Configurer des pare-feux et des réseaux virtuels dans Stockage Azure
Stockage Azure fournit un modèle de sécurité en couche. Ce modèle vous permet de contrôler le niveau d’accès à vos comptes de stockage selon les exigences de vos applications et environnements d’entreprise, en fonction du type et du sous-ensemble de réseaux ou de ressources que vous utilisez.
Quand vous configurez des règles de réseau, seules les applications qui demandent des données sur l’ensemble des réseaux spécifié ou via l’ensemble de ressources Azure spécifié peuvent accéder à un compte de stockage. Vous pouvez limiter l’accès à votre compte de stockage aux demandes provenant d’adresses IP, de plages d’adresses IP et de sous-réseaux spécifiés dans un réseau virtuel Azure, ou d’instances de ressource de certains services Azure.
Les comptes de stockage ont un point de terminaison publique accessible via Internet. Vous pouvez également créer des points de terminaison privés pour votre compte de stockage. La création de points de terminaison privés affecte une adresse IP privée de votre réseau virtuel au compte de stockage. Cela permet de sécuriser le trafic entre le réseau virtuel et le compte de stockage via une liaison privée.
Le pare-feu Stockage Azure fournit un contrôle d’accès pour le point de terminaison public de votre compte de stockage. Vous pouvez également utiliser le pare-feu pour bloquer tout accès via le point de terminaison publique lorsque vous utilisez des points de terminaison privés. La configuration de votre pare-feu permet aussi aux services approuvés de la plateforme Azure à accéder au compte de stockage.
Une application qui accède à un compte de stockage alors que des règles de réseau sont toujours activées requiert une autorisation appropriée pour la demande. L’autorisation est prise en charge avec les informations d’identification Microsoft Entra pour les objets blob, les tables, les partages de fichiers et les files d’attente, avec une clé d’accès de compte valide ou un jeton SAP (signature d'accès partagé). Lorsque vous configurez un conteneur d’objets blob pour un accès anonyme, il n’est pas nécessaire d’autoriser les demandes de lecture de données dans ce conteneur. Les règles de pare-feu demeurent effectives et bloquent le trafic anonyme.
L’activation des règles de pare-feu pour votre compte de stockage bloque les demandes entrantes pour les données par défaut, sauf si les demandes proviennent d’un service qui fonctionne au sein d’un réseau virtuel Azure ou à partir d’adresses IP publiques autorisées. Les demandes qui sont bloquées comprennent les demandes émanant d’autres services Azure, du portail Azure, et de services de journalisation et de métriques.
Vous pouvez accorder l’accès aux services Azure qui fonctionnent à partir d’un réseau virtuel en autorisant le trafic en provenance du sous-réseau qui héberge l’instance de service. Vous pouvez également activer un nombre limité de scénarios via le mécanisme d’exceptions décrit dans cet article. Pour accéder aux données du compte de stockage via le portail Azure, vous devez utiliser un ordinateur qui se trouve dans la limite de confiance (IP ou réseau virtuel) que vous avez définie.
Notes
Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour bien démarrer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.
Scénarios
Pour sécuriser votre compte de stockage, vous devez commencer par configurer une règle pour refuser l’accès au trafic de tous les réseaux (y compris le trafic Internet) sur le point de terminaison public, par défaut. Vous devez ensuite configurer des règles qui autorisent l’accès au trafic en provenance de réseaux virtuels spécifiques. Vous pouvez également configurer des règles pour accorder l’accès au trafic en provenance de plages d’adresses IP Internet publiques sélectionnées, en autorisant des connexions à partir de clients Internet ou locaux spécifiques. Cette configuration vous aide à créer une limite de réseau sécurisée pour vos applications.
Vous pouvez combiner des règles de pare-feu qui autorisent l’accès à partir de réseaux virtuels spécifiques et de plages d’adresses IP publiques sur le même compte de stockage. Vous pouvez appliquer des règles de pare-feu de stockage aux comptes de stockage existant ou lorsque vous créez des comptes de stockage.
Les règles de pare-feu de stockage s’appliquent au point de terminaison public d’un compte de stockage. Vous n’avez pas besoin de règles d’accès de pare-feu pour autoriser le trafic via les points de terminaison privés d’un compte de stockage. Le processus d’approbation de la création d’un point de terminaison privé accorde un accès implicite au trafic à partir du sous-réseau qui héberge le point de terminaison privé.
Important
Les règles de pare-feu de Stockage Azure s’appliquent uniquement aux opérations de plan de données. Les opérations de plan de contrôle ne sont pas soumises aux restrictions spécifiées dans les règles de pare-feu.
Certaines opérations, telles que les opérations de conteneur d’objets blob, peuvent être effectuées via le plan de contrôle et le plan de données. Par conséquent, si vous tentez d’effectuer une opération telle que la liste des conteneurs du Portail Azure, l’opération réussit, sauf si elle est bloquée par un autre mécanisme. Les tentatives d’accès aux données blob à partir d’une application telle que l’Explorateur de stockage Azure sont contrôlées par les restrictions de pare-feu.
Pour obtenir la liste des opérations de plan de données, consultez la référence de l’API REST de Stockage Azure. Pour obtenir la liste des opérations de plan de contrôle, consultez la référence de l’API REST du fournisseur de ressources de Stockage Azure.
Configurer l’accès réseau à Stockage Azure
Vous pouvez contrôler l’accès aux données de votre compte de stockage sur des points de terminaison réseau, ou via des services ou des ressources approuvés dans n’importe quelle combinaison, y compris :
- Autoriser l’accès à partir de sous-réseaux de réseau virtuel sélectionnés à l’aide de points de terminaison privés.
- Autoriser l’accès à partir de sous-réseaux de réseau virtuel sélectionnés à l’aide de points de terminaison de service.
- Autoriser l’accès à partir d’adresses IP publiques ou de plages spécifiques.
- Autoriser l’accès à partir d’instances de ressources Azure sélectionnées.
- Autoriser l’accès à partir de services Azure approuvés (à l’aide de Gérer les exceptions).
- Configurer des exceptions pour les services de journalisation et de métriques.
À propos des points de terminaison de réseau virtuel
Il existe deux types de points de terminaison de réseau virtuel pour les comptes de stockage :
Les points de terminaison de service de réseau virtuel sont publics et accessibles via Internet. Le pare-feu de Stockage Azure permet de contrôler l’accès à votre compte de stockage sur ces points de terminaison publics. Lorsque vous activez l’accès réseau public à votre compte de stockage, toutes les demandes entrantes de données sont bloquées par défaut. Seules les applications qui demandent des données à partir de sources autorisées que vous configurez dans les paramètres de pare-feu de votre compte de stockage pourront accéder à vos données. Les sources peuvent inclure l’adresse IP source ou le sous-réseau de réseau virtuel d’un client, ainsi qu'un service Azure ou une instance de ressource par lesquels les clients ou les services accèdent à vos données. Les demandes bloquées incluent celles provenant d’autres services Azure, du Portail Azure et des services de journalisation et de métriques, sauf si vous autorisez explicitement l’accès dans la configuration de votre pare-feu.
Un point de terminaison privé utilise une adresse IP privée de votre réseau virtuel pour accéder à un compte de stockage sur le réseau principal Microsoft. Avec un point de terminaison privé, le trafic entre votre réseau virtuel et le compte de stockage est sécurisé via une liaison privée. Les règles de pare-feu de stockage s’appliquent uniquement aux points de terminaison publics d’un compte de stockage, et non aux points de terminaison privés. Le processus d’approbation de la création d’un point de terminaison privé accorde un accès implicite au trafic à partir du sous-réseau qui héberge le point de terminaison privé. Vous pouvez utiliser des Stratégies réseau pour contrôler le trafic sur les points de terminaison privés si vous souhaitez affiner les règles d’accès. Si vous souhaitez utiliser des points de terminaison privés exclusivement, vous pouvez utiliser le pare-feu pour bloquer tout accès via le point de terminaison public.
Pour vous aider à décider quand utiliser chaque type de point de terminaison dans votre environnement, consultez Comparer des points de terminaison privés et des points de terminaison de service.
Comment aborder la sécurité réseau pour votre compte de stockage
Pour sécuriser votre compte de stockage et créer une limite réseau sécurisée pour vos applications :
Commencez par désactiver tout accès réseau public pour le compte de stockage sous le paramètre Accès réseau public dans le pare-feu du compte de stockage.
Si possible, configurez des liaisons privées vers votre compte de stockage à partir de points de terminaison privés sur des sous-réseaux de réseau virtuel où résident les clients qui doivent accéder à vos données.
Si les applications clientes nécessitent un accès via les points de terminaison publics, modifiez le paramètre Accès au réseau public sur Activé à partir des réseaux virtuels et adresses IP sélectionnés. Ensuite, selon les besoins :
- Spécifiez les sous-réseaux de réseau virtuel à partir desquels vous souhaitez autoriser l’accès.
- Spécifiez les plages d’adresses IP publiques des clients à partir desquels vous souhaitez autoriser l’accès, comme celles des réseaux locaux.
- Autorisez l’accès à partir d’instances de ressources Azure sélectionnées.
- Ajoutez des exceptions pour autoriser l’accès à partir des services approuvés requis pour les opérations telles que la sauvegarde des données.
- Ajoutez des exceptions pour la journalisation et les métriques.
Une fois que vous avez appliqué des règles réseau, elles sont appliquées pour toutes les demandes. Les jetons SAS qui accordent l’accès à une adresse IP spécifique servent à limiter l’accès du détenteur du jeton, mais ils n’accordent pas d’accès au-delà des règles de réseau configurées.
Périmètre de sécurité réseau (préversion)
Un périmètre de sécurité réseau permet aux organisations de définir une limite d’isolation réseau logique pour des ressources PaaS (par exemple Stockage Blob Azure et SQL Database) qui sont déployées en dehors de leurs réseaux virtuels. La fonctionnalité restreint l’accès du réseau public aux ressources PaaS en dehors du périmètre. Cependant, vous pouvez exempter un accès en utilisant des règles d’accès explicites pour le trafic public entrant et sortant. Par conception, l’accès à un compte de stockage depuis un périmètre de sécurité réseau a la priorité la plus élevée sur les autres restrictions d’accès réseau.
Actuellement, le périmètre de sécurité réseau est en préversion publique pour Blobs Azure, Azure Files (REST), Tables Azure et Files d’attente Azure. Consultez Transition vers un périmètre de sécurité réseau.
La liste des services qui ont été intégrés au périmètre de sécurité réseau se trouve ici.
Pour les services qui ne figurent pas dans cette liste en raison du fait qu’ils n’ont pas encore été intégrés au périmètre de sécurité réseau, si vous voulez autoriser l’accès, vous pouvez utiliser une règle basée sur un abonnement sur le périmètre de sécurité réseau. Toutes les ressources de cet abonnement obtiendront alors l’accès à ce périmètre de sécurité réseau. Pour plus d’informations sur l’ajout d’une règle d’accès basée sur un abonnement, consultez ce qui est expliqué ici.
Important
Le trafic d’un point de terminaison privé est considéré comme hautement sécurisé et il n’est donc pas soumis aux règles du périmètre de sécurité réseau. Tous les autres trafics, y compris les services approuvés, sont soumis aux règles du périmètre de sécurité réseau si le compte de stockage est associé à un périmètre.
Limites
Cette préversion ne prend pas en charge les services, opérations et protocoles suivants sur un compte de stockage :
- Réplication d’objets pour Stockage Blob Azure
- Gestion de cycle de vie pour Stockage Blob Azure
- Protocole FTP sécurisé (SFTP) dans Stockage Blob Azure
- Protocole NFS (Network File System) avec Stockage Blob Azure et Azure Files.
- Pour l’instant, le protocole SMB (Server Message Block) avec Azure Files peut fonctionner seulement via une liste d’adresses IP autorisées.
- Inventaire des blobs Azure
Nous vous recommandons de ne pas activer le périmètre de sécurité réseau si vous devez utiliser un de ces services, une de ces opérations ou un de ces protocoles. Ceci permet d’éviter toute perte de données potentielle ou tout risque d’exfiltration de données.
Avertissement
Pour les comptes de stockage associés à un périmètre de sécurité réseau, pour que les scénarios de clés gérées par le client (CMK) fonctionnent, vérifiez que le coffre Azure Key Vault est accessible depuis le périmètre auquel le compte de stockage a été associé.
Associer un périmètre de sécurité réseau à un compte de stockage
Pour associer un périmètre de sécurité réseau à un compte de stockage, suivez ces instructions communes à toutes les ressources PaaS.
Restrictions et considérations
Avant d’implémenter la sécurité réseau pour vos comptes de stockage, passez en revue les restrictions et considérations importantes décrites dans cette section.
- Les règles de pare-feu de Stockage Azure s’appliquent uniquement aux opérations de plan de données. Les opérations de plan de contrôle ne sont pas soumises aux restrictions spécifiées dans les règles de pare-feu.
- Passez en revue les restrictions pour les règles de réseau IP.
- Pour accéder aux données à l’aide d’outils tels que le Portail Azure, l’Explorateur de stockage Azure et AzCopy, vous devez être sur un ordinateur dans la limite approuvée que vous établissez lors de la configuration des règles de sécurité réseau.
- Les règles de réseau sont appliquées sur tous les protocoles réseau pour le stockage Azure, notamment REST et SMB.
- Les règles de réseau n’ont pas d’impact sur le trafic des disques de machine virtuelle, comme les opérations de montage et démontage et les E/S de disque, mais elles aident à protéger l’accès REST aux objets blob de pages.
- Vous pouvez utiliser des disques non managés dans les comptes de stockage avec des règles de réseau appliquées à la sauvegarde et la restauration de machines virtuelles en créant une exception. Les exceptions de pare-feu ne sont pas applicables aux disques managés, car Azure les gère déjà.
- Les comptes de stockage Classic ne prennent pas en charge les pare-feux et les réseaux virtuels.
- Si vous supprimez un sous-réseau qui est inclus dans une règle de réseau virtuel, il sera supprimé des règles réseau pour le compte de stockage. Si vous créez un sous-réseau portant le même nom, il n’aura pas accès au compte de stockage. Pour autoriser l’accès, vous devez autoriser explicitement le nouveau sous-réseau dans les règles réseau du compte de stockage.
- Lors du référencement d’un point de terminaison de service dans une application cliente, nous vous recommandons d’éviter de prendre une dépendance sur une adresse IP mise en cache. L’adresse IP du compte de stockage est susceptible de changer et le fait de s’appuyer sur une adresse IP mise en cache peut entraîner un comportement inattendu. De plus, il est recommandé de respecter la durée de vie (TTL) de l’enregistrement DNS et d’éviter de le remplacer. La substitution de la durée de vie du DNS peut entraîner un comportement inattendu.
- Par défaut, l’accès à un compte de stockage à partir de services approuvés a priorité sur les autres restrictions d’accès réseau. Si vous définissez l’accès au réseau public sur Désactivé après avoir précédemment défini la valeur Activé à partir de réseaux virtuels et d’adresses IP sélectionnés, toutes les instances de ressources et exceptions que vous avez précédemment configurées, y compris l’autorisation des services Azure dans la liste des services approuvés à accéder à ce compte de stockage, resteront en vigueur. Par conséquent, les ressources et services pourront toujours avoir accès au compte de stockage.
Autorisation
Les clients qui obtiennent un accès par le biais des règles de réseau doivent continuer à respecter les exigences d’autorisation du compte de stockage pour accéder aux données. L’autorisation est prise en charge avec les informations d’identification Microsoft Entra pour les objets blob et les files d’attente, avec une clé d’accès de compte valide ou un jeton SAS (signature d'accès partagé).
Quand vous configurez un conteneur d’objets blob pour un accès public anonyme, il n’est pas nécessaire que les demandes de lecture des données dans ce conteneur soient autorisées, mais les règles de pare-feu restent en vigueur et bloquent le trafic anonyme.
Changer la règle d’accès réseau par défaut
Par défaut, les comptes de stockage acceptent les connexions des clients sur n’importe quel réseau. Vous pouvez limiter l’accès aux réseaux sélectionnés ou empêcher le trafic provenant de tous les réseaux et autoriser l’accès uniquement via un point de terminaison privé.
Vous devez définir la règle par défaut sur refuser, sinon les règles de réseau n’ont aucun effet. Cependant, la modification de ce paramètre peut affecter la capacité de votre application à se connecter au Stockage Azure. Veillez à accorder l’accès à tous les réseaux autorisés ou à configurer l’accès via un point de terminaison privé avant de modifier ce paramètre.
Remarque
Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour bien démarrer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.
Accédez au compte de stockage que vous voulez sécuriser.
Dans le menu de service, sous Sécurité + mise en réseau, sélectionnez Mise en réseau.
Choisissez l’accès réseau qui est activé via le point de terminaison public du compte de stockage :
Sélectionnez Activé à partir de tous les réseaux ou Activé à partir des réseaux virtuels et adresses IP sélectionnés. Si vous sélectionnez la deuxième option, vous serez invité à ajouter des réseaux virtuels et des plages d’adresses IP.
Pour restreindre l’accès entrant tout en autorisant l’accès sortant, sélectionnez Désactivé.
Sélectionnez Enregistrer pour enregistrer vos modifications.
Accorder l’accès à partir d’un réseau virtuel
Vous pouvez configurer des comptes de stockage pour autoriser l’accès uniquement à partir de sous-réseaux spécifiques. Les sous-réseaux autorisés peuvent appartenir à un réseau virtuel dans le même abonnement ou dans un autre abonnement, y compris ceux appartenant à un autre tenant (locataire/client) Microsoft Entra. Avec les points de terminaison de service inter-régions, les sous-réseaux autorisés peuvent également se trouver dans des régions différentes du compte de stockage.
Vous pouvez activer un point de terminaison de service pour Stockage Azure dans le réseau virtuel. Le point de terminaison de service achemine le trafic à partir du réseau virtuel via un chemin d’accès optimal vers le service Stockage Azure. Les identités du sous-réseau et du réseau virtuel sont également transmises avec chaque demande. Les administrateurs peuvent ensuite configurer des règles de réseau pour le compte de stockage qui autorisent la réception des demandes à partir de sous-réseaux spécifiques d’un réseau virtuel. Les clients qui obtiennent un accès par le biais de ces règles de réseau doivent continuer à respecter les exigences d’autorisation du compte de stockage pour accéder aux données.
Chaque compte de stockage prend en charge jusqu’à 400 règles de réseau virtuel. Vous pouvez combiner ces règles avec des règles de réseau IP.
Important
Lors du référencement d’un point de terminaison de service dans une application cliente, nous vous recommandons d’éviter de prendre une dépendance sur une adresse IP mise en cache. L’adresse IP du compte de stockage est susceptible de changer et le fait de s’appuyer sur une adresse IP mise en cache peut entraîner un comportement inattendu.
De plus, il est recommandé de respecter la durée de vie (TTL) de l’enregistrement DNS et d’éviter de le remplacer. La substitution de la durée de vie du DNS peut entraîner un comportement inattendu.
Autorisations requises
Pour appliquer une règle de réseau virtuel à un compte de stockage, l’utilisateur doit disposer des autorisations appropriées pour les sous-réseaux qui sont ajoutés. Un Contributeur de compte de stockage ou un utilisateur ayant reçu l’autorisation d’accès à l’Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action
opération du fournisseur de ressources Azure peuvent appliquer une règle en utilisant un rôle Azure personnalisé.
Le compte de stockage et les réseaux virtuels auxquels l’accès est accordé peuvent se trouver dans différents abonnements, y compris des abonnements appartenant à un autre tenant Microsoft Entra.
La configuration de règles qui accordent l’accès à des sous-réseaux de réseaux virtuels qui font partie d’un autre tenant Microsoft Entra n’est actuellement possible que par le biais de PowerShell, de l’interface Azure CLI et des API REST. Vous ne pouvez pas configurer ces règles via le portail Azure, mais vous pouvez les afficher dans le portail.
Points de terminaison de service inter-régions Stockage Azure
Les points de terminaison de service inter-régions pour Stockage Azure ont été mis en disponibilité générale en avril 2023. Ils fonctionnent entre les réseaux virtuels et les instances de service de stockage dans n’importe quelle région. Grâce aux points de terminaison de service inter-régions, les sous-réseaux n’utilisent plus une adresse IP publique pour communiquer avec des comptes de stockage, y compris ceux d’une autre région. Au lieu de cela, tout le trafic des sous-réseaux vers des comptes de stockage utilise une adresse IP privée comme adresse IP source. Par conséquent, tous les comptes de stockage qui utilisent des règles de réseau IP pour autoriser le trafic à partir de ces sous-réseaux n’ont plus d’effet.
Il est possible qu’une configuration des points de terminaison de service entre des réseaux virtuels et des instances de service dans une région jumelée soit une partie importante de votre plan de récupération d’urgence. Les points de terminaison de service permettent une continuité des activités pendant un basculement régional ainsi qu’un accès sans interruption aux instances de stockage géoredondantes en lecture seule (RA-GRS). Les règles de réseau qui autorisent l’accès à un compte de stockage à partir d’un réseau virtuel accordent également l’accès à toutes les instances RA-GRS.
Lorsque vous planifiez une récupération d’urgence en cas de panne régionale, créez les réseaux virtuels à l’avance dans la région jumelée. Activez les points de terminaison de service pour le Stockage Azure, avec des règles de réseau accordant l’accès à partir de ces réseaux virtuels alternatifs. Appliquez ensuite ces règles à vos comptes de stockage géoredondants.
Les points de terminaison de service locaux et inter-régions ne peuvent pas coexister sur le même sous-réseau. Pour remplacer des points de terminaison de service existants par des points de terminaison inter-régions, supprimez les points de terminaison existants Microsoft.Storage
et recréez-les en tant que points de terminaison inter-régions (Microsoft.Storage.Global
).
Gestion des règles de réseau virtuel et d’accès
Vous pouvez gérer les règles de réseau virtuel et d’accès pour les comptes de stockage via le portail Azure, PowerShell ou Azure CLI v2.
Si vous souhaitez activer l’accès à votre compte de stockage à partir d’un réseau ou sous-réseau virtuel se trouvant dans un autre tenant Microsoft Entra, vous devez utiliser PowerShell ou Azure CLI. Le portail Azure ne montre pas les sous-réseaux qui se trouvent dans d’autres locataires Microsoft Entra.
Accédez au compte de stockage pour lequel vous voulez configurer des règles de réseau virtuel et d’accès.
Dans le menu de service, sous Sécurité + mise en réseau, sélectionnez Mise en réseau.
Vérifiez que vous avez choisi d’activer l’accès au réseau public à partir de réseaux virtuels et d’adresses IP sélectionnés.
Pour accorder l’accès à un réseau virtuel avec une nouvelle règle de réseau, sélectionnez Ajouter un réseau virtuel existant sous Réseaux virtuels. Sélectionnez les options Réseaux virtuels et Sous-réseaux, puis sélectionnez Ajouter. Pour créer un réseau virtuel et lui accorder l’accès, sélectionnez Ajouter un nouveau réseau virtuel. Fournissez les informations nécessaires pour créer le nouveau réseau virtuel, puis sélectionnez Créer. Actuellement, seuls les réseaux virtuels appartenant à un même locataire Microsoft Entra sont disponibles à la sélection lors de la création d’une règle. Pour accorder l’accès à un sous-réseau d’un réseau virtuel appartenant à un autre tenant, utilisez PowerShell, l’interface Azure CLI ou l’API REST.
Pour supprimer une règle de réseau ou sous-réseau virtuel, sélectionnez les points de suspension (...) pour ouvrir le menu contextuel du réseau ou sous-réseau virtuel, puis sélectionnez Supprimer.
Sélectionnez Enregistrer pour enregistrer vos modifications.
Important
Si vous supprimez un sous-réseau qui est inclus dans une règle réseau, il sera supprimé des règles réseau pour le compte de stockage. Si vous créez un sous-réseau portant le même nom, il n’aura pas accès au compte de stockage. Pour autoriser l’accès, vous devez autoriser explicitement le nouveau sous-réseau dans les règles réseau du compte de stockage.
Accorder l’accès à partir d’une plage d’adresses IP Internet
Vous pouvez utiliser des règles réseau IP pour autoriser l’accès à partir des plages d'adresses IP de l’internet public en créant des règles de réseau IP. Chaque compte de stockage prend en charge jusqu’à 400 règles. Ces règles accordent l’accès à des services Internet et des réseaux locaux spécifiques et bloquent le trafic Internet général.
Restrictions pour les règles de réseau IP
Les restrictions suivantes s’appliquent aux plages d’adresses IP :
Les règles de réseau IP sont autorisées uniquement pour les adresses IP de l’internet public.
Les plages d’adresses IP réservées aux réseaux privés (comme défini dans RFC 1918) ne sont pas autorisées dans les règles IP. Les réseaux privés incluent des adresses qui commencent par 10, 172.16 à 172.31, et 192.168.
Vous devez fournir des plages d’adresses Internet autorisées à l’aide de la notation CIDR sous la forme 16.17.18.0/24 ou sous la forme d’adresses IP individuelles de type 16.17.18.19.
Les petites plages d’adresses qui utilisent les tailles de préfixe /31 ou /32 ne sont pas prises en charge. Configurez ces plages avec des règles d’adresses IP individuelles.
Seules les adresses IPv4 sont prises en charge dans la configuration des règles de pare-feu de stockage.
Important
L’utilisation des règles de réseau IP est impossible dans les cas suivants :
- Pour restreindre l’accès aux clients situés dans la même région Azure que le compte de stockage. Les règles de réseau IP n’ont aucun effet sur les requêtes provenant de la même région Azure que le compte de stockage. Utilisez des règles de réseau virtuel pour autoriser les requêtes de même région.
- Pour restreindre l’accès aux clients dans une région jumelée qui se trouvent dans un réseau virtuel doté d’un point de terminaison de service.
- Pour restreindre l’accès aux services Azure déployés dans la même région que le compte de stockage. Les services déployés dans la même région que le compte de stockage utilisent des adresses IP Azure privées pour la communication. Vous ne pouvez donc pas restreindre l’accès à des services Azure spécifiques en fonction de leur plage d’adresses IP sortantes publiques.
Configuration de l’accès à partir de réseaux locaux
Pour accorder l’accès à votre compte de stockage à partir de réseaux locaux à l’aide d’une règle de réseau IP, vous devez identifier les adresses IP Internet que votre réseau utilise. Contactez votre administrateur réseau pour obtenir de l’aide.
Si vous utilisez Azure ExpressRoute localement, vous devez identifier les adresses IP NAT utilisées par le Peering Microsoft. Le fournisseur de services ou le client fournit les adresses IP NAT.
Pour autoriser l’accès à vos ressources de votre service, vous devez autoriser ces adresses IP publiques dans le paramètre de pare-feu pour les IP de ressources.
Gestion des règles de réseau IP
Vous pouvez gérer les règles de réseau IP pour les comptes de stockage via le portail Azure, PowerShell ou Azure CLI v2.
Accédez au compte de stockage pour lequel vous voulez gérer les règles réseau IP.
Dans le menu de service, sous Sécurité + mise en réseau, sélectionnez Mise en réseau.
Vérifiez que vous avez choisi d’activer l’accès au réseau public à partir de réseaux virtuels et d’adresses IP sélectionnés.
Pour accorder l’accès à une plage d’adresses IP Internet, entrez l’adresse IP ou la plage d’adresses IP (au format CIDR) sous Pare-feu>Plages d’adresses.
Pour supprimer une règle de réseau IP, sélectionnez l’icône de suppression ( ) à côté de la plage d’adresses.
Sélectionnez Enregistrer pour enregistrer vos modifications.
Accorder l’accès à partir d’instances de ressource Azure
Dans certains cas, une application peut dépendre de ressources Azure qui ne peuvent pas être isolées par le biais d’une règle de réseau virtuel ou d’adresse IP. Vous souhaitez tout de même toujours sécuriser et limiter l’accès au compte de stockage aux seules ressources Azure de votre application. Vous pouvez configurer les comptes de stockage pour permettre l’accès à des instances de ressource spécifiques des services Azure de confiance en créant une règle d’instance de ressource.
Les attributions de rôle Azure de l’instance de ressource déterminent les types d’opérations qu’une instance de ressource peut effectuer sur les données du compte de stockage. Les instances de ressource doivent provenir du même locataire que votre compte de stockage, mais elles peuvent appartenir à n’importe quel abonnement dans le locataire.
Vous pouvez ajouter ou supprimer des règles de réseau de ressources dans le portail Azure :
Connectez-vous au portail Azure.
Recherchez votre compte de stockage et affichez la vue d’ensemble du compte.
Dans le menu de service, sous Sécurité + mise en réseau, sélectionnez Mise en réseau.
Vérifiez que vous avez choisi d’activer l’accès au réseau public à partir de réseaux virtuels et d’adresses IP sélectionnés.
Faites défiler vers le bas jusqu’à ce que vous trouviez Instances de ressources. Dans la liste déroulante Type de ressource, sélectionnez le type de ressource de votre instance de ressource.
Dans la liste déroulante Nom de l’instance, sélectionnez l’instance de ressource. Vous pouvez aussi choisir d’inclure toutes les instances de ressource dans le locataire, l’abonnement ou le groupe de ressources actif.
Sélectionnez Enregistrer pour enregistrer vos modifications. L’instance de ressource s’affiche dans la section Instances de ressource de la page des paramètres réseau.
Pour supprimer l’instance de ressource, sélectionnez l’icône de suppression () à côté de l’instance de ressource.
Accorder l’accès aux services Azure approuvés
Certains services Azure fonctionnent à partir de réseaux que vous ne pouvez pas inclure dans vos règles de réseau. Vous pouvez accorder à une partie de ces services Azure approuvés l’accès au compte de stockage, mais conserver des règles de réseau pour d’autres applications. Ces services approuvés se connectent ensuite à votre compte de stockage à l’aide de l’authentification renforcée.
Vous pouvez accorder l’accès à des services Azure approuvés en créant une exception de règle de réseau. Consultez la section Gérer les exceptions de cet article pour obtenir des instructions pas-à-pas.
Accès approuvé pour les ressources inscrites dans votre locataire Microsoft Entra
Les ressources de certains services peuvent accéder à votre compte de stockage pour des opérations spécifiées, comme la journalisation ou l’exécution de sauvegardes. Ces services doivent être inscrits dans un abonnement situé dans le même locataire Microsoft Entra que votre compte de stockage. Le tableau suivant décrit chaque service et les opérations autorisées.
Service | Nom du fournisseur de ressources | Opérations autorisées |
---|---|---|
Sauvegarde Azure | Microsoft.RecoveryServices |
Exécutez des sauvegardes et des restaurations de disques non managés sur des machines virtuelles IaaS (infrastructure as a service) (non requis pour les disques managés). Plus d’informations |
Azure Data Box | Microsoft.DataBox |
Importez des données dans Azure. Plus d’informations |
Azure DevTest Labs | Microsoft.DevTestLab |
Créez des images personnalisées et installez des artefacts. Plus d’informations |
Azure Event Grid | Microsoft.EventGrid |
Permettez la publication d’événements Stockage Blob Azure et autorisez la publication dans les files d’attente de stockage. |
Hubs d'événements Azure | Microsoft.EventHub |
Archivage des données à l’aide d’Event Hubs Capture. En savoir plus |
Azure File Sync | Microsoft.StorageSync |
Transformez votre serveur de fichiers local en cache pour les partages de fichiers Azure. Cette fonctionnalité permet la synchronisation sur plusieurs sites, la récupération d’urgence rapide et la sauvegarde côté cloud. Plus d’informations |
Azure HDInsight | Microsoft.HDInsight |
Approvisionnez le contenu initial du système de fichiers par défaut pour un nouveau cluster HDInsight. Plus d’informations |
Azure Import/Export | Microsoft.ImportExport |
Importez des données dans Stockage Azure ou exportez des données à partir de Stockage Azure. Plus d’informations |
Azure Monitor | Microsoft.Insights |
Écrivez des données de monitoring dans un compte de stockage sécurisé, notamment des journaux d’activité des ressources, des données Microsoft Defender for Endpoint, des journaux d’activité de connexion et d’audit Microsoft Entra et des journaux d’activité Microsoft Intune. Plus d’informations |
Services de mise en réseau Azure | Microsoft.Network |
Stockez et analysez les journaux du trafic réseau, notamment celui qui transite par les services Network Watcher Azure et Azure Traffic Manager. Plus d’informations |
Azure Site Recovery | Microsoft.SiteRecovery |
Activez la réplication pour la récupération d’urgence de machines virtuelles Azure IaaS lorsque vous utilisez des comptes de stockage de cache avec pare-feu activé, de stockage source ou de stockage cible. Plus d’informations |
Accès approuvé basé sur une identité managée
Le tableau suivant répertorie les services qui peuvent accéder aux données de votre compte de stockage si les instances de ressource de ces services disposent de l’autorisation appropriée.
Service | Nom du fournisseur de ressources | Objectif |
---|---|---|
Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Active l’accès aux comptes de stockage. |
Gestion des API Azure | Microsoft.ApiManagement/service |
Permet l’accès aux comptes de stockage derrière des pare-feux via des stratégies. Plus d’informations |
Systèmes autonomes Microsoft | Microsoft.AutonomousSystems/workspaces |
Active l’accès aux comptes de stockage. |
Cache Azure pour Redis | Microsoft.Cache/Redis |
Active l’accès aux comptes de stockage. Plus d’informations |
Azure AI Search | Microsoft.Search/searchServices |
Permet l’accès aux comptes de stockage pour l’indexation, le traitement et l’interrogation. |
Azure AI services | Microsoft.CognitiveService/accounts |
Active l’accès aux comptes de stockage. Plus d’informations |
Azure Container Registry | Microsoft.ContainerRegistry/registries |
Permet d’accéder aux comptes de stockage lorsque vous créez des images conteneur grâce à la suite de fonctionnalités ACR Tasks. |
Microsoft Cost Management | Microsoft.CostManagementExports |
Active l’exportation vers des comptes de stockage derrière un pare-feu. Plus d’informations |
Azure Databricks | Microsoft.Databricks/accessConnectors |
Active l’accès aux comptes de stockage. |
Azure Data Factory | Microsoft.DataFactory/factories |
Active l’accès aux comptes de stockage via le runtime Data Factory. |
Coffre de sauvegarde Azure | Microsoft.DataProtection/BackupVaults |
Active l’accès aux comptes de stockage. |
Azure Data Share | Microsoft.DataShare/accounts |
Active l’accès aux comptes de stockage. |
Azure Database pour PostgreSQL | Microsoft.DBForPostgreSQL |
Active l’accès aux comptes de stockage. |
Azure IoT Hub | Microsoft.Devices/IotHubs |
Autorise l’écriture des données d’un hub IoT dans Stockage Blob. Plus d’informations |
Azure DevTest Labs | Microsoft.DevTestLab/labs |
Active l’accès aux comptes de stockage. |
Azure Event Grid | Microsoft.EventGrid/domains |
Active l’accès aux comptes de stockage. |
Azure Event Grid | Microsoft.EventGrid/partnerTopics |
Active l’accès aux comptes de stockage. |
Azure Event Grid | Microsoft.EventGrid/systemTopics |
Active l’accès aux comptes de stockage. |
Azure Event Grid | Microsoft.EventGrid/topics |
Active l’accès aux comptes de stockage. |
Microsoft Fabric | Microsoft.Fabric |
Active l’accès aux comptes de stockage. |
Azure Healthcare APIs | Microsoft.HealthcareApis/services |
Active l’accès aux comptes de stockage. |
Azure Healthcare APIs | Microsoft.HealthcareApis/workspaces |
Active l’accès aux comptes de stockage. |
Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Active l’accès aux comptes de stockage. |
HSM géré par Azure Key Vault | Microsoft.keyvault/managedHSMs |
Active l’accès aux comptes de stockage. |
Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Permet aux applications logiques d’accéder aux comptes de stockage. Plus d’informations |
Azure Logic Apps | Microsoft.Logic/workflows |
Permet aux applications logiques d’accéder aux comptes de stockage. Plus d’informations |
Azure Machine Learning Studio | Microsoft.MachineLearning/registries |
Permet aux espaces de travail Azure Machine Learning autorisés d’écrire des sorties, des modèles et des journaux expérimentaux dans Stockage Blob et de lire les données. Plus d’informations |
Azure Machine Learning | Microsoft.MachineLearningServices |
Permet aux espaces de travail Azure Machine Learning autorisés d’écrire des sorties, des modèles et des journaux expérimentaux dans Stockage Blob et de lire les données. Plus d’informations |
Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Permet aux espaces de travail Azure Machine Learning autorisés d’écrire des sorties, des modèles et des journaux expérimentaux dans Stockage Blob et de lire les données. Plus d’informations |
Azure Media Services | Microsoft.Media/mediaservices |
Active l’accès aux comptes de stockage. |
Azure Migrate | Microsoft.Migrate/migrateprojects |
Active l’accès aux comptes de stockage. |
Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Active l’accès aux comptes de stockage. |
Plateforme Microsoft Power | Microsoft.PowerPlatform/enterprisePolicies |
Active l’accès aux comptes de stockage. |
Microsoft Projet Arcadia | Microsoft.ProjectArcadia/workspaces |
Active l’accès aux comptes de stockage. |
Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
Active l’accès aux comptes de stockage. |
Microsoft Purview | Microsoft.Purview/accounts |
Active l’accès aux comptes de stockage. |
Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Active l’accès aux comptes de stockage. |
Security Center | Microsoft.Security/dataScanners |
Active l’accès aux comptes de stockage. |
Singularité | Microsoft.Singularity/accounts |
Active l’accès aux comptes de stockage. |
Azure SQL Database | Microsoft.Sql |
Autorise l’écriture de données d’audit dans des comptes de stockage derrière un pare-feu. |
Serveurs Azure SQL | Microsoft.Sql/servers |
Autorise l’écriture de données d’audit dans des comptes de stockage derrière un pare-feu. |
Azure Synapse Analytics | Microsoft.Sql |
Autorise l’importation et l’exportation de données depuis et vers des bases de données SQL spécifiques à l’aide de l’instruction COPY ou de PolyBase (dans un pool dédié), ou à l’aide de la fonction openrowset et des tables externes dans un pool serverless. Plus d’informations |
Azure Stream Analytics | Microsoft.StreamAnalytics |
Autorise l’écriture des données d’une tâche de streaming dans Stockage Blob. Plus d’informations |
Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Autorise l’écriture des données d’une tâche de streaming dans Stockage Blob. Plus d’informations |
Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Permet l’accès aux données dans Stockage Azure. |
Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Active l’accès aux comptes de stockage. |
Si la fonctionnalité d’espace de noms hiérarchique n’est pas activée sur votre compte, vous pouvez accorder l’autorisation en attribuant explicitement un rôle Azure à l’identité managée de chaque instance de ressource. Dans ce cas, l’étendue de l’accès pour l’instance correspond au rôle Azure qui est affecté à l’identité managée.
Vous pouvez utiliser la même technique pour un compte sur lequel la fonctionnalité d’espace de noms hiérarchique est activée. Toutefois, vous n’êtes pas obligé d’attribuer un rôle Azure si vous ajoutez l’identité managée à la liste de contrôle d’accès (ACL) d’un répertoire ou d’un objet blob que le compte de stockage contient. Dans ce cas, l’étendue de l’accès pour l’instance correspond au répertoire ou au fichier auquel l’identité managée a accès.
Vous pouvez également combiner des rôles Azure et des ACL pour autoriser l’accès. Pour en savoir plus, consultez Modèle de contrôle d’accès dans Azure Data Lake Storage.
Nous vous recommandons d’utiliser des règles d’instance de ressources pour accorder l’accès à des ressources spécifiques.
Gérer les exceptions
Dans certains cas, comme l’analyse du stockage, un accès en lecture aux journaux et aux métriques de ressources est nécessaire en dehors de la limite du réseau. Lorsque vous configurez l’accès au compte de stockage de services approuvés, vous pouvez autoriser l’accès en lecture aux fichiers journaux ou aux tables de métriques, ou aux deux, en créant une exception de règle de réseau. Vous pouvez gérer les exceptions de règle de réseau dans le portail Azure, PowerShell ou à l’interface Azure CLI v2.
Pour en savoir plus sur l’utilisation de Storage Analytics, consultez Utiliser Azure Storage Analytics pour collecter des données de journaux et de métriques.
Accédez au compte de stockage pour lequel vous voulez gérer des exceptions.
Dans le menu de service, sous Sécurité + mise en réseau, sélectionnez Mise en réseau.
Vérifiez que vous avez choisi d’activer l’accès au réseau public à partir de réseaux virtuels et d’adresses IP sélectionnés.
Sous Exceptions, sélectionnez les exceptions que vous souhaitez accorder.
Sélectionnez Enregistrer pour enregistrer vos modifications.
Étapes suivantes
- Découvrez-en davantage sur les points de terminaison de service de réseau virtuel Azure.
- Explorez plus en détail les recommandations de sécurité pour Stockage Blob Azure.