云安全：Windows Azure 中的加密服务和数据安全

核心提示： 密钥存储和持久性同应用程序或企业层次的任何加密策略一样，加密和解密基础结构远未成功，云安全：Windows Azure 中的加密服务和数据安全(4)，实际问题在于密钥存储和密钥持久性，由加密数据提供的数据安全仅取决于使用的密钥，服务的队列部分着重介绍了保护不会长期保留的小型数据对象的消息传送的安

密钥存储和持久性

同应用程序或企业层次的任何加密策略一样，加密和解密基础结构远未成功。实际问题在于密钥存储和密钥持久性。由加密数据提供的数据安全仅取决于使用的密钥，此问题比人们最初想到的要难得多。我所介绍的系统已经在各处存储了加密密钥，从直接存储在源代码中到存储在巧妙命名的文本文件，以及存储在难以找到的目录中的平面文件中。

考虑在云环境中存储和保留密钥的位置时，密钥持久性的重要问题浮现出来。某些人表示担心通过在云中保存密钥，您会受到来自云本身的安全威胁。也就是说，如果某人对您的数据具有物理访问权限，默认情况下可能不会加密磁盘中存储的数据（对于 Windows Azure 也是如此）。考虑到 SQL Azure 尚未支持加密，这成为在规划和设计解决方案时考虑的安全决策。与任何安全性实现一样，必须对风险进行度量、权衡和缓解。

但这并不意味着云平台（通常情况下）和 Windows Azure（特别情况下）在本质上不安全。可能为您提供的其他选项呢？

现在需要注意的是，应用程序始终不应将由 Windows Azure 提供的任何密钥用作加密数据的密钥。示例如下：由 Windows Azure 提供用于存储服务的密钥。这些密钥被配置为可以轻松旋转，以提高安全性或防止某种原因遭到破坏。换句话说，以后可能不存在密钥，并且可能分布极其广泛。

在 Windows Azure Storage 服务中存储您自己的密钥库是一个保存某些机密信息的好方法，因为您可以使用在多租户环境中保证安全的数据并使用您自己的存储密钥保证安全。这不同于将存储密钥用作您的加密密钥。实际上，如同任何其他存储文件一样，可使用存储服务密钥访问密钥库。实现非常简单。例如，假设您想将自己的密钥库作为简单文本文件来实现，以保留某些机密信息。相对于队列或表存储服务而言，最好作为数据存储在 blob 服务 API 中。存储服务的 blob 区域是二进制音频和图像甚至文本文件等数据的最佳位置。服务的队列部分着重介绍了保护不会长期保留的小型数据对象的消息传送的安全。表存储系统非常适合于需要在特定部分保留和访问的结构化数据和信息，这与数据库中的关系数据完全相同。