Passer en revue les stratégies de sécurité de Stockage Azure
Les administrateurs utilisent différentes stratégies pour s’assurer que leurs données sont sécurisées. Les approches courantes incluent le chiffrement, l’authentification, l’autorisation et le contrôle d’accès utilisateur avec des informations d’identification, les autorisations de fichier et les signatures privées. Stockage Azure offre une suite de fonctionnalités de sécurité basées sur des stratégies courantes permettant de sécuriser vos données.
Points à connaître sur les stratégies de sécurité Stockage Azure
Examinons certaines caractéristiques de la sécurité du Stockage Azure.
Chiffrement au repos La fonctionnalité SSE (Storage Service Encryption) avec un chiffrement AES (Advanced Encryption Standard) 256 bits chiffre toutes les données écrites dans le Stockage Azure. Quand vous lisez des données depuis Stockage Azure, le service déchiffre les données avant de les retourner. Ce processus n’implique aucun frais supplémentaire, ni aucune dégradation des performances. Il n’est pas possible de le désactiver.
Authentification. Microsoft Entra ID et le contrôle d’accès en fonction du rôle (RBAC) sont pris en charge pour Stockage Azure, à la fois pour les opérations de gestion des ressources et pour les opérations de données.
- Attribuez des rôles RBAC délimités au compte de stockage Azure à des principaux de sécurité, et utilisez Microsoft Entra ID pour autoriser les opérations de gestion des ressources, comme la gestion des clés.
- L’intégration de Microsoft Entra est prise en charge pour les opérations de données sur Stockage Blob Azure et Stockage File d’attente Azure.
Chiffrement en transit. Maintenez vos données sécurisées en activant la sécurité au niveau du transport entre Azure et le client. Utilisez toujours HTTPS pour sécuriser les communications sur par Internet public. Quand vous appelez les API REST pour accéder aux objets dans les comptes de stockage, vous pouvez appliquer l’utilisation du protocole HTTPS en exigeant un transfert sécurisé pour le compte de stockage. Après avoir activé le transfert sécurisé, les connexions qui utilisent le protocole HTTP sont refusées. Cet indicateur exige également un transfert sécurisé sur SMB en imposant SMB 3.0 pour tous les montages de partage de fichiers.
Chiffrement de disque. Pour les machines virtuelles, Azure vous permet de chiffrer des disques durs virtuels (VHD) avec Azure Disk Encryption. Ce chiffrement utilise des images BitLocker pour Windows ainsi que dm-crypt pour Linux. Azure Key Vault stocke automatiquement les clés pour faciliter le contrôle et la gestion des clés et secrets de chiffrement des disques. Par conséquent, même si une personne obtient l’accès à l’image du disque dur virtuel et la télécharge, elle ne peut pas accéder aux données situées sur le disque dur virtuel.
Signatures d’accès partagé. Il est possible d’accorder un accès délégué aux objets de données Stockage Azure en utilisant une signature d’accès partagé (SAS).
Autorisation. Chaque demande auprès d’une ressource sécurisée dans le Stockage Blob, Azure Files, Stockage File d’attente ou Azure Cosmos DB (Stockage Table Azure) doit être autorisée. L’autorisation garantit que les ressources de votre compte de stockage sont accessibles uniquement quand vous le souhaitez, et uniquement pour les utilisateurs ou les applications autorisés.
Éléments à prendre en compte pour la sécurité de l’autorisation
Passez en revue les stratégies suivantes pour l’autorisation des demandes dans Stockage Azure. Réfléchissez aux stratégies de sécurité convenant à votre Stockage Azure.
| Stratégie d’autorisation | Description |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID est le service cloud de Microsoft qui gère les identités et les accès. Avec Microsoft Entra ID, vous pouvez attribuer un accès avec une granularité fine à des utilisateurs, des groupes ou des applications en utilisant le contrôle d’accès en fonction du rôle (RBAC). |
| Clé partagée | L’autorisation de clé partagée s’appuie sur les clés d’accès de votre compte Azure et d’autres paramètres pour produire une chaîne de signature chiffrée. La chaîne est transmise à la demande dans l’en-tête d’autorisation. |
| Signatures d’accès partagé | Une signature SAS délègue l’accès à une ressource particulière de votre compte avec les autorisations spécifiées et pour un intervalle de temps spécifié. |
| Accès anonyme aux conteneurs et objets blob | Vous pouvez éventuellement rendre publiques des ressources blob au niveau du conteneur ou de l’objet blob. Un conteneur ou un objet blob public est accessible à tout utilisateur avec un accès en lecture anonyme. Les demandes de lecture sur les conteneurs et objets blob publics ne nécessitent aucune autorisation. |