Explorer les fonctionnalités de sécurité de Stockage Azure

Effectué

Contoso s’appuie en grande partie sur de grandes quantités de données dans Stockage Azure. Ses nombreuses applications utilisent des objets blob, le stockage de tables non structurées, Azure Data Lake et des partages de fichiers basés sur SMB (Server Message Block).

Suite à une violation de la sécurité des données chez un de ses concurrents, Contoso demande à son administrateur réseau de vérifier la sécurité des données de l’organisation. En tant que consultant en données de Contoso, vous confirmez à l’administrateur réseau que les comptes de stockage Azure ont l’avantage d’offrir un haut niveau de sécurité aux données situées dans le cloud :

  • Protection des données au repos
  • Protection des données en transit
  • Prise en charge de l’accès entre domaines du navigateur
  • Contrôle des utilisateurs capables d’accéder aux données
  • Audit de l’accès au stockage

Chiffrement au repos

Toutes les données écrites dans le service Stockage Azure sont automatiquement chiffrées par la fonctionnalité SSE (Storage Service Encryption) avec un chiffrement AES (Advanced Encryption Standard) 256 bits. Ces données sont conformes à la norme FIPS 140-2. SSE chiffre automatiquement les données lors de leur écriture dans Stockage Azure. Quand vous lisez des données depuis Stockage Azure, le service déchiffre les données avant de les retourner. Ce processus n’implique aucuns frais supplémentaires ni aucune dégradation des performances. Il n’est pas possible de le désactiver.

Pour les machines virtuelles, Azure vous permet de chiffrer des disques durs virtuels (VHD) avec Azure Disk Encryption. Ce chiffrement utilise des images BitLocker pour Windows ainsi que dm-crypt pour Linux.

Azure Key Vault stocke automatiquement les clés pour faciliter le contrôle et la gestion des clés et secrets de chiffrement des disques. Par conséquent, même si une personne obtient l’accès à l’image du disque dur virtuel et la télécharge, elle ne peut pas accéder aux données situées sur le disque dur virtuel.

Chiffrement en transit

Maintenez vos données sécurisées en activant la sécurité au niveau du transport entre Azure et le client. Utilisez toujours HTTPS pour sécuriser les communications sur par Internet public. Quand vous appelez les API REST pour accéder aux objets dans les comptes de stockage, vous pouvez appliquer l’utilisation du protocole HTTPS en exigeant un transfert sécurisé pour le compte de stockage. Après avoir activé le transfert sécurisé, les connexions qui utilisent le protocole HTTP sont refusées. Cet indicateur exige également un transfert sécurisé sur SMB en imposant SMB 3.0 pour tous les montages de partage de fichiers.

Prise en charge de CORS

Contoso stocke plusieurs types de ressources de site web dans Stockage Azure. Ces types incluent les images et les vidéos. Pour sécuriser les applications de navigateur, Contoso verrouille les requêtes GET dans des domaines spécifiques.

Stockage Azure prend en charge l’accès entre domaines par le biais du mécanisme CORS (Cross-Origin Resource Sharing). CORS utilise des en-têtes HTTP pour permettre à une application web sur un domaine d’accéder à des ressources à partir d’un serveur se trouvant dans un autre domaine. En utilisant CORS, les applications web garantissent qu’elles chargent uniquement du contenu autorisé à partir de sources autorisées.

La prise en charge du mécanisme CORS est un indicateur facultatif que vous pouvez activer sur les comptes de stockage. L’indicateur ajoute les en-têtes appropriés quand vous utilisez des requêtes GET HTTP pour récupérer des ressources à partir du compte de stockage.

Contrôle d’accès en fonction du rôle

Pour accéder à des données dans un compte de stockage, le client effectue une requête par HTTP ou HTTPS. Chaque requête sur une ressource sécurisée doit être autorisée. Le service vérifie que le client dispose des autorisations nécessaires pour accéder aux données. Vous pouvez choisir parmi plusieurs options d’accès. L’option la plus souple est sans doute l’accès en fonction du rôle.

Stockage Azure prend en charge l’ID Microsoft Entra et le contrôle d’accès en fonction du rôle (RBAC) pour les opérations de gestion des ressources et de données. Pour des raisons de sécurité, vous pouvez attribuer des rôles RBAC étendus au compte de stockage. Vous pouvez utiliser Active Directory pour autoriser les opérations de gestion des ressources, comme la configuration. Active Directory est pris en charge pour les opérations de données sur le stockage d’objets blob et le stockage File d’attente.

Vous pouvez attribuer des rôles RBAC à un principal de sécurité ou une identité managée pour des ressources Azure en les limitant à un abonnement, un groupe de ressources, un compte de stockage, un conteneur ou une file d’attente spécifique.

Audit de l’accès

L’audit est une autre partie du contrôle d’accès. Vous pouvez auditer l’accès à Stockage Azure en utilisant le service Storage Analytics intégré.

Storage Analytics journalise chaque opération en temps réel et vous pouvez rechercher des requêtes spécifiques dans les journaux Storage Analytics. Vous pouvez filtrer sur le mécanisme d’authentification, la réussite de l’opération ou la ressource utilisée.