在 Blob 存储中存储机密的缺点
disadvantages of storing secrets in Blob Storage
我当前的客户将机密存储在 Blob 存储中,我们想建议他们迁移到 KeyVault。我可以知道与 Blob 相比,将机密存储到 KeyVault 有什么好处吗?
当我阅读文档时,KeyVault 使用 HSM 来保护密钥和秘密,但 Blob 也使用同样安全的加密。那么其他优势是什么?
我想说,总的来说它们看起来非常相似,但我想说两者之间最重要的区别是授权模型。
对存储帐户的访问是由两个可用帐户之一完成的 connectionstrings/keys。可以将对 KeyVault 的访问权限直接分配给用户或组(从 AAD),并且可以更精细地配置对 Key Vault 内资源的访问权限。其次,很容易限制来自 azure 的资源类型,这些资源可能会或可能不会从 KeyVault 检索数据,从而减少攻击服务。
存储帐户确实有 AAD 集成,目前处于预览状态,但我收集到的是,这主要集中在 Azure 文件共享功能上 (https://docs.microsoft.com/en-us/azure/storage/files/storage-files-active-directory-overview)。
另一个很好的区别肯定是使用 KeyVault 时已经可用的集成(即直接从 KeyVault 检索 Azure DevOps 机密或自动检索 VM 的证书)
仅供参考,我绝不是 KeyVault 专家,但这只是我的 2 美分:)
我当前的客户将机密存储在 Blob 存储中,我们想建议他们迁移到 KeyVault。我可以知道与 Blob 相比,将机密存储到 KeyVault 有什么好处吗?
当我阅读文档时,KeyVault 使用 HSM 来保护密钥和秘密,但 Blob 也使用同样安全的加密。那么其他优势是什么?
我想说,总的来说它们看起来非常相似,但我想说两者之间最重要的区别是授权模型。
对存储帐户的访问是由两个可用帐户之一完成的 connectionstrings/keys。可以将对 KeyVault 的访问权限直接分配给用户或组(从 AAD),并且可以更精细地配置对 Key Vault 内资源的访问权限。其次,很容易限制来自 azure 的资源类型,这些资源可能会或可能不会从 KeyVault 检索数据,从而减少攻击服务。
存储帐户确实有 AAD 集成,目前处于预览状态,但我收集到的是,这主要集中在 Azure 文件共享功能上 (https://docs.microsoft.com/en-us/azure/storage/files/storage-files-active-directory-overview)。
另一个很好的区别肯定是使用 KeyVault 时已经可用的集成(即直接从 KeyVault 检索 Azure DevOps 机密或自动检索 VM 的证书)
仅供参考,我绝不是 KeyVault 专家,但这只是我的 2 美分:)