Безопасность переменных среды пакетной службы Azure

Я не уверен, насколько безопасны настройки среды в пакетной службе Azure. Мне нужно использовать сертификаты?

Я выполняю задачи в пакетной службе Azure, в настоящее время передавая токен хранилища с помощью EnvironmentSetting. Я не могу найти в документации подробностей о том, насколько это безопасно. После прочтения безопасности с сертификатами Мне кажется, что это правильный путь («Обычно вам нужно использовать сертификаты при шифровании или расшифровке конфиденциальной информации для задач, например, ключа для учетной записи хранилища Azure»), но я не уверен на 100%.

Итак, безопасны ли настройки среды?


azure azure-batch
person cpt-planet    schedule 04.04.2019    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Если говорить просто о безопасности, это слишком широкий вопрос. Вдобавок у вас есть много способов добавить его безопасности.

Во-первых, переменные среды видны только в контексте пользователя задачи, учетной записи пользователя на узле, под которым выполняется задача. И вы их не увидите, если подключитесь удаленно. Это безопасная настройка. Затем вы можете установить сертификат, как вы предоставляете, это также безопасная настройка. Это настройки самой пакетной службы Azure.

Более того, вы также можете контролировать разрешение на доступ к своей учетной записи пакетной обработки. Это также безопасная настройка. В общем, это безопасно. Надеюсь, мое мнение поможет вам понять безопасность переменных среды пакетной обработки.

person Charles Xu    schedule 04.04.2019
comment
Вы правы, мой вопрос был недостаточно точным. Под безопасностью я имел в виду отсутствие возможности для посторонних лиц получить значения этих переменных среды. Это может быть в том случае, если кто-то может обнюхать сетевой трафик, а переменные среды не зашифрованы при передаче. Я не нашел никакой информации о том, как EnvironmentSetting обрабатывается внутри, и, если таковой имеется, я должен быть обеспокоен ЛЮБОЙ возможностью утечки данных, переданных с EnvironmentSetting. Итак, этот вопрос не о разрешениях / управлении доступом - я в порядке, если мои (авторизованные) пользователи имеют доступ к этим значениям. - person cpt-planet; 04.04.2019
comment
@ cpt-planet Проклятие, это безопасно. Когда вы используете пакет SDK для Azure Python для взаимодействия с Azure, вам необходимо получить разрешение с помощью учетных данных. И SDK нуждается в поддержке Azure API, для всего API потребуется ваша аутентификация. Например, вы можете увидеть Azure Batch REST API. Запросы зашифрованы с аутентификацией. Так что не волнуйтесь, это безопасно. - person Charles Xu; 05.04.2019
comment
Меня больше беспокоила внутренняя связь Azure (Azure - пакетные пулы), а не Python SDK - Azure API. Знаете ли вы, зашифрована ли внутренняя связь с вычислительными узлами по умолчанию? Если да, то какова польза от сертификаты в пакете? - person cpt-planet; 05.04.2019
comment
@ cpt-planet Если вы хотите обмениваться данными между узлами в пуле, шифрование отсутствует. Они общаются внутри частной сети Azure, никто не может получить запрос из Интернета. Сертификат в пакетном режиме используется для другой службы, взаимодействующей с пакетом. Пакетная служба Azure использует протокол HTTPS. Так почему вы сомневаетесь в безопасности? - person Charles Xu; 08.04.2019
comment
Меня не волновала связь между узлами в пуле. Я был обеспокоен тем, как пакетная служба Azure (ресурс, который получает запросы на запуск задачи, запускает задачи и передает переменные env узлам) взаимодействует с узлом, на котором запускается задача. - person cpt-planet; 11.04.2019