Écrire un audit sur un compte de stockage situé derrière un réseau virtuel et un pare-feu

S’applique à : Azure SQL Database Azure Synapse Analytics

L’audit pour Azure SQL Database et Azure Synapse Analytics prend en charge l’écriture d’événements de base de données sur un compte Stockage Azure situé derrière un réseau virtuel et un pare-feu.

Cet article explique deux façons de configurer Azure SQL Database et le compte de stockage Azure pour cette option. La première utilise le Portail Azure, la seconde utilise REST.

Arrière-plan

Réseau virtuel Microsoft Azure (VNet) est le bloc de construction fondamental pour votre réseau privé dans Azure. Le réseau virtuel permet à de nombreux types de ressources Azure, telles que les machines virtuelles (VM) Azure, de communiquer de manière sécurisée entre elles, avec Internet et avec les réseaux locaux. Le réseau virtuel est similaire à un réseau traditionnel dans votre propre centre de données, mais avec les avantages supplémentaires de l’infrastructure Azure, tels que la mise à l’échelle, la disponibilité et l’isolation.

Pour en savoir plus sur les concepts de réseau virtuel, les meilleures pratiques et bien plus encore, consultez Présentation de Réseau virtuel Microsoft Azure.

Pour en savoir plus sur la création d’un réseau virtuel, consultez Démarrage rapide : Créer un réseau virtuel avec le portail Azure.

Prérequis

Pour que l’audit écrive dans un compte de stockage situé derrière un réseau virtuel ou un pare-feu, les conditions préalables suivantes sont requises :

• Un compte de stockage universel v2. Si vous disposez d’un compte de stockage universel v1 ou d’un compte de stockage blob, mettez-les à niveau vers un compte de stockage universel v2. Pour plus d’informations, consultez Types de comptes de stockage.
• Le stockage Premium avec BlockBlobStorage est pris en charge
• Le compte de stockage doit se trouver sur le même locataire et au même emplacement que le serveur SQL logique (il peut se trouver sur des abonnements différents).
• Le compte Stockage Azure requiert Allow trusted Microsoft services to access this storage account. Définissez ce paramètre sur le compte de stockage Pare-feu et réseaux virtuels.
• Vous devez disposer de l’autorisation Microsoft.Authorization/roleAssignments/write sur le compte de stockage sélectionné. Pour plus d’informations, voir Rôles intégrés Azure.

Notes

Lorsque l’audit du compte de stockage est déjà activé sur un serveur ou une base de données, et si le compte de stockage cible est déplacé derrière un pare-feu, nous perdons l’accès en écriture au compte de stockage, et les journaux d’audit cessent d’y être écrits.

Configurer dans le portail Azure

Connectez-vous au Portail Azure avec votre abonnement. Accédez au groupe de ressources et au serveur.

1. Cliquez sur Audit sous le titre Sécurité. Sélectionnez Activé.

2. Sélectionnez Stockage. Sélectionnez le compte de stockage dans lequel les journaux seront enregistrés. Le compte de stockage doit respecter les conditions requises indiquées dans Conditions préalables.

3. Ouvrez Détails du stockage.

Notes

Si le compte de stockage sélectionné se trouve derrière un réseau virtuel, le message suivant s’affiche :

You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.

Si vous ne voyez pas ce message, cela signifie que le compte de stockage ne se trouve pas derrière un réseau virtuel.

4. Sélectionnez le nombre de jours pour la période de rétention. Cliquez ensuite sur OK. Une fois la période de conservation écoulée, les journaux sont supprimés.

5. Sélectionnez Enregistrer sur vos paramètres d’audit.

Vous avez correctement configuré l’audit pour écrire dans un compte de stockage situé derrière un réseau virtuel ou un pare-feu.

Configurer avec des commandes REST

En guise d’alternative à l’utilisation du Portail Azure, vous pouvez utiliser des commandes REST pour configurer l’audit afin d’écrire des événements de base de données sur un compte de stockage situé derrière un réseau virtuel et un pare-feu.

Les exemples de scripts de cette section vous obligent à mettre à jour le script avant de les exécuter. Remplacez les valeurs suivantes dans le script :

Exemple de valeur	Exemple de description
<subscriptionId>	ID d’abonnement Azure
<resource group>	Resource group
<logical SQL Server>	Nom du serveur
<administrator login>	Compte d’administrateur
<complex password>	Mot de passe complexe pour le compte Administrateur

Pour configurer l’audit SQL afin d’écrire dans un compte de stockage situé derrière un réseau virtuel ou un pare-feu :

1. Inscrivez votre serveur avec Microsoft Entra ID (anciennement Azure Active Directory). Utilisez PowerShell ou l’API REST.

   PowerShell

   Connect-AzAccount
   Select-AzSubscription -SubscriptionId <subscriptionId>
   Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentity
   

   API REST :

   Exemple de requête

   PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-preview
   

   Corps de la demande

   {
   "identity": {
              "type": "SystemAssigned",
              },
   "properties": {
     "fullyQualifiedDomainName": "<azure server name>.database.windows.net",
     "administratorLogin": "<administrator login>",
     "administratorLoginPassword": "<complex password>",
     "version": "12.0",
     "state": "Ready"
     }
   }
   

2. Attribuez le rôle Contributeur aux données blob du stockage au serveur hébergeant la base de données que vous avez inscrite auprès de Microsoft Entra ID à l’étape précédente.

   Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.

   Notes

   Seuls les membres dotés du privilège Propriétaire peuvent effectuer cette étape. Pour découvrir différents rôles intégrés Azure, consultez Rôles intégrés Azure.

3. Configurez la stratégie d’audit des blobs du serveur, sans spécifier de storageAccountAccessKey :

   Exemple de requête

     PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-preview
   

   Corps de la demande

   {
     "properties": {
      "state": "Enabled",
      "storageEndpoint": "https://<storage account>.blob.core.windows.net"
     }
   }
   

Utilisation de Microsoft Azure PowerShell

• Créer ou mettre à jour une stratégie d’audit de base de données (Set-AzSqlDatabaseAudit)
• Créer ou mettre à jour une stratégie de serveur (Set-AzSqlServerAudit)

Utilisation d’un modèle Azure Resource Manager

Vous pouvez configurer l’audit pour écrire des événements de base de données sur un compte de stockage derrière le réseau virtuel et le pare-feu à l’aide d’un modèle Azure Resource Manager, comme indiqué dans l’exemple suivant :

Important

Pour utiliser le compte de stockage derrière le réseau virtuel et le pare-feu, vous devez définir le paramètre isStorageBehindVnet sur true

• Déployer un serveur SQL Azure avec l’audit activé pour écrire des journaux d’audit dans un stockage Blob

Notes

Les exemples liés se trouvent sur un référentiel public externe et sont fournis « en l’état », sans garantie et ne sont pas pris en charge dans n’importe quel service/programme de support Microsoft.

Étapes suivantes

• Utiliser PowerShell pour créer un point de terminaison de service de réseau virtuel, puis une règle de réseau virtuel pour Azure SQL Database.
• Règles de réseau virtuel : opérations avec les API REST
• Utiliser des points de terminaison de service de réseau virtuel et des règles pour les serveurs