Безопасность на лазурной Космос дБ

Question

Я хочу использовать Cosmos db с кодом C #. Действительно важным моментом является то, что данные должны оставаться зашифрованными в любой момент. Итак, как я понял, когда данные на сервере автоматически шифруются лазурью с помощью функции шифрования в состоянии покоя. Но при транспортировке мне нужно использовать сертификат или он автоматически шифруется. Я использовал эту ссылку для управления базой данных https://docs.microsoft.com/fr-fr/azure/cosmos-db/create-sql-api-dotnet. Мой вопрос наконец-то: есть ли риск безопасности, если я просто буду следовать этому учебнику?

Спасибо.

Answer 1

Я думаю, что это отличная отправная точка.

Только одна заметка, ваши данные защищены так же надежно, как и ключи доступа к учетной записи, поэтому ключ шифрования в состоянии покоя и в пути, вероятно, является ключом доступа. самая важная часть информации, которую вы хотите защитить.

Мой совет - использовать KeyVault для хранения ключа доступа к базе данных, а не определять его как переменные среды. В сочетании с управляемой идентификацией ваш ключ никогда не покинет пределы портала Azure, что делает его наиболее безопасным вариантом. Я не уверен, как вы планируете развертывать свой код, но чаще всего я видел эти ключи, закодированные в исходном коде или в каком-то файле конфигурации, который в конечном итоге раскрывается.

Некоторое время назад я написал шагпошаговое руководство, описывающее, как это реализовать. Вы можете найти мою статью здесь