不在 Azure Blob 存储上启用加密的原因?
Reason to not enable encryption on Azure Blob Storage?
我注意到 Azure blob 存储现在可以选择对静态数据进行加密。
据我所知,这没有经济成本,也没有任何地方 indication/documentation 说明这会对访问速度产生多大的性能影响(如果有的话)。
我的问题是,在大多数情况下不是否有充分的理由打开它?
我想如果你有一个场景,其中每一毫秒都很重要并且安全性不是问题(例如 public 容器),那么你可能不想这样做,但否则它听起来是个不错的免费功能(没有免费午餐这样的东西,但我找不到除了猜测之外的缺点的证据)。
如果为 blob 启用 SSE,对性能没有明显影响。
您可能会三思而后行的唯一情况是存储帐户是否仅包含 VM 使用的 VHD 文件。最好对 VM 使用 Azure 磁盘加密,它对 Linux 个 VM 使用 DMCrypt,对 Windows 个 VM 使用 Bitlocker。例如,Bitlocker 将返回并加密磁盘上的所有内容。
SSE 只加密新写入的数据。这意味着如果您有一个包含 100 GB 数据的存储帐户并且启用了 SSE,那么这 100 GB 数据不会被加密,除非您将其复制到另一个容器或类似的东西以便它对其进行加密。但是,添加到该存储帐户的任何 blob 都将被加密。
我注意到 Azure blob 存储现在可以选择对静态数据进行加密。
据我所知,这没有经济成本,也没有任何地方 indication/documentation 说明这会对访问速度产生多大的性能影响(如果有的话)。
我的问题是,在大多数情况下不是否有充分的理由打开它?
我想如果你有一个场景,其中每一毫秒都很重要并且安全性不是问题(例如 public 容器),那么你可能不想这样做,但否则它听起来是个不错的免费功能(没有免费午餐这样的东西,但我找不到除了猜测之外的缺点的证据)。
如果为 blob 启用 SSE,对性能没有明显影响。
您可能会三思而后行的唯一情况是存储帐户是否仅包含 VM 使用的 VHD 文件。最好对 VM 使用 Azure 磁盘加密,它对 Linux 个 VM 使用 DMCrypt,对 Windows 个 VM 使用 Bitlocker。例如,Bitlocker 将返回并加密磁盘上的所有内容。
SSE 只加密新写入的数据。这意味着如果您有一个包含 100 GB 数据的存储帐户并且启用了 SSE,那么这 100 GB 数据不会被加密,除非您将其复制到另一个容器或类似的东西以便它对其进行加密。但是,添加到该存储帐户的任何 blob 都将被加密。