Créer une base de référence de comptes de stockage Azure
Un compte Stockage Azure fournit un espace de noms unique où vous pouvez stocker vos objets de données Stockage Azure et y accéder.
Recommandations relatives à la sécurité des comptes Stockage Azure
Les sections suivantes décrivent les recommandations Stockage Azure qui se trouvent dans CIS Microsoft Azure Foundation Security Benchmark v. 1.3.0. Les étapes de base à effectuer dans le portail Azure sont fournies avec chaque recommandation. Vous devez effectuer ces étapes pour votre propre abonnement et en utilisant vos propres ressources afin de valider chaque recommandation de sécurité. Gardez à l’esprit que les options de Niveau 2 peuvent limiter certaines fonctionnalités ou activités : réfléchissez donc bien aux options de sécurité que vous décidez d’appliquer.
Exiger des transferts à sécurité renforcée - Niveau 1
L’une des mesures à prendre pour garantir la sécurité de vos données Stockage Azure consiste à chiffrer les données entre le client et Stockage Azure. La première recommandation est de toujours utiliser le protocole HTTPS. L’utilisation de HTTPS garantit la sécurisation des communications sur l’Internet public. Pour imposer l’utilisation du protocole HTTPS lorsque vous appelez des API REST pour accéder à des objets dans des comptes de stockage, activez l’option Transfert sécurisé requis pour le compte de stockage. Une fois ce contrôle activé, les connexions qui utilisent HTTP sont refusées. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement.
Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.
Dans le volet Comptes de stockage, sélectionnez un compte de stockage.
Dans le menu de gauche, sous Paramètres, sélectionnez Configuration.
Dans le volet Configuration, vérifiez que Transfert sécurisé requis est Activé.
Si vous modifiez des paramètres, dans la barre de menus, sélectionnez Enregistrer.
Activer le chiffrement des objets blob - Niveau 1
Stockage Blob Azure est la solution de stockage d’objets de Microsoft pour le cloud. Stockage Blob est optimisé pour le stockage de grands volumes de données non structurées. Les données non structurées sont des données qui n’obéissent pas à un modèle ou une définition de données spécifique. Les données binaires ou textuelles sont des exemples de données non structurées. Le chiffrement du service de stockage Azure protège vos données au repos. Stockage Azure chiffre vos données à mesure qu’elles sont écrites dans ses centres de données, et les déchiffre automatiquement quand vous y accédez.
Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.
Dans le volet Comptes de stockage, sélectionnez un compte de stockage.
Dans le menu de gauche sous Sécurité + réseau, sélectionnez Chiffrement.
Dans le volet Chiffrement, vérifiez que le chiffrement Stockage Azure est activé pour tous les comptes de stockage nouveaux et existants, et qu’il ne peut pas être désactivé.
Regénérer périodiquement les clés d’accès - Niveau 1
Quand vous créez un compte de stockage dans Azure, Azure génère deux clés d’accès de stockage de 512 bits. Ces clés sont utilisées pour l’authentification lors de l’accès au compte de stockage. La permutation périodique de ces clés garantit qu’un accès par inadvertance à ces clés ou leur exposition est limité(e) dans le temps. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement Azure.
Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.
Dans le volet Comptes de stockage, sélectionnez un compte de stockage.
Dans le menu de gauche, sélectionnez Journal d’activité.
Dans le Journal d’activité, dans la liste déroulante Intervalle de temps, sélectionnez Personnalisé. Sélectionnez Heure de début et Heure de fin pour créer une plage de 90 jours ou moins.
Sélectionnez Appliquer.
Pour regénérer les clés d’accès au stockage pour un compte de stockage spécifique si vous n’utilisez pas Azure Key Vault avec la permutation des clés, exécutez la commande suivante avec les informations relatives à votre abonnement :
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/regenerateKey?api-version=2019-04-01
Si vous modifiez des paramètres, dans la barre de menus, sélectionnez Enregistrer.
Exiger l’expiration des jetons de signature d’accès partagé dans un délai d’une heure - Niveau 1
Une signature d’accès partagé est un URI qui octroie des droits d’accès restreints à des ressources Stockage Azure. Vous pouvez fournir une signature d’accès partagé aux clients qui ne sont pas assez fiables pour recevoir votre clé de compte de stockage, mais auxquels vous souhaitez déléguer l’accès à certaines ressources du compte de stockage. En distribuant un URI de signature d’accès partagé à ces clients, vous leur accordez l’accès à une ressource pour une période de temps spécifiée, avec un ensemble spécifié d’autorisations.
Notes
Pour les recommandations de CIS Microsoft Azure Foundation Security Benchmark v. 1.3.0, les délais d’expiration du jeton de signature d’accès partagé ne peuvent pas être vérifiés automatiquement. La recommandation nécessite une vérification manuelle.
Exiger que les jetons de signature d’accès partagé soient partagés seulement via HTTPS - Niveau 1
Les jetons de signature d’accès partagé doivent être autorisés seulement sur le protocole HTTPS. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement Azure.
Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.
Dans le volet Comptes de stockage, sélectionnez un compte de stockage.
Dans le menu sous Sécurité + réseau, sélectionnez Signature d’accès partagé.
Dans le volet Signature d’accès partagé, sous Date/heure de début et d’expiration, définissez les dates et heures de Début et de Fin.
Sous Protocoles autorisés, sélectionnez HTTPS uniquement.
Si vous modifiez des paramètres, dans la barre de menus, sélectionnez Générer la chaîne de connexion et SAP.
Configurez les fonctionnalités de signature d’accès partagé dans les sections suivantes.
Activer le chiffrement d’Azure Files - Niveau 1
Azure Disk Encryption chiffre les disques de systèmes d’exploitation et de données dans les machines virtuelles IaaS. Le chiffrement côté client et le chiffrement côté serveur (SSE) sont utilisés tous deux pour chiffrer les données dans Stockage Azure. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement Azure.
Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.
Dans le volet Comptes de stockage, sélectionnez un compte de stockage.
Dans le menu de gauche sous Sécurité + réseau, sélectionnez Chiffrement.
Dans le volet Chiffrement, vérifiez que le chiffrement Stockage Azure est activé pour tous les stockages d’objets blob et stockages de fichiers, et qu’il ne peut pas être désactivé.
Exiger uniquement un accès privé aux conteneurs d’objets blob - Niveau 1
Vous pouvez activer l’accès en lecture anonyme public à un conteneur et à ses objets blob dans Stockage Blob Azure. En activant l’accès en lecture public anonyme, vous pouvez accorder un accès en lecture seule à ces ressources sans partager votre clé de compte et sans exiger de signature d’accès partagé. Par défaut, un conteneur et les objets blob qu’il contient sont accessibles seulement par un utilisateur qui dispose des autorisations appropriées. Pour octroyer aux utilisateurs anonymes un accès en lecture à un conteneur et à ses objets blob, vous pouvez définir le niveau d’accès du conteneur sur public.
Toutefois, si vous octroyez un accès public à un conteneur, les utilisateurs anonymes peuvent lire les objets blob d’un conteneur accessible publiquement sans que la requête soit autorisée. Une recommandation de sécurité consiste à définir plutôt l’accès aux conteneurs de stockage sur privé. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement Azure.
Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.
Dans le volet Comptes de stockage, sélectionnez un compte de stockage.
Dans le menu de gauche, sous Stockage des données, sélectionnez Conteneurs.
Dans le volet Conteneurs, vérifiez que Niveau d’accès public est défini sur Privé.
Si vous modifiez des paramètres, dans la barre de menus, sélectionnez Enregistrer.