Azure PaaS服务密钥的安全性

Posted 阳光de混

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Azure PaaS服务密钥的安全性相关的知识,希望对你有一定的参考价值。

Azure PaaS服务,比如存储,Redis缓存,服务总线,IoT中心等等,一般通过密钥来认证客户端,也就是说只有提供正确密钥的客户端才能访问和使用对应的Azure PaaS服务,所以这个密钥是很重要很重要的,那么该如何来保证密钥的安全性呢?接下来将以问答的形式来阐述。

问:密钥能否被暴力破解?

答:我们先看看几个密钥的例子来分析密钥的组成。

存储账户

5+kWqp1jIGQdGPVp6o7pgT/8DlRYnE55jJbxh51h7WHU4yGqAbMYdCYbSfR2CaFsi1/pfmL+d/QJbeAmDn6FQg==

Redis

R4W4Ol+yHUJ9Z25VHSrQdn9sGw9ApNe00EvpvVXn05Y=

服务总线

/TCLOykE3mgZ8Lxe2/N7VAZAo3pSn5K48y54Xoss4Pw=

IoT中心

xv8FF7ja0QpPHcWE9B1wB3Ge7pLyj0ZvickxQAOdk/Y=

可以看到一般情况下密钥的长度是44个字符,其中存储比较特殊有88个字符。而构成有以下这些元素:

-         字母,而且大小写敏感 (a - z,A - Z)

-         数字(0 - 9)

-         特殊字符(/,+,=)

考虑到字符‘=’只是用做结尾,因此我们计算出一般情况下密钥的可能性有:

(26*2 + 10 + 2)^44 = 64^44

也就是64的44次方,而存储账户更是多达64的88次方。这种情况下要暴力破解,可能性实在太低。

问:密钥是否会在传输的过程中被截取?

答:客户可能会有这样的疑问,在客户端使用Azure PaaS的SDK时,一般需要提供连接字符串,或者是密钥直接作为参数,感觉密钥就跟普通的用户名密码一样,会被传输到服务端来做对比验证,因此觉得密钥有可能在传输过程中被截取。

首先,所有的传输都是加密的(SSL\TLS)。但这还不是关键点,更关键的是,密钥其实压根就不会被传输,被用来传输和验证的是令牌(Token)。也就是说SDK拿到提供的密钥,会根据密钥生成相应的令牌,再传输令牌到服务端做验证。而令牌本身是被限制了访问范畴和生命周期的,因此比起密钥的安全性会高得多。

问:在客户端,密钥无论是明文写在代码里,还是配置文件中,都不安全,有没有更安全的方式?

答:当然有。就跟生活中把贵重物品放在保险箱里一样,我们也可以把密钥放在保险箱里。Azure密钥保管库就是这样一个服务,可以将密钥保存到其中,授权的客户端在需要的时候再从中获取。这样的话,既使得密钥能被集中管理,而且能使密钥管理者和使用者分离,提高了安全性的同时,更提供了便捷性。更多了解Azure密钥保管库,可参阅以下文章:

-         Azure密钥保管库介绍

-         Azure密钥保管库入门

-         Azure密钥保管库使用

那么除了这种方式之外,还有没有别的办法呢?上一个问题中我们提到通过令牌来认证,也就是说客户端其实不一定要知道密钥,它只要能提供正确的令牌就可以了,因此我们可以创建一个专门生成令牌的集中管理服务,授权的客户端只需要调用这个服务,就可以拿到目标资源的访问令牌,这样也可以避免密钥被客户端显示的知道。当然这种方法需要自己创建一个专门生成令牌的服务,所以比起使用Azure密钥保管库的方式要复杂些。

以上是关于Azure PaaS服务密钥的安全性的主要内容,如果未能解决你的问题,请参考以下文章

Azure中创建安全Linux 虚机

使用SAS保护Azure Storage的安全性

为什么Azure服务密钥都是成对的?

带有 WAF 的 Azure 应用服务

将存储安全地连接到 Azure Data Lake Analytics 或数据工厂

安全地存储 Azure Key Vault clientSecret