Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Stockage Azure fournit plusieurs couches de sécurité réseau pour protéger vos données et contrôler l’accès à vos comptes de stockage. Cet article fournit une vue d’ensemble des principales fonctionnalités de sécurité réseau et des options de configuration disponibles pour les comptes stockage Azure. Vous pouvez sécuriser votre compte de stockage en exigeant des connexions HTTPS, en implémentant des points de terminaison privés pour une isolation maximale ou en configurant l’accès au point de terminaison public via des règles de pare-feu et des périmètres de sécurité réseau. Chaque approche offre différents niveaux de sécurité et de complexité, ce qui vous permet de choisir la bonne combinaison en fonction de vos exigences spécifiques, de l’architecture réseau et des stratégies de sécurité.
Remarque
Les clients qui effectuent des demandes à partir de sources autorisées doivent également répondre aux exigences d’autorisation du compte de stockage. Pour en savoir plus sur l’autorisation de compte, consultez Autoriser l’accès aux données dans Stockage Azure.
Connexions sécurisées (HTTPS)
Par défaut, les comptes de stockage acceptent uniquement les demandes via HTTPS. Toutes les demandes effectuées via le protocole HTTP sont rejetées. Nous vous recommandons de demander un transfert sécurisé pour tous vos comptes de stockage, sauf lorsque les partages de fichiers Azure NFS sont utilisés avec la sécurité au niveau du réseau. Pour vérifier que votre compte accepte uniquement les demandes provenant de connexions sécurisées, vérifiez que la propriété requise de transfert sécurisé du compte de stockage est activée. Pour plus d’informations, consultez Exiger un transfert sécurisé pour garantir des connexions sécurisées.
Points de terminaison privés
Si possible, créez des liens privés vers votre compte de stockage pour sécuriser l’accès via un point de terminaison privé. Un point de terminaison privé attribue une adresse IP privée de votre réseau virtuel à votre compte de stockage. Les clients se connectent à votre compte de stockage à l’aide de la liaison privée. Le trafic est acheminé sur le réseau principal Microsoft, ce qui garantit qu’il ne se déplace pas sur l’Internet public. Vous pouvez affiner les règles d’accès à l’aide de stratégies réseau pour les points de terminaison privés. Pour autoriser le trafic uniquement à partir de liaisons privées, vous pouvez bloquer tout accès sur le point de terminaison public. Les points de terminaison privés entraînent des coûts supplémentaires, mais fournissent une isolation réseau maximale. Pour plus d’informations, consultez Utiliser des points de terminaison privés pour stockage Azure.
Points de terminaison publics
Le point de terminaison public de votre compte de stockage est accessible via une adresse IP publique. Vous pouvez sécuriser le point de terminaison public de votre compte de stockage à l’aide de règles de pare-feu ou en ajoutant votre compte de stockage à un périmètre de sécurité réseau.
Règles de pare-feu
Les règles de pare-feu vous permettent de limiter le trafic vers votre point de terminaison public. Ils n’affectent pas le trafic vers un point de terminaison privé.
Vous devez activer les règles de pare-feu avant de pouvoir les configurer. L’activation des règles de pare-feu bloque toutes les requêtes entrantes par défaut. Les demandes sont autorisées uniquement si elles proviennent d’un client ou d’un service qui opère dans une source que vous spécifiez. Vous activez les règles de pare-feu en définissant la règle d’accès réseau public par défaut du compte de stockage. Pour savoir comment procéder, consultez Définir la règle d’accès réseau public par défaut d’un compte de stockage Azure.
Utilisez des règles de pare-feu pour autoriser le trafic à partir de l’une des sources suivantes :
- Sous-réseaux spécifiques dans un ou plusieurs réseaux virtuels Azure
- Plages d'adresses IP
- Instances de ressources
- Services Azure approuvés
Pour plus d’informations, consultez les règles de pare-feu stockage Azure.
Les paramètres de pare-feu sont spécifiques à un compte de stockage. Si vous souhaitez gérer un ensemble unique de règles entrantes et sortantes autour d’un groupe de comptes de stockage et d’autres ressources, envisagez de configurer un périmètre de sécurité réseau.
Périmètre de sécurité réseau
Une autre façon de limiter le trafic vers votre point de terminaison public consiste à inclure votre compte de stockage dans un périmètre de sécurité réseau. Un périmètre de sécurité réseau protège également contre l’exfiltration des données en vous permettant de définir des règles de trafic sortant. Un périmètre de sécurité réseau peut être particulièrement utile lorsque vous souhaitez établir une limite de sécurité autour d’une collection de ressources. Cela peut inclure plusieurs comptes de stockage et d’autres ressources PaaS (Platform as a Service). Un périmètre de sécurité réseau fournit un ensemble plus complet de contrôles entrants, sortants et de PaaS à PaaS qui peuvent être appliqués à l’ensemble du périmètre, plutôt que d’être configurés individuellement sur chaque ressource. Elle peut également réduire une partie de la complexité de l’audit du trafic.
Pour plus d’informations, consultez le périmètre de sécurité réseau pour stockage Azure.
Étendues des opérations de copie (aperçu)
Vous pouvez utiliser la fonctionnalité d'aperçu de l'étendue permise pour les opérations de copie afin de restreindre la copie des données vers des comptes de stockage en limitant les sources uniquement au même client Microsoft Entra ou au même réseau virtuel avec des liens privés. Cela peut empêcher l’infiltration de données indésirables à partir d’environnements non approuvés. Pour plus d’informations, consultez Restreindre la source des opérations de copie à un compte de stockage.