。对CloudCloudConfigurationManager.GetSetting() 的调用将使用指示的证书无缝解密该值。
那该多好……
【讨论】: