Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article contient des recommandations de sécurité pour le stockage Blob. L’implémentation de ces recommandations vous aide à remplir vos obligations de sécurité, comme décrit dans le modèle de responsabilité partagée. Pour plus d’informations sur la manière dont Microsoft répond à ses responsabilités de fournisseur de services, consultez Responsabilité partagée dans le cloud.
Microsoft Defender pour le cloud peut surveiller automatiquement certaines des recommandations de cet article. C'est la première ligne de défense dans la protection de vos ressources dans Azure. Pour en savoir plus sur Microsoft Defender pour le cloud, consultez Qu’est-ce que Microsoft Defender pour le cloud ?
Microsoft Defender pour le cloud analyse périodiquement l’état de sécurité de vos ressources Azure afin d’identifier les vulnérabilités potentielles en matière de sécurité. Il fournit ensuite des recommandations sur la façon de les corriger. Pour plus d’informations sur les recommandations de Microsoft Defender pour le cloud, consultez Passer en revue les recommandations de sécurité.
Protection de données
| Recommandation | Commentaires | Defender pour le cloud |
|---|---|---|
| Utiliser le Modèle de déploiement Azure Resource Manager | Créer de nouveaux comptes de stockage à l’aide du modèle de déploiement Azure Resource Manager pour des améliorations importantes de la sécurité, notamment un contrôle d’accès en fonction du rôle supérieur Azure (Azure RBAC) et un audit, un déploiement et une gouvernance basés sur Resource Manager, l’accès aux identités managées, l’accès aux identités managées, l’accès à Azure Key Vault pour les secrets, et l’authentification et l’autorisation Microsoft Entra pour l’accès aux données et ressources stockage Azure. Migrez les comptes de stockage existants qui utilisent le modèle de déploiement classique pour qu’ils utilisent Azure Resource Manager. Pour plus d’informations sur Azure Resource Manager, consultez Vue d’ensemble d’Azure Resource Manager. | - |
| Activer Microsoft Defender pour tous vos comptes de stockage | Microsoft Defender pour le stockage fournit une couche supplémentaire d’intelligence de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. Les alertes de sécurité sont déclenchées dans Microsoft Defender pour le cloud en cas d’anomalies dans l’activité ; elles sont également envoyées par e-mail aux administrateurs d’abonnement, avec des détails sur l’activité suspecte et des recommandations sur la façon d’examiner les menaces et d’y remédier. Pour plus d’informations, consultez Configurer Microsoft Defender pour le stockage. | Oui |
| Activer la suppression réversible des objets blob | La suppression réversible des objets blob vous permet de récupérer les données d’un objet blob après leur suppression. Pour plus d’informations sur la suppression réversible des objets blob, consultez Suppression réversible des objets blob du Stockage Azure. | - |
| Activer la suppression réversible des conteneurs | La suppression réversible des conteneurs vous permet de récupérer un conteneur après sa suppression. Pour plus d’informations sur la suppression réversible des conteneurs, consultez Suppression réversible des conteneurs. | - |
| Verrouiller le compte de stockage pour empêcher toute suppression ou modification de la configuration par accident ou par malveillance | Appliquez un verrou Azure Resource Manager sur votre compte de stockage pour protéger le compte contre toute suppression ou modification de configuration accidentelle ou malveillante. Le verrouillage d’un compte de stockage n’empêche pas la suppression des données dans ce compte. Il empêche uniquement la suppression du compte à proprement parler. Pour plus d’informations, consultez Appliquer un verrou Azure Resource Manager sur un compte de stockage. | |
| Stocker les données critiques pour l’entreprise dans des objets blob immuables | Configurez des verrous légaux et des stratégies de rétention basées sur une durée pour stocker des données blob dans un état WORM (Write Once, Read Many). Les objets blob stockés immuablement peuvent être lus, mais ne peuvent pas être modifiés ou supprimés pendant la durée de l’intervalle de rétention. Pour plus d’informations, consultez Stocker des données blob critiques pour l’entreprise avec un stockage immuable. | - |
| Utiliser le chiffrement pour protéger les données | Stockage Azure chiffre toutes les données au repos par défaut à l’aide de clés gérées par Microsoft. Pour un contrôle amélioré, configurez des clés gérées par le client avec Azure Key Vault pour gérer directement les clés de chiffrement. Pour renforcer davantage la sécurité, implémentez le chiffrement côté client avant de charger des données. | - |
| Exiger un transfert sécurisé (HTTPS) vers le compte de stockage | Quand vous avez besoin d’un transfert sécurisé pour un compte de stockage, toutes les demandes adressées au compte de stockage doivent être effectuées via le protocole HTTPS. Toutes les demandes effectuées via le protocole HTTP sont rejetées. Microsoft vous recommande de toujours exiger un transfert sécurisé pour tous vos comptes de stockage. Pour plus d’informations, voir Exiger un transfert sécurisé pour garantir des connexions sécurisées. | - |
| Limiter les jetons de signature d’accès partagé (SAS) aux seules connexions HTTPS | Le fait d’exiger HTTPS quand un client utilise un jeton SAS pour accéder à des données d’objet blob permet de réduire le risque d’écoute. Pour plus d’informations, consultez Accorder un accès limité aux ressources du Stockage Azure à l’aide des signatures d’accès partagé (SAS). | - |
| Interdire la réplication d’objets entre locataires | Par défaut, un utilisateur autorisé peut configurer une stratégie de réplication d’objets où le compte source se trouve dans un locataire Microsoft Entra et que le compte de destination se trouve dans un autre locataire. Interdisez la réplication d’objets entre locataires pour exiger que les comptes source et de destination participant à une stratégie de réplication d’objet se trouvent dans le même locataire. Pour plus d’informations, consultez Empêcher la réplication d’objet entre les locataires Microsoft Entra. | - |
Gestion de l’identité et de l’accès
| Recommandation | Commentaires | Defender pour le cloud |
|---|---|---|
| Utiliser Microsoft Entra ID pour autoriser l’accès aux données blob | Microsoft Entra ID offre une sécurité supérieure et une plus grande facilité d’utilisation par rapport à la clé partagée pour autoriser les requêtes adressées au stockage Blob. Pour plus d’informations, consultez Autoriser l’accès aux données dans Stockage Azure. | - |
| Gardez à l’esprit le principe du moindre privilège lors de l’attribution d’autorisations à un principal de sécurité Microsoft Entra via Azure RBAC | Quand vous attribuez un rôle à un utilisateur, un groupe ou une application, accordez à ce principal de sécurité seulement les autorisations nécessaires pour effectuer ses tâches. La limitation de l’accès aux ressources permet d’éviter une mauvaise utilisation accidentelle et malveillante de vos données. | - |
| Utiliser une signature d’accès partagé de délégation d’utilisateur pour accorder aux clients un accès limité aux données blob | Une SAS de délégation d’utilisateur est sécurisée à l’aide des informations d’identification Microsoft Entra, ainsi que par les autorisations spécifiées pour la SAS. Un SAS de délégation d’utilisateur est analogue à un SAS de service par sa portée et sa fonction, mais il offre des avantages en matière de sécurité par rapport au SAS de service. Pour plus d’informations, consultez Accorder un accès limité aux ressources du Stockage Azure à l’aide des signatures d’accès partagé (SAS). | - |
| Sécuriser vos clés d’accès de compte avec Azure Key Vault | Microsoft recommande d’utiliser Microsoft Entra ID pour autoriser les demandes auprès de Stockage Azure. Toutefois, si vous devez utiliser l’autorisation de clé partagée, sécurisez vos clés de compte avec Azure Key Vault. Vous pouvez récupérer les clés du coffre de clés au moment de l’exécution, au lieu de les enregistrer avec votre application. Pour plus d’informations sur Azure Key Vault, consultez Vue d’ensemble d’Azure Key Vault. | - |
| Regénérer régulièrement vos clés de compte | Effectuer une rotation des clés de compte régulièrement réduit le risque d’exposer vos données à des acteurs malveillants. | - |
| Désactiver l’autorisation Shared Key | Lorsque vous désactivez l’autorisation avec clé partagée pour un compte de stockage, le service Stockage Azure rejette toutes les demandes ultérieures adressées à ce compte, qui sont autorisées avec les clés d’accès au compte. Seules les demandes sécurisées autorisées avec Microsoft Entra ID réussissent. Pour plus d’informations, consultez Empêcher l’autorisation avec clé partagée pour un compte de stockage Azure. | - |
| Gardez à l’esprit le principe du moindre privilège lorsque vous attribuez des autorisations à une signature d’accès partagé (SAS) | Lors de la création d’une signature d’accès partagé, spécifiez uniquement les autorisations dont le client a besoin pour exécuter sa fonction. La limitation de l’accès aux ressources permet d’éviter une mauvaise utilisation accidentelle et malveillante de vos données. | - |
| Prévoyez un plan de révocation pour tout jeton SAS que vous délivrez à des clients | Si un SAS est compromis, révoquez ce SAS dès que possible. Pour révoquer un SAS de délégation d’utilisateur, révoquez la clé de délégation d’utilisateur afin d’invalider rapidement toutes les signatures associées à cette clé. Pour révoquer un SAS de service associé à une stratégie d’accès stockée, vous pouvez supprimer la stratégie d’accès stockée, renommer la stratégie ou modifier sa date d’expiration pour la définir à une date déjà passée. Pour plus d’informations, consultez Accorder un accès limité aux ressources du Stockage Azure à l’aide des signatures d’accès partagé (SAS). | - |
| Si un SAS de service n’est pas associé à une stratégie d’accès stockée, définissez la durée d’expiration à une heure maximum | Une SAS de service qui n’est pas associée à une stratégie d’accès enregistrée ne peut pas être révoquée. Pour cette raison, limitez l’heure d’expiration afin que la SAP soit valide pendant une heure ou moins. | - |
| Désactiver l’accès en lecture anonyme aux conteneurs et aux blobs | L’accès en lecture anonyme à un conteneur et à ses blobs accorde un accès en lecture seule à ces ressources à tout client. Évitez d’activer l’accès en lecture anonyme, sauf si votre scénario l’exige. Pour savoir comment désactiver l’accès anonyme pour un compte de stockage, consultez Vue d’ensemble : résolution de l’accès en lecture anonyme pour les données blob. | - |
Mise en réseau
| Recommandation | Commentaires | Defender pour le cloud |
|---|---|---|
| Configurer la version minimale requise du protocole TLS (Transport Layer Security) pour un compte de stockage. | Exiger que les clients utilisent une version plus sécurisée de TLS pour effectuer des requêtes sur un compte de stockage Azure en configurant la version minimale de TLS pour ce compte. Pour plus d’informations, consultez Configure minimum required version of Transport Layer Security (TLS) for a storage account (Configurer la version minimale requise du protocole TLS pour un compte de stockage) | - |
| Activer l’option Transfert sécurisé requis sur tous vos comptes de stockage | Quand vous activez l’option Transfert sécurisé requis, toutes les demandes effectuées auprès du compte de stockage doivent se faire via des connexions sécurisées. Toutes les requêtes effectuées via HTTP échouent. Pour plus d’informations, consultez Exiger un transfert sécurisé dans Stockage Azure. | Oui |
| Activer des règles de pare-feu | Configurez des règles de pare-feu pour limiter l’accès à votre compte de stockage aux demandes provenant d’adresses IP ou de plages d’adresses IP spécifiées, ou d’une liste de sous-réseaux dans un réseau virtuel Azure (VNet). Pour plus d’informations sur la configuration des règles de pare-feu, consultez Configurer les pares-feu et réseaux virtuels dans le stockage Azure. | - |
| Autoriser les services Microsoft approuvés à accéder au compte de stockage | L’activation des règles de pare-feu pour votre compte de stockage bloque les demandes entrantes pour les données par défaut, sauf si les demandes proviennent d’un service qui fonctionne au sein d’un réseau virtuel (VNet) Azure ou à partir d’adresses IP publiques autorisées. Les demandes qui sont bloquées comprennent les demandes émanant d’autres services Azure, du portail Azure, des services de journalisation et de métriques, etc. Vous pouvez autoriser les demandes provenant d’autres services Azure en ajoutant une exception pour autoriser les services Microsoft approuvés à accéder au compte de stockage. Pour plus d’informations sur l’ajout d’une exception pour les services Microsoft approuvés, consultez Configurer les pares-feu et réseaux virtuels dans le stockage Azure. | - |
| Utiliser des points de terminaison privés | Un point de terminaison privé affecte une adresse IP privée de votre réseau virtuel Azure au compte de stockage. Il sécurise tout le trafic entre votre réseau virtuel et le compte de stockage via une liaison privée. Pour plus d’informations sur les points de terminaison privés, consultez Connexion privée à un compte de stockage à l’aide d’Azure Private Endpoint. | - |
| Utiliser les étiquettes de service VNet | Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent. Pour plus d’informations sur les balises de service prises en charge par Stockage Azure, consultez Vue d’ensemble des balises de service Azure. Pour un tutoriel qui montre comment utiliser les balises de service pour créer des règles de réseau sortant, consultez Restreindre l’accès aux ressources PaaS. | - |
| Limiter l’accès réseau à des réseaux spécifiques | La limitation de l’accès réseau aux réseaux hébergeant des clients nécessitant un accès réduit l’exposition de vos ressources aux attaques réseau. | Oui |
| Configurer la préférence de routage réseau | Vous pouvez configurer les préférences de routage réseau de votre compte de stockage Azure afin de spécifier la façon dont le trafic réseau est acheminé vers votre compte à partir de clients sur Internet à l’aide du routage réseau global Microsoft ou Internet. Pour plus d’informations, consultez Configurer une préférence de routage réseau pour le service Stockage Azure. | - |
Journalisation/Supervision
| Recommandation | Commentaires | Defender pour le cloud |
|---|---|---|
| Suivre l’autorisation des requêtes | Activez la journalisation pour Stockage Azure afin de suivre la façon dont les demandes adressées au service sont autorisées. Les journaux indiquent si une requête a été effectuée anonymement, en utilisant un jeton OAuth 2.0, en utilisant une clé partagée ou en utilisant une signature d’accès partagé (SAS). Pour plus d’informations, consultez Supervision du Stockage Blob Azure avec Azure Monitor ou Journalisation analytique du Stockage Azure avec la supervision classique. | - |
| Configurer des alertes dans Azure Monitor | Configurez les alertes de journal pour évaluer les journaux de ressources à une fréquence définie et déclencher une alerte en fonction des résultats. Pour plus d’informations, consultez Alertes de journal dans Azure Monitor. | - |