Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Le périmètre de sécurité réseau permet aux organisations de définir une limite d’isolation réseau logique pour les ressources PaaS (par exemple, Stockage Blob Azure et SQL Database) déployées en dehors de leurs réseaux virtuels. La fonctionnalité restreint l’accès du réseau public aux ressources PaaS en dehors du périmètre. Cependant, vous pouvez exempter un accès en utilisant des règles d’accès explicites pour le trafic public entrant et sortant. Cela permet d’empêcher l’exfiltration de données indésirables de vos ressources de stockage. Dans un périmètre de sécurité réseau, les ressources membres peuvent communiquer librement entre elles. Les règles de périmètre de sécurité réseau remplacent les propres paramètres de pare-feu du compte de stockage. L'accès à partir du périmètre prend la plus haute priorité sur d'autres restrictions réseau.
Vous trouverez ici la liste des services intégrés au périmètre de sécurité réseau. Si un service n’est pas répertorié, il n’est pas encore intégré. Pour autoriser l’accès à une ressource spécifique à partir d’un service non intégré, vous pouvez créer une règle basée sur un abonnement pour le périmètre de sécurité réseau. Une règle basée sur un abonnement accorde l’accès à toutes les ressources de cet abonnement. Pour plus d’informations sur l’ajout d’une règle d’accès basée sur un abonnement, consultez cette documentation.
Modes d'accès
Lors de l’intégration de comptes de stockage à un périmètre de sécurité réseau, vous pouvez commencer en mode Transition (anciennement mode Apprentissage) ou passer directement en mode Appliqué. Le mode de transition (valeur par défaut) permet au compte de stockage de revenir aux règles de pare-feu existantes ou aux paramètres de « services approuvés » si une règle de périmètre n’autorise pas encore une connexion. Le mode appliqué bloque strictement tout le trafic entrant et sortant public, sauf autorisation explicite par une règle de périmètre de sécurité réseau, garantissant ainsi une protection maximale pour votre compte de stockage. En mode appliqué, même les exceptions « service approuvé » d’Azure ne sont pas respectées. Les ressources Azure pertinentes ou des abonnements spécifiques doivent être explicitement autorisés via des règles de périmètre si nécessaire.
Important
Les comptes de stockage d’exploitation en mode Transition (anciennement Learning) doivent servir uniquement en tant qu’étape de transition. Les acteurs malveillants peuvent exploiter des ressources non sécurisées pour exfiltrer des données. Par conséquent, il est essentiel de passer à une configuration entièrement sécurisée dès que possible avec le mode d’accès défini sur Appliqué.
Priorité réseau
Lorsqu’un compte de stockage fait partie d’un périmètre de sécurité réseau, les règles d’accès du profil pertinentes remplacent les propres paramètres de pare-feu du compte, devenant le gardien de réseau de niveau supérieur. L’accès autorisé ou refusé par le périmètre est prioritaire, et les paramètres « Réseaux autorisés » du compte sont ignorés lorsque le compte de stockage est associé en mode appliqué. La suppression du compte de stockage d’un périmètre de sécurité réseau rétablit le contrôle de son pare-feu habituel. Les périmètres de sécurité réseau n’affectent pas le trafic de point de terminaison privé. Les connexions via une liaison privée réussissent toujours. Pour les services Azure internes (« services approuvés »), seuls les services explicitement intégrés au périmètre de sécurité réseau peuvent être autorisés via des règles d’accès au périmètre. Sinon, leur trafic est bloqué par défaut, même s’il est approuvé sur les règles de pare-feu du compte de stockage. Pour les services non encore intégrés, les alternatives incluent des règles au niveau de l’abonnement pour les noms de domaine entrants et complets (FQDN) pour l’accès sortant ou via des liens privés.
Important
Le trafic d’un point de terminaison privé est considéré comme hautement sécurisé et il n’est donc pas soumis aux règles du périmètre de sécurité réseau. Tout autre trafic, y compris les services approuvés, est soumis aux règles de périmètre de sécurité réseau si le compte de stockage est associé à un périmètre.
Couverture des fonctionnalités sous périmètre de sécurité réseau
Lorsqu’un compte de stockage est associé à un périmètre de sécurité réseau, toutes les opérations standard du plan de données pour les objets blobs, les fichiers, les tables et les files d’attente sont prises en charge, sauf indication contraire dans les limitations connues. Toutes les opérations HTTPS basées sur Azure Blob Storage, Azure Data Lake Storage Gen2, Azure Files, Azure Table Storage et Azure Queue Storage peuvent être limitées grâce au périmètre de sécurité réseau.
Limitations
| Feature | État de la prise en charge | Recommendations |
|---|---|---|
| Réplication d’objets pour Stockage Blob Azure | Non pris en charge. La réplication d’objets entre les comptes de stockage échoue si le compte source ou de destination est associé à un périmètre de sécurité réseau | Ne configurez pas le périmètre de sécurité réseau sur les comptes de stockage qui ont besoin de la réplication d’objets. De même, n’activez pas la réplication d’objets sur les comptes associés au périmètre de sécurité réseau tant que la prise en charge n’est pas disponible. Si la réplication d’objets est déjà activée, vous ne pouvez pas associer un périmètre de sécurité réseau. De même, si un périmètre de sécurité réseau est déjà associé, vous ne pouvez pas activer la réplication d’objets. Cette restriction vous empêche de configurer un scénario non pris en charge. |
| Accès au système de fichiers réseau (NFS) via les objets blob Azure et Azure Files, l’accès au bloc de messages serveur (SMB) via Azure Files et le protocole de transfert de fichiers SSH (SFTP) sur les objets blob Azure | Tous les protocoles autres que l’accès https sont bloqués lorsque le compte de stockage est associé à un périmètre de sécurité réseau | Si vous devez utiliser l’un de ces protocoles pour accéder à votre compte de stockage, n’associez pas le compte à un périmètre de sécurité réseau |
| Azure Backup | Non pris en charge. La sauvegarde Azure en tant que service n’est pas encore intégrée au périmètre de sécurité réseau. | Nous vous déconseillons d’associer un compte à un périmètre de sécurité réseau si vous avez des sauvegardes activées ou si vous envisagez d’utiliser Sauvegarde Azure. Une fois la sauvegarde Azure intégrée au périmètre de sécurité réseau, vous pouvez commencer à utiliser ces deux fonctionnalités ensemble |
| Disques non managés | Les disques non managés ne respectent pas les règles de périmètre de sécurité réseau. | Éviter d’utiliser des disques non managés sur des comptes de stockage protégés par le périmètre de sécurité réseau |
| Site web statique | Non prise en charge | Le site web statique, ouvert par nature, ne peut pas être utilisé avec le périmètre de sécurité réseau. Si le site web statique est déjà activé, vous ne pouvez pas associer un périmètre de sécurité réseau. De même, si un périmètre de sécurité réseau est déjà associé, vous ne pouvez pas activer le site web statique. Cette restriction vous empêche de configurer un scénario non pris en charge. |
Warning
Pour les comptes de stockage associés à un périmètre de sécurité réseau, afin que les scénarios de clés gérées par le client (CMK) fonctionnent, assurez-vous que Azure Key Vault est accessible à partir du périmètre auquel le compte de stockage est associé.
Associer un périmètre de sécurité réseau à un compte de stockage
Pour associer un périmètre de sécurité réseau à un compte de stockage, suivez ces instructions communes à toutes les ressources PaaS.
Étapes suivantes
- Découvrez-en davantage sur les points de terminaison de service de réseau virtuel Azure.
- Explorez plus en détail les recommandations de sécurité pour Stockage Blob Azure.
- Activez les journaux de diagnostic pour le périmètre de sécurité réseau.