Partager via

Activer la sécurité réseau pour les connecteurs de blob de Stockage Azure

Cet article fournit des instructions détaillées sur l’activation de la sécurité réseau sur les ressources de stockage intégrées à votre connecteur Stockage Azure. Le périmètre de sécurité réseau Azure est une fonctionnalité native Azure qui crée une limite d’isolation logique pour vos ressources PaaS. En associant des ressources telles que des comptes de stockage ou des bases de données à un fournisseur de services réseau, vous pouvez gérer de manière centralisée l’accès réseau à l’aide d’un ensemble de règles simplifié. Pour plus d’informations, consultez les concepts de périmètre de sécurité réseau.

Prerequisites

Avant d’activer la sécurité réseau, créez vos ressources de connecteur. Consultez Configurer votre connecteur de stockage Azure pour le streaming des journaux vers Microsoft Sentinel, y compris la rubrique système Event Grid utilisée pour diffuser en continu des événements de création d’objets blob vers la file d’attente de stockage Azure.

Pour effectuer cette configuration, vérifiez que vous disposez des autorisations suivantes :

  • Propriétaire de l’abonnement ou Contributeur pour créer des ressources de périmètre de sécurité réseau.
  • Contributeur de compte de stockage pour associer le compte de stockage au fournisseur de services réseau.
  • Administrateur ou propriétaire d’accès utilisateur du compte de stockage pour attribuer des rôles RBAC à l’identité managée Event Grid.
  • Contributeur Event Grid pour activer l’identité managée et gérer les abonnements aux événements.

Activer la sécurité réseau

Pour activer la sécurité réseau sur les ressources de stockage intégrées à votre connecteur Stockage Azure, créez un périmètre de sécurité réseau (NSP), associez le compte de stockage à celui-ci et configurez les règles pour autoriser le trafic à partir d’Event Grid et d’autres sources requises tout en bloquant l’accès non autorisé. Procédez comme suit pour terminer la configuration.

Créer un périmètre de sécurité réseau

  1. Dans le portail Azure, recherchez les périmètres de sécurité réseau

  2. Cliquez sur Créer.

  3. Sélectionnez un abonnement et un groupe de ressources.

  4. Entrez le nom, par exemple storageblob-connectors-nsp

  5. Sélectionnez une région. La région doit être la même que le compte de stockage.

  6. Entrez un nom de profil ou acceptez la valeur par défaut. Le profil définit l’ensemble de règles appliquées aux ressources associées. Vous pouvez avoir plusieurs profils au sein d’un seul fournisseur de services réseau pour appliquer différentes règles à différentes ressources si nécessaire.

  7. Sélectionnez Vérifier + créer, puis Créer.

    Capture d’écran montrant la création d’un périmètre de sécurité réseau dans le portail Azure.

Associer le compte de stockage au périmètre de sécurité réseau

  1. Ouvrez votre ressource de périmètre de sécurité réseau nouvellement créée dans le portail Azure.

  2. Sélectionnez Profils, puis sélectionnez le nom de profil que vous avez utilisé lors de la création de la ressource NSP.

  3. Sélectionnez Ressources associées.

  4. Cliquez sur Ajouter.

  5. Recherchez et ajoutez votre compte de stockage, puis sélectionnez Sélectionner.

  6. Sélectionnez Associer.

Le mode d’accès est défini sur Transition par défaut, ce qui vous permet de valider la configuration avant d’appliquer des restrictions.

Capture d’écran montrant comment associer un compte de stockage au périmètre de sécurité réseau dans le portail Azure.

Activer l’identité affectée par le système sur la rubrique système Event Grid

  1. À partir de votre compte de stockage, accédez à l’onglet Événements .

  2. Sélectionnez la Rubrique système utilisée pour diffuser en continu des événements de création d’objets blob dans la file d’attente de stockage.

    Capture d’écran montrant l’onglet Événements pour les comptes de stockage dans le portail Azure.

  3. Sélectionnez Identité.

  4. Sous l'onglet Assigné par le système, définir l'état àActivé.

  5. Sélectionnez Enregistrer, puis copiezl’ID d’objet de l’identité managée pour une utilisation ultérieure.

    Capture d’écran montrant la création d’une identité managée pour une rubrique système Event Grid dans le portail Azure.

Accorder des autorisations RBAC sur la file d’attente de stockage

  1. Accédez à votre compte de stockage.

  2. Sélectionnez Contrôle d’accès (IAM).

  3. Cliquez sur Ajouter.

  4. Recherchez et sélectionnez le rôle Expéditeur de messages de données de file d’attente de stockage (portée : le compte de stockage).

  5. Sélectionnez l’onglet Membres , puis sélectionnez les membres.

  6. Dans le volet Sélectionner des membres , collez l’ID d’objet de l’identité managée de la rubrique système Event Grid créée à l’étape précédente.

  7. Sélectionnez l’identité managée, puis sélectionnez Sélectionner.

  8. Sélectionnez Vérifier + attribuer pour terminer l’attribution du rôle. Capture d’écran montrant l’attribution du rôle Expéditeur de message de données de file d’attente de stockage à une identité managée dans le portail Azure.

Activer l’identité managée sur l’abonnement aux événements

  1. Ouvrez la rubrique système Event Grid.

  2. Sélectionnez l’abonnement aux événements qui cible la file d’attente.

  3. Sélectionnez l’onglet Paramètres supplémentaires.

  4. Définissez le type d’identité managée sur Affecté par le système.

  5. Cliquez sur Enregistrer.

  6. Passez en revue les métriques d’abonnement Event Grid pour valider que les messages sont correctement publiés dans la file d’attente de stockage après cette mise à jour.

Capture d’écran montrant l’activation de l’identité managée pour un abonnement Event Grid dans le portail Azure.

Configurer des règles d’accès entrant sur le profil de périmètre de sécurité réseau

Les règles suivantes sont requises pour autoriser Event Grid à remettre des messages au compte de stockage tout en bloquant l’accès non autorisé. Selon le système envoyant des données au compte de stockage ou en accédant aux ressources de stockage, vous devrez peut-être ajouter des règles de trafic entrant supplémentaires. Passez en revue votre scénario et vos modèles de trafic pour appliquer en toute sécurité les règles nécessaires et laissez le temps nécessaire à la propagation des règles.

Règle 1 : Autoriser la souscription (Event Grid Delivery)

La remise Event Grid ne provient pas d’adresses IP publiques fixes. Le prestataire de services réseau valide la livraison en utilisant l’identité d’abonnement.

  1. Accédez au périmètre de sécurité réseau et sélectionnez votre fournisseur de services réseau.

  2. Sélectionnez Profils , puis sélectionnez le profil associé à votre compte de stockage.

  3. Sélectionnez Règles d’accès entrantes , puis sélectionnez Ajouter.

    Capture d’écran montrant la page règles d’accès entrant dans le portail Azure.

  4. Entrez un nom de règle, par exemple Allow-Subscription.

  5. Sélectionnez Abonnement dans la liste déroulante Type de source .

  6. Sélectionnez votre abonnement dans la liste déroulante Sources autorisées .

  7. Sélectionnez Ajouter pour créer la règle.

    Capture d’écran montrant la création d’une règle d’accès entrant pour autoriser un abonnement dans le portail Azure.

Note

Les règles peuvent prendre quelques minutes pour apparaître dans la liste après la création.

Règle 2 : Autoriser les plages d’adresses IP du service de plongée

  1. Créez une deuxième règle d’accès entrant.

  2. Entrez un nom de règle, par exemple Allow-Scuba.

  3. Sélectionnez des plages d’adresses IP dans la liste déroulante Type de source .

  4. Ouvrez la page de téléchargement de balise de service .

  5. Sélectionnez votre cloud, par exemple Azure Public.

  6. Sélectionnez le bouton Télécharger et ouvrez le fichier téléchargé pour obtenir la liste des plages d’adresses IP.

  7. Recherchez la Scuba balise de service et copiez les plages IPv4 associées.

  8. Collez les plages IPv4 dans le champ Sources autorisées après avoir supprimé les guillemets et les virgules de fin.

  9. Sélectionnez Ajouter pour créer la règle.

    Important

    Supprimez les guillemets des plages d’adresses IP et assurez-vous qu’il n’existe aucune virgule de fin sur la dernière entrée avant de les coller dans le champ Sources autorisées . Les plages d’étiquettes de service sont mises à jour au fil du temps ; actualisez régulièrement pour maintenir les règles en cours.

    Capture d’écran montrant une partie du fichier ServiceTags_Public.json avec la balise de service De plongée et les plages IPv4 mises en surbrillance.

Valider et appliquer

Après avoir configuré les règles, surveillez les journaux de diagnostic du périmètre de sécurité réseau pour vérifier que le trafic légitime est autorisé et qu’il n’y a aucune interruption. Une fois que vous avez confirmé que les règles autorisent correctement le trafic nécessaire, vous pouvez passer du mode transition au mode appliqué pour bloquer l’accès non autorisé.

Mode de transition

Activez les journaux de diagnostic du périmètre de sécurité réseau et passez en revue les données de télémétrie collectées pour valider les modèles de communication avant l’application. Pour plus d’informations, consultez journaux de diagnostic pour le périmètre de sécurité réseau.

Appliquer le mode d'exécution

Une fois la validation réussie, définissez le mode d’accès sur Appliqué comme suit :

  1. Dans la page Périmètre de sécurité réseau, sous Paramètres, sélectionnez Ressources associées.

  2. Sélectionnez le compte de stockage.

  3. Sélectionnez Modifier le mode d’accès.

  4. Sélectionnez Appliqué , puis Enregistrez.

    Capture d’écran montrant comment modifier le mode d’accès d’un compte de stockage associé à un périmètre de sécurité réseau dans le portail Azure.

Validation postérieure à l’application

Après l’application, surveillez étroitement l’environnement pour tout trafic bloqué susceptible d’indiquer des configurations incorrectes. Vérifiez que la configuration Event Grid n’est pas affectée par l’examen des métriques d’abonnement à la rubrique système Event Grid.

Utilisez les journaux de diagnostic pour examiner et résoudre les problèmes qui surviennent. Passez en revue les métriques sur le compte de stockage (entrée et erreurs de file d’attente) et Event Grid (succès de la livraison) pour vérifier la présence d'erreurs. Revenez au Mode Transition si vous rencontrez toute perturbation et reprenez l'enquête à l’aide des journaux de diagnostic.

Définir sécurisé par périmètre sur le compte de stockage (facultatif)

La définition du compte de stockage sécurisé par Périmètre garantit que tout le trafic vers le compte de stockage est évalué par rapport aux règles de périmètre de sécurité réseau et bloque l’accès au réseau public.

  1. Accédez à votre compte de stockage.

  2. Sous Sécurité + mise en réseau, sélectionnez Mise en réseau.

  3. Sous Accès au réseau public, sélectionnez Gérer.

  4. Définir sécurisé par périmètre (le plus restreint).

  5. Cliquez sur Enregistrer.

Capture d’écran montrant comment définir un compte de stockage sur « Sécurisé par périmètre » dans le portail Azure.

Étapes suivantes

Dans cet article, vous avez appris à activer la sécurité réseau sur les ressources de stockage intégrées à votre connecteur Stockage Azure. Pour plus d’informations, consultez les articles sur le périmètre de sécurité réseau .

  • Last updated on