Appliquer les principes Confiance Zéro au stockage Azure
Remarque
Livestream à venir Rejoignez l’équipe Azure FastTrack pour une discussion sur cet article. 23 octobre 2024 | 10:00 – 11:00 (UTC-07:00) Heure du Pacifique (États-Unis et Canada) Inscrivez-vous ici.
Résumé : pour appliquer des principes de Confiance Zéro au stockage Azure, vous devez protéger les données (au repos, en transit et en cours d’utilisation), vérifier les utilisateurs et contrôler l’accès, séparer ou séparer les données critiques avec des contrôles réseau, et utiliser Defender pour le stockage pour la détection et la protection automatisées des menaces.
Cet article fournit des étapes pour appliquer les principes de Confiance Zéro au stockage Azure :
| Principe de Confiance Zéro | Définition | Respecté par |
|---|---|---|
| Vérifier explicitement | Toujours s'authentifier et autoriser en fonction de tous les points de données disponibles. | Vérifiez les informations d'identification et l'accès de l'utilisateur. |
| Utiliser le droit d'accès minimal | Limitez l'accès utilisateur avec l'accès juste-à-temps et juste suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données. | Contrôlez l'accès aux données de stockage avec des privilèges minimum. |
| Supposer une violation | Réduisez le rayon d'explosion et segmentez l'accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses. | Protégez les données au repos, les données en transit et les données en cours d'utilisation. Séparez les données critiques avec les contrôles réseau. Utilisez Defender pour le stockage pour la détection et la protection automatisées des menaces. |
Cet article fait partie d'une série d'articles qui montrent comment appliquer les principes de Confiance Zéro dans un environnement Azure qui inclut des services de stockage Azure pour prendre en charge une charge de travail IaaS. Pour une vue d'ensemble, consultez Appliquer des principes de Confiance Zéro à l'infrastructure Azure.
Architecture de stockage dans Azure
Vous appliquez les principes de Confiance Zéro pour le stockage Azure dans l'architecture, du niveau du locataire et du répertoire au conteneur de stockage au niveau de la couche de données.
Le diagramme suivant montre les composants de l'architecture logique.
Comme le montre le diagramme :
- Le compte de stockage de l'architecture de référence est contenu dans un groupe de ressources dédié. Vous pouvez isoler chaque compte de stockage dans un groupe de ressources différent pour un contrôle d'accès en fonction du rôle (RBAC) plus précis. Vous pouvez attribuer des autorisations RBAC pour gérer le compte de stockage au niveau du groupe de ressources et les auditer avec la journalisation et les outils de Microsoft Entra ID, tels que Privileged Identity Management (PIM). Si vous exécutez plusieurs applications ou charges de travail avec plusieurs comptes de stockage correspondants dans un abonnement Azure, il est important de limiter les autorisations RBAC de chaque compte de stockage à ses propriétaires, dépositaires de données, contrôleurs, etc.
- Les services de stockage Azure pour ce diagramme sont contenus dans un compte de stockage dédié. Vous pouvez avoir un compte de stockage pour chaque type de charge de travail de stockage.
- Pour plus d'informations sur l'architecture de référence, consultez la vue d'ensemble Appliquer les principes de Confiance Zéro à Azure IaaS.
Le diagramme n'inclut pas les files d'attente Azure et les tables Azure. Utilisez les mêmes conseils dans cet article pour sécuriser ces ressources.
Que contient cet article ?
Cet article décrit les étapes à suivre pour appliquer les principes de Confiance Zéro dans l'architecture de référence.
| Step | Task | Principe(s) de Confiance Zéro appliqué(s) |
|---|---|---|
| 1 | Protéger les données dans les trois modes suivants : données au repos, données en transit et données en cours d'utilisation. | Supposer une violation |
| 2 | Vérifiez les utilisateurs et contrôlez l'accès aux données de stockage avec des privilèges minimum. | Vérifier explicitement Utiliser le droit d'accès minimal |
| 3 | Séparez logiquement ou isolez les données critiques avec des contrôles réseau. | Supposer une violation |
| 4 | Utilisez Defender pour le stockage pour la détection et la protection automatisées des menaces. | Supposer une violation |
Étape 1 : protéger les données dans les trois modes : données au repos, données en transit, données en cours d'utilisation
Vous configurez la plupart des paramètres pour protéger les données au repos, en transit et en cours d'utilisation, lorsque vous créez le compte de stockage. Utilisez les recommandations suivantes pour vous assurer de configurer ces protections. Envisagez également d'activer Microsoft Defender pour le cloud pour évaluer automatiquement vos comptes de stockage par rapport au benchmark de sécurité cloud Microsoft qui décrit une base de référence de sécurité pour chaque service Azure.
Pour plus d'informations sur ces contrôles de sécurité de stockage, voir ici.
Utiliser le chiffrement en transit
Maintenez vos données sécurisées en activant la sécurité au niveau du transport entre Azure et le client. Utilisez toujours HTTPS pour sécuriser les communications sur par Internet public. Quand vous appelez les API REST pour accéder aux objets dans les comptes de stockage, vous pouvez appliquer l'utilisation du protocole HTTPS en exigeant un Transfert sécurisé requis pour le compte de stockage. Toute demande provenant d'une connexion non sécurisée est rejetée.
Cette configuration est activée par défaut lorsque vous déployez un nouveau compte de stockage Azure (sécurisé par défaut).
Envisagez d'appliquer une stratégie pour refuser le déploiement de connexions non sécurisées pour le stockage Azure (sécurisé par conception).
Cette configuration nécessite également SMB 3.0 avec chiffrement.
Empêcher l'accès en lecture public anonyme
Par défaut, l'accès aux objets blob publics est interdit, mais un utilisateur disposant des autorisations appropriées peut configurer une ressource accessible. Pour empêcher les violations de données dues à un accès anonyme, vous devez spécifier qui a accès à vos données. Empêcher cela au niveau du compte de stockage empêche un utilisateur d'activer cet accès au niveau du conteneur ou de l'objet blob.
Pour en savoir plus, consultez la section Configure anonymous public read access for containers and blobs (Empêcher l'accès en lecture publique anonyme aux conteneurs et aux objets blob).
Empêcher l'autorisation de clé partagée
Cette configuration force le compte de stockage à rejeter toutes les demandes effectuées avec une clé partagée et à exiger l'autorisation Microsoft Entra à la place. Microsoft Entra ID est un choix plus sécurisé, car vous pouvez utiliser des mécanismes d'accès basés sur les risques pour renforcer l'accès aux niveaux des données. Pour plus d'informations, consultez Empêcher l'autorisation avec clé partagée pour un compte de stockage Azure.
Vous configurez la protection des données pour les trois modes à partir des paramètres de configuration d'un compte de stockage, comme indiqué ici.
Il n'est pas possible de changer ces paramètres après la création du compte de stockage
Appliquer une version minimale requise du protocole TLS (Transport Layer Security)
La version la plus élevée du stockage Azure prend actuellement en charge TLS 1.2. L'application d'une version TLS minimale rejette les demandes des clients utilisant des versions antérieures. Pour plus d'informations, consultez Appliquer une version minimale requise du protocole TLS pour des demandes adressées à un compte de stockage.
Définir l'étendue des opérations de copie
Définissez l'étendue des opérations de copie pour restreindre uniquement les opérations de copie à celles des comptes de stockage sources qui se trouvent dans le même locataire Microsoft Entra ou qui ont une liaison privée vers le même réseau virtuel (VNet) que le compte de stockage de destination.
La limitation des opérations de copie aux comptes de stockage source avec des points de terminaison privés est l'option la plus restrictive et nécessite que le compte de stockage source ait des points de terminaison privés activés.
Vous configurez une étendue pour les opérations de copie à partir des paramètres de configuration d'un compte de stockage, comme illustré ici.
Présentation du fonctionnement du chiffrement au repos
Toutes les données écrites dans Stockage Azure sont automatiquement chiffrées par la fonctionnalité SSE (Storage Service Encryption) avec un chiffrement AES (Advanced Encryption Standard) 256 bits. SSE chiffre automatiquement les données lors de leur écriture dans Stockage Azure. Quand vous lisez des données depuis Stockage Azure, le service déchiffre les données avant de les retourner. Ce processus n'implique aucuns frais supplémentaires ni aucune dégradation des performances. L'utilisation de clés gérées par le client (CMK) fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement à clé ou d'effacer des données par chiffrement.
Vous activez CMK à partir du panneau Chiffrement lors de la création d'un compte de stockage, comme indiqué ici.
Vous pouvez également activer le chiffrement d'infrastructure, qui fournit un chiffrement double au niveau du service et de l'infrastructure. Il n'est pas possible de changer ce paramètre après la création du compte de stockage
Remarque
Pour utiliser une clé gérée par le client pour le chiffrement du compte de stockage, vous devez l'activer lors de la création du compte et disposer d'un coffre de clés avec une clé et une identité managée avec les autorisations appropriées déjà configurées. Vous pouvez éventuellement activer le chiffrement AES 256 bits au niveau de l'infrastructure de stockage Azure.
Étape 2 : vérifier les utilisateurs et contrôler l'accès aux données de stockage avec les privilèges minimum
Tout d'abord, utilisez Microsoft Entra ID pour régir l'accès aux comptes de stockage. L'utilisation du contrôle d'accès en fonction du rôle avec des comptes de stockage vous permet de définir de manière granulaire la fonction de travail basée sur l'accès à l'aide d'OAuth 2.0. Vous pouvez aligner votre accès granulaire à votre stratégie d'accès conditionnel.
Il est important de noter que les rôles pour les comptes de stockage doivent être attribués au niveau de la gestion ou des données. Par conséquent, si vous utilisez Microsoft Entra ID comme méthode d'authentification et d'autorisation, un utilisateur doit recevoir la combinaison appropriée de rôles pour lui donner le moins de privilège nécessaire pour terminer sa fonction de travail.
Pour obtenir la liste des rôles de compte de stockage pour un accès granulaire, consultez Rôles intégrés Azure pour le stockage. Les attributions RBAC sont effectuées via l'option Contrôle d'accès sur le compte de stockage et peuvent être affectées à différentes étendues.
Vous configurez le contrôle d'accès à partir des paramètres de contrôle d'accès (IAM) d'un compte de stockage, comme illustré ici.
Vous pouvez vérifier les niveaux d'accès des utilisateurs, des groupes, des principaux de service ou des identités managées et ajouter une attribution de rôle.
Une autre façon de fournir des autorisations limitées dans le temps consiste à utiliser des signatures d'accès partagé (SAS). Les meilleures pratiques lors de l'utilisation de SAS à un niveau élevé sont les suivantes :
- Toujours utiliser HTTPS. Si vous avez déployé les stratégies Azure suggérées pour les zones d'atterrissage Azure, le transfert sécurisé via HTTPS est audité.
- Ayez un plan de révocation.
- Configurez des stratégies d'expiration SAS.
- Validez vos autorisations.
- Utilisez une SAS de délégation d'utilisateur lorsque c'est possible. Cette SAP est signée avec les informations d’identification Microsoft Entra ID.
Étape 3 : séparer logiquement ou isoler les données critiques avec des contrôles réseau
Dans cette étape, vous utilisez les contrôles recommandés pour protéger les connexions réseau vers et depuis les services de stockage Azure.
Le diagramme suivant met en évidence les connexions réseau aux services de stockage Azure dans l'architecture de référence.
| Tâche | Description |
|---|---|
| Empêchez l'accès public, créez une segmentation réseau avec un point de terminaison privé et une liaison privée. | Le point de terminaison privé vous permet de vous connecter aux services avec l'utilisation d'une seule adresse IP privée sur le réseau virtuel à l'aide d'Azure Private Link. |
| Utiliser Azure Private Link | Utilisez Azure Private Link pour accéder au stockage Azure sur un point de terminaison privé dans votre réseau virtuel. Utilisez le flux de travail d'approbation pour approuver automatiquement ou demander manuellement, le cas échéant. |
| Empêcher l'accès public à vos sources de données à l'aide de points de terminaison de service | Vous pouvez effectuer une segmentation réseau à l'aide de points de terminaison de service en activant des adresses IP privées dans un réseau virtuel pour atteindre un point de terminaison sans utiliser d'adresses IP publiques. |
Vous configurez des points de terminaison privés à partir des paramètres Réseaux d'un compte de stockage, comme illustré ici.
Étape 4 : utiliser Defender pour le stockage pour la détection et la protection automatisées des menaces
Microsoft Defender pour le stockage fournit une couche supplémentaire d'informations qui détecte les tentatives inhabituelles et potentiellement dangereuses d'accès ou d'exploitation de vos services de stockage. Microsoft Defender pour le stockage est intégré à Microsoft Defender pour le cloud.
Defender pour le stockage détecte les alertes de modèle d'accès anormales telles que :
- Accès à partir d'emplacements inhabituels
- Anomalie d'application
- Accès anonyme
- Alertes d'extraction/de chargement anormal(e)
- Exfiltration de données
- Suppression inattendue
- Chargement de package de service cloud Azure
- Alertes d'activités suspectes de stockage
- Modification d'autorisation d'accès
- Inspection d'accès
- Exploration des données
Pour plus d'informations, sur la protection contre les menaces dans l'architecture de référence, consultez la vue d'ensemble Appliquer les principes de Confiance Zéro à Azure IaaS.
Une fois activé, Defender pour le stockage vous avertit des alertes de sécurité et des recommandations pour améliorer l'état de la sécurité de vos comptes de stockage Azure.
Voici un exemple d'alerte de sécurité pour un compte de stockage avec une description des mesures d'alerte et de prévention mises en évidence.
Illustrations techniques
Ces illustrations sont des réplicas des illustrations de référence dans ces articles. Téléchargez et personnalisez-les pour votre propre organisation et clients. Remplacez le logo Contoso par votre propre logo.
| Élément | Description |
|---|---|
 Télécharger Visio Mise à jour d’octobre 2024 |
Appliquez les principes de Confiance zéro à Azure IaaS Utilisez ces illustrations avec ces articles : - Vue d’ensemble - Azure Storage - Machines virtuelles - Réseaux virtuels Spoke Azure - Réseaux virtuels Azure Hub |
 Télécharger Visio Mise à jour d’octobre 2024 |
Appliquer Confiance Zéro principes à Azure IaaS – Affiche d’une page Vue d’ensemble d’une page du processus d’application des principes de Confiance Zéro aux environnements IaaS Azure. |
Pour obtenir des illustrations techniques supplémentaires, consultez Confiance Zéro illustrations pour les architectes et les implémenteurs informatiques.
Recommandé pour la formation
Configurer la sécurité du stockage
| Formation | Configurer la sécurité du stockage |
|---|---|
|
Découvrez comment configurer les fonctionnalités de sécurité courantes du stockage Azure, telles que les signatures d'accès au stockage. Dans ce module, vous allez découvrir comment : |
Pour plus de formation sur la sécurité dans Azure, consultez ces ressources dans le catalogue Microsoft :
Sécurité dans Azure | Microsoft Learn
Étapes suivantes
Consultez ces articles supplémentaires pour appliquer les principes de Confiance Zéro à Azure :
- Vue d'ensemble d'Azure IaaS
- Azure Virtual Desktop
- Azure Virtual WAN
- Applications IaaS dans Amazon Web Services
- Microsoft Sentinel et Microsoft Defender XDR
Références
Reportez-vous aux liens ci-dessous pour en savoir plus sur les différents services et technologies mentionnés dans cet article.
- Transfert sécurisé pour les comptes de stockage Azure
- Empêcher l'accès en lecture public anonyme aux conteneurs et aux objets blob
- Empêcher l'autorisation avec clé partagée pour un compte de stockage Azure
- Sécurité réseau pour les comptes de stockage
- Points de terminaison privés et liaison privée pour les comptes de stockage
- Storage Service Encryption (SSE)
- Contrôle d'accès en fonction du rôle pour les comptes de stockage
- Sauvegarde de blobs Azure
- Bonnes pratiques lors de l'utilisation de SAS
- Examiner les points de terminaison privés
- Examiner les points de terminaison de service
- Microsoft Defender pour Stockage