#azure #security #software-design
Вопрос:
Как лучше всего работать с хранилищем ключей Windows Azure? Является ли хорошей практикой извлекать ключи из приложения каждый раз, когда мы его используем, или полезно установить их в переменной среды ОС.
Комментарии:
1. Получение их из защищенного хранилища, а затем хранение их в переменной среды, которую каждый может прочитать, не сделало бы это хорошей практикой имхо.
2. На сервере Linux я бы создал пользователя для приложения. Я бы также сохранил ключи в профиле пользователя. Это просто для того, чтобы сэкономить на частом посещении хранилища
3. Определяйте часто. Если он извлекается несколько раз в одном и том же экземпляре, я бы предпочел кэш памяти.
4. Часто, может быть несколько раз, по мере необходимости. Кэш в памяти эквивалентен переменным среды.
Ответ №1:
Это зависит от того, какой ключ. Вы должны извлекать не главный ключ, а связанные с ним ключи данных для шифрования и дешифрования.
Ответ №2:
Здесь нет жесткого правила, но вы должны учитывать вращение клавиш. Если вам нужно, чтобы ключи часто поворачивались, вам следует каждый раз извлекать их из хранилища ключей.
Есть и другие случаи, когда имеет больше смысла вытащить один раз и кэшировать локально. Это может включать в себя проблему задержки в вашей сети, поэтому более экономично извлекать один раз, а затем кэшировать. В этом сценарии вам понадобится какой-то механизм для принудительного нового нажатия, если/когда ключ повернут.