Какие-нибудь ресурсы для обучения шифрованию / дешифрованию на лету BLOB-объектов Azure?

Question

У нас есть сценарий, в котором мы храним отсканированные документы с конфиденциальной информацией (скажем, пока это номера социального страхования).Для нас не существует нормативных положений, требующих этого (без HIPAA или чего-то подобного), поэтому у нас нет принудительных прыжков, просто здравый смысл, которому мы хотели бы следовать с этим.

Я искал несколько опубликованных статей, постов в блоге и т. Д., Чтобы помочь мне спроектировать и построить такую ​​систему, и, похоже, нет много ресурсов по этой теме.Один из них, который я нашел, - Использование шифрования на основе сертификатов в приложениях Windows Azure , и он хорошо охватывает сторону шифрования низкого уровня.Однако как насчет остальной системы?Нам необходимо интегрировать / реализовать комплексное решение от загрузки до хранилища для загрузки через (в конечном итоге) веб-приложение.Несколько мыслей / вопросов, на которые мне не обязательно нужны ответы, но чтобы показать, где мне нужна помощь и руководство:

1. Я подозреваю, что мне нужно использовать некоторые веб-роли в качестве "обработчиков файлов"выполнять шифрование / дешифрование на лету, поскольку (я полагаю) для меня нет встроенных функций для выполнения задач такого типа.
2. Должен ли я действительно выполнять шифрование на лету /дешифрование, когда я динамически размещаю файл в этом веб-приложении (то есть, ОЧЕНЬ интенсивно использующий память процесс, который я нажимаю) или я должен вместо этого расшифровать и сохранить (в другом BLOB-объекте) временный незашифрованный файл, чтобы хранилище BLOB-объектов Azure могло разместить его для меня,возможно, 20-минутный SharedAccessPolicy и удаление файла через 20 минут?(возможно, отрегулируйте это в зависимости от того, как долго он должен существовать, чтобы успешно загружаться при более медленных соединениях) (Мне действительно не нравится идея даже временных копий незашифрованных файлов, лежащих вокруг)
3. Есть ли другие важныеопасения, которые я должен рассмотреть?Вероятно, мы будем внимательно следить за этой статьей «Сертификат», чтобы у нас не было секретов расшифровки после взлома одного уровня безопасности, но какие еще специфические особенности Azure следует учитывать для этого?
4. Есть ли в Azure какие-либо встроенные функции, помогающие нам в такого рода операциях?Есть ли ЛЮБОЙ способ использовать SharedAccessPolicies или что-нибудь еще?(Я так не думаю)

Большое спасибо, и мои извинения за этот вопрос несколько расплывчаты.Это расплывчато, потому что я прошу ресурсы, чтобы помочь мне узнать, какие более конкретные вопросы задавать (или рассказать мне о вещах, которые я не знаю, существуют).

Answer 1

1. Если предположить, что это приложение на основе браузера, то да - вам понадобится веб-роль для управления шифрованием / дешифрованием.если вы используете расширенный клиент, который потенциально мог бы обработать его перед сохранением / после извлечения.

2. Могли ли вы / должны ли вы предвидеть требования к загрузке и предварительную расшифровку - это вопрос для вастребования / допуски, но если информация является конфиденциальной, я согласен, что расшифровка на лету имеет больше смысла.

3. Очевидно, что вам нужно рассмотреть аутентификацию / авторизацию веб-роли, чтобы гарантировать, что вы толькоподавать документы действительным заявителям.также - как вы уже признали - защита сертификата является ключом (не подразумевается)

4. Не уверен, что еще вы хотели бы получить, поскольку эта история на самом деле не Azureодин, а скорее .net / security, и асимметричное шифрование - хорошо зарекомендовавший себя путь для такого рода вещей.