Créer une base de référence de comptes de stockage Azure
Un compte Stockage Azure fournit un espace de noms unique où vous pouvez stocker vos objets de données Stockage Azure et y accéder.
Recommandations relatives à la sécurité des comptes Stockage Azure
Les sections suivantes décrivent les recommandations Stockage Azure qui se trouvent dans CIS Microsoft Azure Foundation Security Benchmark v. 3.0.0. Les étapes de base à effectuer dans le portail Azure sont fournies avec chaque recommandation. Vous devez effectuer ces étapes pour votre propre abonnement et en utilisant vos propres ressources afin de valider chaque recommandation de sécurité. Gardez à l’esprit que les options de Niveau 2 peuvent limiter certaines fonctionnalités ou activités : réfléchissez donc bien aux options de sécurité que vous décidez d’appliquer.
Exiger des transferts à sécurité renforcée - Niveau 1
Ce sont des mesures de sécurité nécessaires pour garantir que Stockage Azure chiffre les données entre le client et Stockage Azure. La première recommandation est de toujours utiliser le protocole HTTPS. L’utilisation de HTTPS garantit la sécurisation des communications sur l’Internet public. Pour imposer l’utilisation du protocole HTTPS lorsque vous appelez des API REST pour accéder à des objets dans des comptes de stockage, activez l’option Transfert sécurisé requis pour le compte de stockage. Une fois ce contrôle activé, les connexions qui utilisent HTTP sont refusées. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement.
Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.
Dans le volet Comptes de stockage, sélectionnez un compte de stockage.
Dans le menu de gauche, sous Paramètres, sélectionnez Configuration.
Dans le volet Configuration, vérifiez que Transfert sécurisé requis est Activé.
Si vous changez des paramètres, sélectionnez Enregistrer dans la barre de menus.
Activer le chiffrement des objets blob - Niveau 1
Stockage Blob Azure est la solution de stockage d’objets de Microsoft pour le cloud. Stockage Blob est optimisé pour le stockage de grands volumes de données non structurées. Les données non structurées sont des données qui n’obéissent pas à un modèle ou une définition de données spécifique. Les données binaires ou textuelles sont des exemples de données non structurées. Le chiffrement du service de stockage Azure protège vos données au repos. Stockage Azure chiffre vos données à mesure qu’elles sont écrites dans ses centres de données, et les déchiffre automatiquement quand vous y accédez.
Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.
Dans le volet Comptes de stockage, sélectionnez un compte de stockage.
Dans le menu de gauche sous Sécurité + réseau, sélectionnez Chiffrement.
Dans le volet Chiffrement, remarquez que le chiffrement Stockage Azure est activé pour tous les comptes de stockage nouveaux et existants, et qu’il ne peut pas être désactivé.
Regénérer périodiquement les clés d’accès - Niveau 1
Quand vous créez un compte de stockage dans Azure, Azure génère deux clés d’accès de stockage de 512 bits. Ces clés sont utilisées pour l’authentification lors de l’accès au compte de stockage. La permutation périodique de ces clés garantit qu’un accès par inadvertance à ces clés ou leur exposition est limité(e) dans le temps. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement Azure.
Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.
Dans le volet Comptes de stockage, sélectionnez un compte de stockage.
Dans le menu de gauche, sélectionnez Sécurité + réseau, puis Clés d’accès.
Passez en revue la date de dernière rotation de chaque clé.
Si vous n’utilisez pas Azure Key Vault avec la rotation de clé, vous pouvez sélectionner le bouton Faire pivoter la clé pour faire pivoter manuellement vos clés d’accès.
Exiger l’expiration des jetons de signature d’accès partagé dans un délai d’une heure - Niveau 1
Une signature d’accès partagé est un URI qui octroie des droits d’accès restreints à des ressources Stockage Azure. Vous pouvez fournir une signature d’accès partagé aux clients qui ne sont pas assez fiables pour recevoir votre clé de compte de stockage, mais auxquels vous souhaitez déléguer l’accès à certaines ressources du compte de stockage. En distribuant un URI de signature d’accès partagé à ces clients, vous leur accordez l’accès à une ressource pour une période de temps spécifiée, avec un ensemble spécifié d’autorisations.
Remarque
Pour les recommandations dans CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0, les délais d’expiration du jeton de signature d’accès partagé ne peuvent pas être vérifiés automatiquement. La recommandation nécessite une vérification manuelle.
Exiger que les jetons de signature d’accès partagé soient partagés seulement via HTTPS - Niveau 1
Les jetons de signature d’accès partagé doivent être autorisés seulement sur le protocole HTTPS. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement Azure.
Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.
Dans le volet Comptes de stockage, sélectionnez un compte de stockage.
Dans le menu sous Sécurité + réseau, sélectionnez Signature d’accès partagé.
Dans le volet Signature d’accès partagé, sous Date/heure de début et d’expiration, définissez les dates et heures de Début et de Fin.
Sous Protocoles autorisés, sélectionnez HTTPS uniquement.
Si vous modifiez des paramètres, sélectionnez le bouton Générer une signature d’accès partagé et la chaîne de connexion en bas de l’écran.
Configurez les fonctionnalités de signature d’accès partagé dans les sections suivantes.
Activer le chiffrement d’Azure Files - Niveau 1
Azure Disk Encryption chiffre les disques de systèmes d’exploitation et de données dans les machines virtuelles IaaS. Le chiffrement côté client et le chiffrement côté serveur (SSE) sont utilisés tous deux pour chiffrer les données dans Stockage Azure. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement Azure.
Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.
Dans le volet Comptes de stockage, sélectionnez un compte de stockage.
Dans le menu de gauche sous Sécurité + réseau, sélectionnez Chiffrement.
Dans le volet Chiffrement, remarquez que le chiffrement Stockage Azure est activé pour tous les stockages d’objets blob et stockages de fichiers, et qu’il ne peut pas être désactivé.
Exiger uniquement un accès privé aux conteneurs d’objets blob - Niveau 1
Vous pouvez activer l’accès en lecture public anonyme à un conteneur et à ses objets blob dans Stockage Blob Azure. En activant l’accès en lecture public anonyme, vous pouvez accorder un accès en lecture seule à ces ressources sans partager votre clé de compte et sans exiger de signature d’accès partagé. Par défaut, un conteneur et les objets blob qu’il contient sont accessibles seulement par un utilisateur qui dispose des autorisations appropriées. Pour octroyer aux utilisateurs anonymes un accès en lecture à un conteneur et à ses objets blob, vous pouvez définir le niveau d’accès du conteneur sur public.
Toutefois, si vous octroyez un accès public à un conteneur, les utilisateurs anonymes peuvent lire les objets blob d’un conteneur accessible publiquement sans que la requête soit autorisée. Une recommandation de sécurité consiste à définir plutôt l’accès aux conteneurs de stockage sur privé. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement Azure.
Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.
Dans le volet Comptes de stockage, sélectionnez un compte de stockage.
Dans le menu de gauche, sous Stockage des données, sélectionnez Conteneurs.
Dans le volet Conteneurs, vérifiez que Niveau d’accès public est défini sur Privé.
