云安全：Windows Azure 中的加密服务和数据安全

核心提示： 图 3 清除内存中的数据publicstaticintGenerateRandomNumber(){byte[]GeneratedBytes=null;try{GeneratedBytes=newbyte[4];RNGCryptoServiceProviderCSP=newRNGCryptoSe

图 3 清除内存中的数据

public　static　int　GenerateRandomNumber()　{　
　byte[]　GeneratedBytes　=　null;　
　
　try　{　
　　GeneratedBytes　=　new　byte[4];　
　　RNGCryptoServiceProvider　CSP　=　
　　　new　RNGCryptoServiceProvider();　
　　CSP.GetBytes(GeneratedBytes);　
　　return　BitConverter.ToInt32(GeneratedBytes,　0);　
　}　
　finally　{　
　　for　(int　x　=　0;　x　<　GeneratedBytes.Length;　x++)　{　
　　　GeneratedBytes[x]　=　0;　
　　}　
　}　
}

消息队列

Windows Azure 队列为 Microsoft 消息队列 (MSMQ) 服务提供了一组类似的功能，这些服务对企业 Windows 应用程序通用。Windows Azure 中的此消息队列服务以先进先出 (FIFO) 的方式存储基于文本的、大小不超过 8KB 的消息。这允许在不同的服务器（或像本示例这样，在云中）运行服务和应用程序以采用安全和分发式方法进行交互并相互之间发送可操作消息。

有 5 个允许您将消息推入到队列、查看消息、推出消息等等的基本功能。最常提出的问题是这些消息到底有多安全？

当前受 MSMQ 支持的许多功能在 Windows Azure 消息传送 API 中还不受支持。然而，存在相似之处。对于 blob 数据服务，消息传送服务利用相同的 REST get 和 put 界面。可在代码中或使用 URI 和 Web 请求调用编写和读取消息，可使用 SSL 针对不安全网络中的请求对该调用进行加密。这表示传送请求的过程是经过加密的。

另外，对于 Windows Azure 中的其他存储服务，对消息队列的任何访问必须利用同一存储服务密钥。只有有权访问该密钥的应用程序才能查看这些队列或向这些队列中添加消息。这使对这些消息的其他加密操作有点多余，除非这些消息的主体将保留安全网络或安全应用程序空间。

总结

在目前面向服务的体系结构和解决方案的趋势之下，很少人会想到在云应用程序中开展业务。多租户环境（例如 Windows Azure）中的数据和服务的隔离是放眼于使用私有数据的人们最关注的问题之一。

与所有新平台一样，安全和加密功能将继续在 Windows Azure 平台中不断改进。Microsoft 花费了巨大精力在以下方面：不仅提供安全、隔离环境，还要公开针对这些度量的公共证书所得成果。这应该会使工程师坚信，Microsoft 希望成为安全性和保持系统和应用程序为锁定状态方面的亲密合作伙伴。

安全，特别是加密的关键之处在于使您的信息和过程很难访问。我们可以将“很难”定义为超出了任何敌方在数据或进程的生命期内进入该系统的能力。然而，这是一种基于正在使用的应用程序或数据的要求的相对定义。这就是我为何在这篇文章中继续强调需要不断对安全和加密要求进行评估。这对确保可有效地使用这些工具以保护云系统的安全并保护数据至关重要。