Présentation de la sécurité du plan de données Azure NetApp Files

Découvrez les différentes fonctionnalités de sécurité du plan de données dans Azure NetApp Files afin de savoir ce qui est disponible pour répondre le mieux à vos besoins.

Concepts de sécurité du plan de données

Comprendre le plan de données est crucial lors de l’utilisation d’Azure NetApp Files. Le plan de données est responsable des opérations de stockage et de gestion des données, et joue un rôle essentiel dans le maintien de la sécurité et de l’efficacité. Azure NetApp Files fournit une suite complète de fonctionnalités de sécurité du plan de données, notamment la gestion des autorisations, le chiffrement des données (en cours et au repos), le chiffrement LDAP (Lightweight Directory Access Protocol) et la sécurité réseau afin de garantir la gestion et le stockage sécurisés des données.

Gestion des autorisations

Azure NetApp Files sécurise les données des périphériques NAS (Network Attached Storage) par le biais d’autorisations, classées en types NFS (Network File System) et SMB (Server Message Block). La première couche de sécurité est l’accès au partage, limité aux utilisateurs et groupes nécessaires. Les autorisations de partage, étant les moins restrictives, doivent suivre une logique d’entonnoir, octroyant un accès plus étendu au niveau du partage et des contrôles plus granulaires pour les fichiers et dossiers sous-jacents.

La sécurisation de vos données NAS dans Azure NetApp Files implique de gérer efficacement les autorisations. Les autorisations sont classées en deux types principaux :

• Autorisations d’accès au partage : ces autorisations contrôlent qui peut monter un volume NAS ainsi que les autorisations de base pour la lecture/écriture.

  • Exportations NFS : utilise des adresses IP ou des noms d’hôtes pour contrôler l’accès.
  • Partages SMB : utilise des listes de contrôle d’accès (ACL) d’utilisateurs et de groupes.

• Autorisations d’accès aux fichiers : elles déterminent ce que les utilisateurs et les groupes peuvent faire une fois qu’un volume NAS est monté. Il s'agit de :

  • Appliquées à des fichiers et dossiers spécifiques.
  • Plus granulaires que les autorisations de partage.

Autorisations d’accès au partage

Stratégies d’exportation NFS :

• Les volumes sont partagés avec les clients NFS en exportant un chemin accessible à un client ou à un ensemble de clients.
• Des stratégies d’exportation contrôlent l’accès. Les stratégies d’exportation sont des conteneurs pour un ensemble de règles d’accès répertoriées dans l’ordre d’accès souhaité. Les règles de priorité supérieure sont lues et appliquées en premier, et les règles suivantes pour un client sont ignorées.
• Les règles utilisent des sous-réseaux ou des adresses IP clientes pour contrôler l’accès. Si un client n’est pas répertorié dans une règle de stratégie d’exportation, il ne peut pas monter l’exportation NFS.
• Les stratégies d’exportation contrôlent comment l’utilisateur racine est présenté à un client. Si l’utilisateur racine est « écrasé » (Accès racine = Désactivé), la racine pour les clients mentionnés dans cette règle est résolue en UID anonyme 65534.

Partages SMB :

• L’accès est contrôlé par le biais de listes ACL d’utilisateurs et de groupes.
• Les autorisations peuvent inclure la lecture, la modification et le contrôle total.

Pour plus d’informations, consultez Présentation des autorisations de partage NAS.

Autorisations d’accès aux fichiers

Autorisations de fichiers SMB :

• Les attributs incluent les autorisations de lecture, d’écriture, de suppression et de modification, la prise de possession ainsi que des autorisations plus granulaires prises en charge par Windows.
• Les autorisations peuvent être héritées des dossiers parents aux objets enfants.

Autorisations de fichiers NFS :

• NFSv3 et NFSv4.x utilisent des autorisations de fichiers UNIX traditionnelles représentées par des bits de mode.
• NFSv4.1 prend également en charge les autorisations avancées à l’aide de listes ACL NFSv4.1.

Pour plus d’informations sur les autorisations d’accès aux fichiers, consultez Présentation des autorisations de fichiers NAS et Présentation des autorisations de fichiers SMB.

Héritage d'autorisations

L’héritage des autorisations permet à un dossier parent d’appliquer automatiquement ses autorisations à tous ses objets enfants, y compris les fichiers et les sous-répertoires. Lorsque vous définissez des autorisations sur un répertoire parent, ces mêmes autorisations sont appliquées aux nouveaux fichiers et sous-répertoires créés dans celui-ci.

SMB :

• Le contrôle s’effectue dans la vue d’autorisations avancées.
• Des indicateurs d’héritage peuvent être définis pour propager les autorisations des dossiers parents aux objets enfants.

NFS :

• NFSv3 utilise les indicateurs umask et setgid pour imiter l’héritage.
• NFSv4.1 utilise des indicateurs d’héritage sur les listes ACL.

Pour plus d’informations sur l’héritage des autorisations, consultez Présentation des autorisations de fichiers NAS, Présentation des bits de mode NFS et Présentation des listes ACL NFSv4.x.

À propos de l’installation

• Les autorisations les plus restrictives s’appliquent : lorsque des autorisations en conflit sont présentes, l’autorisation la plus restrictive est prioritaire. Par exemple, si un utilisateur dispose d’un accès en lecture seule au niveau du partage, mais d’un contrôle total au niveau du fichier, il disposera uniquement d’un accès en lecture seule.
• Logique en entonnoir : les autorisations de partage doivent être plus permissives que les autorisations de fichier et de dossier. Appliquez des contrôles plus granulaires et restrictifs au niveau du fichier.

Chiffrement des données en transit

Le chiffrement Azure NetApp Files en transit fait référence à la protection des données durant leur déplacement entre votre client et le service Azure NetApp Files. Le chiffrement garantit que les données sont sécurisées et ne peuvent pas être interceptées ou lues par des parties non autorisées pendant la transmission.

Protocoles et méthodes de chiffrement

NFSv4.1 prend en charge le chiffrement à l’aide de Kerberos avec le chiffrement AES-256, ce qui garantit que les données transférées entre les clients NFS et le volume Azure NetApp Files sont sécurisées.

• Modes Kerberos : Azure NetApp Files prend en charge les modes de chiffrement Kerberos krb5, krb5i et krb5p. Ces modes fournissent différents niveaux de sécurité, krb5p offrant le niveau de protection le plus élevé en chiffrant à la fois les données et les contrôles d’intégrité.

Pour plus d’informations sur le chiffrement NFSv4.1, consultez Présentation du chiffrement des données et Configurer le chiffrement Kerberos NFSv4.1.

SMB3 prend en charge le chiffrement à l’aide d’algorithmes AES-CCM et AES-GCM, fournissant un transfert de données sécurisé sur le réseau.

• Chiffrement de bout en bout : le chiffrement SMB est effectué de bout en bout. L’ensemble de la conversation SMB, englobant tous les paquets de données échangés entre le client et le serveur, est chiffré.
• Algorithmes de chiffrement : Azure NetApp Files prend en charge les suites de chiffrement AES-256-GCM et AES-128-CCM pour le chiffrement SMB. Ces algorithmes fournissent une sécurité robuste pour les données en transit.
• Versions de protocole : le chiffrement SMB est disponible avec les versions de protocole SMB 3.x. Cela garantit la compatibilité avec les normes de chiffrement modernes, et offre des fonctionnalités de sécurité améliorées.

Pour plus d’informations sur le chiffrement SMB, consultez Présentation du chiffrement des données.

Chiffrement des données au repos

Le chiffrement au repos protège vos données pendant qu’elles sont stockées sur le disque. Même si le média de stockage physique est sollicité par des individus non autorisés, les données restent illisibles sans les clés de déchiffrement appropriées.

Il existe deux types de chiffrement au repos dans Azure NetApp Files :

• Le chiffrement unique utilise un chiffrement logiciel pour protéger les données au repos. Azure NetApp Files utilise des clés de chiffrement AES-256, qui sont conformes à la norme FIPS (Federal Information Processing Standards) 140-2.

• Le chiffrement double offre deux niveaux de protection de chiffrement : une couche de chiffrement basée sur le matériel (lecteurs SSD chiffrés) et une couche de chiffrement logiciel. La couche de chiffrement basée sur le matériel réside au niveau du stockage physique, à l’aide de lecteurs certifiés FIPS 140-2. La couche de chiffrement basée sur le logiciel se trouve au niveau du volume, ce qui termine le deuxième niveau de protection du chiffrement.

Pour plus d’informations sur le chiffrement des données au repos, consultez Présentation du chiffrement des données et Double chiffrement au repos.

Gestion des clés

Le plan de données gère les clés de chiffrement utilisées pour chiffrer et déchiffrer les données. Ces clés peuvent être gérées par la plateforme ou par le client :

• Les clés gérées par la plateforme sont gérées automatiquement par Azure, ce qui garantit un stockage et une rotation des clés sécurisés.
• Les clés gérées par le client sont stockées dans Azure Key Vault, ce qui vous permet de gérer le cycle de vie, les autorisations d’utilisation et l’audit de vos clés de chiffrement.
• Les clés gérées par le client avec le module de sécurité matériel managé (HSM) sont une extension aux clés gérées par le client pour la fonctionnalité de chiffrement de volume Azure NetApp Files. L’extension HSM vous permet de stocker vos clés de chiffrement dans un HSM FIPS 140-2 de niveau 3 plus sécurisé au lieu du service FIPS 140-2 de niveau 1 ou de niveau 2 utilisé par Azure Key Vault (AKV).

Pour plus d’informations sur la gestion des clés Azure NetApp Files, consultez Comment les clés de chiffrement sont gérées, configurer des clés gérées par le client ou des clés gérées par le client avec HSM managé.

Chiffrement LDAP (Lightweight Directory Access Protocol)

Le chiffrement LDAP au niveau du plan de données garantit la sécurisation des communications entre les clients et le serveur LDAP. Le chiffrement LDAP opère dans Azure NetApp Files avec

• Méthodes de chiffrement : le trafic LDAP peut être chiffré à l’aide du protocole TLS (Transport Layer Security) ou de la signature LDAP. TLS chiffre l’ensemble des canaux de communication, tandis que la signature LDAP garantit l’intégrité des messages en ajoutant une signature numérique.
• Configuration TLS : LDAP sur StartTLS utilise le port 389 pour la connexion LDAP. Une fois la connexion LDAP initiale établie, un OID StartTLS est échangé et les certificats sont comparés. Ensuite, tout le trafic LDAP est chiffré à l’aide de TLS. Signature LDAP : cette méthode ajoute une couche de sécurité en signant les messages LDAP avec chiffrement AES, ce qui permet de vérifier l’authenticité et l’intégrité des données transmises.
• Intégration à Active Directory : Azure NetApp Files prend en charge l’intégration à Active Directory, qui peut être configuré de façon à utiliser ces méthodes de chiffrement pour sécuriser les communications LDAP. Actuellement, seul Active Directory peut être utilisé pour les services LDAP.

Pour plus d’informations sur LDAP, consultez Présentation de l’utilisation du protocole LDAP.

Sécurité du réseau

La sécurisation de vos données avec Azure NetApp Files implique l’utilisation de plusieurs couches de protection. L’utilisation de points de terminaison privés et de groupes de sécurité réseau (NSG) est essentielle pour garantir que vos données restent sécurisées au sein de votre réseau virtuel et qu’elles sont accessibles uniquement au trafic autorisé. Cette approche combinée offre une stratégie de sécurité complète pour protéger vos données contre les menaces potentielles.

Instances Private Endpoint

Les points de terminaison privés sont des interfaces réseau spécialisées qui facilitent une connexion sécurisée et privée aux services Azure via Azure Private Link. Ils utilisent une adresse IP privée au sein de votre réseau virtuel, intégrant par là même le service dans la structure interne de votre réseau.

Avantages en matière de sécurité

• Isolation : les points de terminaison privés garantissent que le trafic Azure NetApp Files reste dans votre réseau virtuel, loin de l’Internet public. Cette isolation réduit le risque d’exposition aux menaces externes.
• Contrôle d’accès : vous pouvez appliquer des stratégies d’accès pour vos volumes Azure NetApp Files en configurant des règles de sécurité réseau sur le sous-réseau associé au point de terminaison privé. Ce contrôle garantit que seul le trafic autorisé peut interagir avec vos données.
• Conformité : les points de terminaison privés prennent en charge la conformité réglementaire en empêchant le trafic de données de traverser l’Internet public, respectant ainsi les exigences en matière de gestion sécurisée des données sensibles.

Groupes de sécurité réseau (NSG)

Les NSG sont des collections de règles de sécurité qui régissent le trafic entrant et sortant vers les interfaces réseau, les machines virtuelles et les sous-réseaux au sein d’Azure. Ces règles sont instrumentales pour définir les contrôles d’accès et les modèles de trafic au sein de votre réseau. Les NSG ne sont pris en charge que lors de l’utilisation des fonctionnalités Réseau standard dans Azure NetApp Files.

Avantages en matière de sécurité

• Filtrage du trafic : les NSG permettent de créer des règles de filtrage de trafic précises en fonction des adresses IP sources et de destination, des ports et des protocoles. Cela garantit que seul le trafic autorisé peut atteindre vos volumes Azure NetApp Files.
• Segmentation : en appliquant des NSG aux sous-réseaux qui hébergent vos volumes Azure NetApp Files, vous pouvez segmenter et isoler le trafic réseau. La segmentation réduit efficacement la surface d’attaque et améliore la sécurité globale.
• Surveillance et journalisation : les NSG offrent des fonctionnalités de surveillance et de journalisation via les journaux de flux de groupe de sécurité réseau. Ces journaux sont essentiels pour le suivi des modèles de trafic, la détection des menaces de sécurité potentielles et la conformité aux stratégies de sécurité.

Pour plus d’informations, consultez Groupes de sécurité réseau et Qu’est-ce qu’un point de terminaison privé ?.

Plus d’informations

• Présentation des autorisations de partage NAS dans Azure NetApp Files
• Présentation des protocoles NAS dans Azure NetApp Files
• Présentation du chiffrement des données dans Azure NetApp Files
• FAQ sur la sécurité dans Azure NetApp Files
• Consignes pour planifier un réseau Azure NetApp Files