Passer en revue les stratégies de sécurité de Stockage Azure
Les administrateurs utilisent différentes stratégies pour s’assurer que leurs données sont sécurisées. Les approches courantes incluent le chiffrement, l’authentification, l’autorisation et le contrôle d’accès utilisateur avec des informations d’identification, les autorisations de fichier et les signatures privées. Stockage Azure offre une suite de fonctionnalités de sécurité basées sur des stratégies courantes permettant de sécuriser vos données.
Points à connaître sur les stratégies de sécurité Stockage Azure
Examinons certaines caractéristiques de la sécurité du Stockage Azure.
Chiffrement. Toutes les données écrites dans le Stockage Azure sont automatiquement chiffrées à l’aide du chiffrement du Stockage Azure.
Authentification. Microsoft Entra ID et le contrôle d’accès en fonction du rôle (RBAC) sont pris en charge pour Stockage Azure, à la fois pour les opérations de gestion des ressources et pour les opérations de données.
- Attribuez des rôles RBAC délimités au compte de stockage Azure à des principaux de sécurité, et utilisez Microsoft Entra ID pour autoriser les opérations de gestion des ressources, comme la gestion des clés.
- L’intégration de Microsoft Entra est prise en charge pour les opérations de données sur Stockage Blob Azure et Stockage File d’attente Azure.
Données en transit. Les données peuvent être sécurisées en transit entre une application et Azure au moyen du chiffrement côté client, de HTTPS ou de SMB 3.0.
Chiffrement de disque. Les disques de système d’exploitation et les disques de données utilisés par Machines virtuelles Azure peuvent être chiffrés à l’aide du service Azure Disk Encryption.
Signatures d’accès partagé. Il est possible d’accorder un accès délégué aux objets de données Stockage Azure en utilisant une signature d’accès partagé (SAS).
Autorisation. Chaque demande auprès d’une ressource sécurisée dans le Stockage Blob, Azure Files, Stockage File d’attente ou Azure Cosmos DB (Stockage Table Azure) doit être autorisée. L’autorisation garantit que les ressources de votre compte de stockage sont accessibles uniquement quand vous le souhaitez, et uniquement pour les utilisateurs ou les applications autorisés.
Éléments à prendre en compte pour la sécurité de l’autorisation
Passez en revue les stratégies suivantes pour l’autorisation des demandes dans Stockage Azure. Réfléchissez aux stratégies de sécurité convenant à votre Stockage Azure.
| Stratégie d’autorisation | Description |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID est le service cloud de Microsoft qui gère les identités et les accès. Avec Microsoft Entra ID, vous pouvez attribuer un accès avec une granularité fine à des utilisateurs, des groupes ou des applications en utilisant le contrôle d’accès en fonction du rôle (RBAC). |
| Clé partagée | L’autorisation de clé partagée s’appuie sur les clés d’accès de votre compte Azure et d’autres paramètres pour produire une chaîne de signature chiffrée. La chaîne est transmise à la demande dans l’en-tête d’autorisation. |
| Signatures d’accès partagé | Une signature SAS délègue l’accès à une ressource particulière de votre compte avec les autorisations spécifiées et pour un intervalle de temps spécifié. |
| Accès anonyme aux conteneurs et objets blob | Vous pouvez éventuellement rendre publiques des ressources blob au niveau du conteneur ou de l’objet blob. Un conteneur ou un objet blob public est accessible à tout utilisateur avec un accès en lecture anonyme. Les demandes de lecture sur les conteneurs et objets blob publics ne nécessitent aucune autorisation. |