Azure服务总线主题安全

Question

使用Azure Service Bus主题时，如何确保发送的包含敏感数据的邮件受到保护？

想象一个微服务场景，其中小型独立的模块化服务生活在Azure中，并通过总线彼此通信。此外，只有感兴趣的相关服务也应订阅主题

谢谢

Answer 1

具有特定特征的消息必须以不同的方式处理。要启用此处理，您可以配置订阅以查找具有所需属性的邮件，然后对这些属性进行某些修改。

此过滤是使用订阅过滤器完成的。 这种修改称为过滤器操作。创建订阅后，您可以提供对消息属性进行操作的过滤器表达式。

有关完整的工作示例，请参阅GitHub上的 TopicSubscriptionWithRuleOperationsSample 示例

有关消息，请遵循以下步骤：https://docs.microsoft.com/en-us/azure/service-bus-messaging/service-bus-messages-payloads

Answer 2

我不确定是否理解您的问题。这就像问如何确保我的 sql 数据库只能由相关服务访问？简单的答案是不要将您的连接字符串提供给其他服务。

让我列举一些我们在团队中遵循的规则：

• 永远不要发送敏感数据，而是将它们存储在安全的存储中并发送 ID。我们这样做的原因是我们可以启用可以在需要时记录所有消息的监控订阅。
• 不要共享连接字符串。每个消费者/生产者都应该拥有它自己的每个主题连接字符串（而不是像 RootManageSharedAccessKey 这样的每个命名空间）。连接字符串应启用服务所需的最少声明：发送、监听、管理
• 如果您的总线具有 Premium SKU，则您可以配置网络。仅允许访问您的服务子网