Azure 流分析中的秘密

Posted 2023-05-08

【中文标题】Azure 流分析中的秘密

【英文标题】：Secrets in Azure Stream Analytics

【发布时间】：2020-05-27 08:45:32

【问题描述】：

在我们的流分析作业中，我们有一些常量值需要进一步计算。我们的客户认为这些是“机密”，因此最好不要直接在查询或我们正在使用的User Defined Function 中设置它们。是否有任何最佳实践来处理这些问题，例如我们能否以某种方式从 Azure Key Vault 中检索这些值？

【问题讨论】：

从您提供的少量信息来看，尚不清楚您为什么要记录这些秘密。默认情况下，Azure SDK 写入的任何分布式跟踪都不会包含机密信息或其他 PII。您的应用程序对秘密值的处理完全在您的控制之下。将机密信息放入 Key Vault 只会有助于保持该信息的安全，并限制谁/什么可以访问它们。如果您在检索它们后仍然记录它们，Key Vault 将无能为力。您能否更好地解释这些值是如何使用的以及为什么它们目前会被记录？

【参考方案1】：

很遗憾，Azure 流分析不支持 Azure Key Vault 绑定。​​

我建议您对另一个 Azure 客户提交的想法进行投票。

https://feedback.azure.com/forums/270577-stream-analytics/suggestions/35328418-enhance-security-for-asa-managed-services-identit

https://feedback.azure.com/forums/270577-stream-analytics/suggestions/40530247-azure-key-vault-as-reference-data-input

您在这些论坛中分享的所有反馈都将由负责构建 Azure 的 Microsoft 工程团队进行监控和审查。

【讨论】：

您引用的第二个链接实际上是我发布的；-)

【参考方案2】：

您可以尝试查看流分析中的Reference Data option 是否可以成为您存储常量并经常更新的地方。如果担心在使用 ASA 时控制查询的加密方式，您可以使用自己的存储帐户来store all private data assets 与作业相关。然后以您认为合适的任何方式加密您的存储帐户。

【讨论】：

那时我会在 UDF 中解密这些值吗？