Lau*_*nSt 0 security encryption azure
我希望在发生攻击时提高我的网络应用程序的安全性.我的系统中包含以下组件:
现在有一个场景,即应用程序加密并存储上传的文档.这的工作原理如下:
1)用户上传文档到Web应用程序2)生成随机加密密钥3)随机加密密钥存储到azure密钥库4)sql azure存储blob url和密钥url
现在我的问题是:如果黑客攻击Web应用程序实例,如何使用密钥保险库更安全?我的意思是在app.config中有客户端ID和客户端密钥来访问keyvault,我们需要它来读取和写入密钥.因此,如果我使用密钥保险库不会增加黑客攻击网络应用程序的安全性,对吧?
密钥保管库是一个围绕HSM的API .Key Vault或HSM Secure的作用是导入/创建密钥后无法从中提取密钥.此外,加密(在您的情况下加密/解密)操作发生在Vault内部,因此密钥永远不会暴露,即使在内存中也是如此.
如果有人能够破解您的Web应用程序并获取密钥保管库的凭据,则可以使用保管库来解密数据.因此,在这种情况下,您可以重新生成密钥保管库的凭据,并仍然继续使用保管库中的相同密钥 - 因为它们从未公开过.这意味着攻击者尚未解密的任何加密数据仍然是安全的,因为密钥从未暴露过.
通常,HSM不是为了在少数非常重要的密钥中存储大量密钥而设计的.您可能需要考虑使用密钥包装解决方案,其中您在Vault中有一个密钥.
您可能希望在配置中加密客户端ID和客户端密钥,并在运行时解密它们 - 这会增加另一层安全性.现在,攻击者在Cloud Service/VM上运行时需要从应用程序内存中读取密钥(这不是一项简单的任务).或者攻击者需要获取配置文件和用于加密配置值的证书的私钥(比读取内存更容易,但仍然需要大量访问您的系统).
| 归档时间: |
|
| 查看次数: |
712 次 |
| 最近记录: |