Académique Documents
Professionnel Documents
Culture Documents
" 100 XP
Suite à une violation de la sécurité des données chez un de ses concurrents, Contoso
demande à son administrateur réseau de vérifier la sécurité des données de
l’organisation. En tant que consultant en données de Contoso, vous confirmez à
l’administrateur réseau que les comptes de stockage Azure ont l’avantage d’offrir un
haut niveau de sécurité aux données situées dans le cloud :
Chiffrement au repos
Toutes les données écrites dans Stockage Azure sont automatiquement chiffrées par
la fonctionnalité SSE (Storage Service Encryption) avec un chiffrement AES (Advanced
Encryption Standard) 256 bits. SSE chiffre automatiquement les données lors de leur
écriture dans Stockage Azure. Quand vous lisez des données depuis Stockage Azure,
le service déchiffre les données avant de les retourner. Ce processus n’implique
aucuns frais supplémentaires ni aucune dégradation des performances. Il n’est pas
possible de le désactiver.
Pour les machines virtuelles, Azure vous permet de chiffrer des disques durs virtuels
(VHD) avec Azure Disk Encryption. Ce chiffrement utilise des images BitLocker pour
Azure Key Vault stocke automatiquement les clés pour faciliter le contrôle et la
gestion des clés et secrets de chiffrement des disques. Par conséquent, même si une
personne obtient l’accès à l’image du disque dur virtuel et la télécharge, elle ne peut
pas accéder aux données situées sur le disque dur virtuel.
Chiffrement en transit
Maintenez vos données sécurisées en activant la sécurité au niveau du transport
entre Azure et le client. Utilisez toujours HTTPS pour sécuriser les communications
sur par Internet public. Quand vous appelez les API REST pour accéder aux objets
dans les comptes de stockage, vous pouvez appliquer l’utilisation du protocole
HTTPS en exigeant un transfert sécurisé pour le compte de stockage. Après avoir
activé le transfert sécurisé, les connexions qui utilisent le protocole HTTP sont
refusées. Cet indicateur exige également un transfert sécurisé sur SMB en imposant
SMB 3.0 pour tous les montages de partage de fichiers.
Stockage Azure prend en charge l’accès entre domaines par le biais du mécanisme
CORS (Cross-Origin Resource Sharing). CORS utilise des en-têtes HTTP pour
permettre à une application web sur un domaine d’accéder à des ressources à partir
d’un serveur se trouvant dans un autre domaine. En utilisant CORS, les applications
web garantissent qu’elles chargent uniquement du contenu autorisé à partir de
sources autorisées.
La prise en charge du mécanisme CORS est un indicateur facultatif que vous pouvez
activer sur les comptes de stockage. L’indicateur ajoute les en-têtes appropriés
quand vous utilisez des requêtes GET HTTP pour récupérer des ressources à partir du
compte de stockage.
Pour accéder à des données dans un compte de stockage, le client effectue une
requête par HTTP ou HTTPS. Chaque requête sur une ressource sécurisée doit être
autorisée. Le service vérifie que le client dispose des autorisations nécessaires pour
accéder aux données. Vous pouvez choisir parmi plusieurs options d’accès. L’option
la plus souple est sans doute l’accès en fonction du rôle.
À un principal de sécurité ou une identité managée pour des ressources Azure, vous
pouvez attribuer des rôles RBAC limités à un abonnement, un groupe de ressources,
un compte de stockage ou un conteneur ou une file d’attente.
Audit de l’accès
L’audit est une autre partie du contrôle d’accès. Vous pouvez auditer l’accès à
Stockage Azure en utilisant le service Storage Analytics intégré.
Continuer T
" 100 XP
Les comptes de stockage Azure peuvent créer des applications autorisées dans
Active Directory pour contrôler l’accès aux données dans des objets blob et des files
d’attente. Cette approche de l’authentification est la meilleure solution pour les
applications qui utilisent le stockage d’objets blob ou le stockage File d’attente.
Pour les autres modèles de stockage, les clients peuvent utiliser une clé partagée ou
un secret partagé. Cette option d’authentification est l’une des plus faciles à utiliser
et elle prend en charge les objets blob, les fichiers, les files d’attente et les tables. Le
client incorpore la clé partagée dans l’en-tête Authorization HTTP de chaque
requête, puis le compte de stockage valide la clé.
Par exemple, une application peut émettre une requête GET sur une ressource
d’objet blob :
= Copier
GET http://myaccount.blob.core.windows.net/?restype=service&
comp=stats
Les en-têtes HTTP contrôlent la version de l’API REST, la date et la clé partagée
encodée :
= Copier
x-ms-version: 2018-03-28
Date: Wed, 23 Oct 2018 21:00:44 GMT
Authorization: SharedKey myac‐
count:CY1OP3O3jGFpYFbTCBimLn0Xov0vt0khH/E5Gy0fXvg=
Vous les trouverez dans la vue du compte de stockage, dans le portail Azure.
Sélectionnez tout simplement Paramètres > Clés d’accès.
Si les clés sont compromises, modifiez leurs valeurs dans le portail Azure. Voici
Pour des raisons de sécurité, vous pouvez regénérer les clés régulièrement.
Si quelqu’un pirate une application pour obtenir la clé codée en dur ou
enregistrée dans un fichier de configuration, regénérez la clé. En effet, la clé
compromise peut donner au pirate informatique l’accès complet à votre
compte de stockage.
Si votre équipe utilise une application Explorateur de stockage qui conserve la
clé du compte de stockage, quand un des membres quitte l’équipe, regénérez
la clé. Sinon, l’application continue de fonctionner en permettant à l’ancien
membre de l’équipe d’accéder à votre compte de stockage.
) Important
Une fois que vos clés sont actualisées, tout client qui essaie d’utiliser l’ancienne
valeur de clé est refusé. Veillez à identifier tous les clients qui utilisent la clé
partagée, puis à les mettre à jour pour qu’ils restent opérationnels.
Continuer T
" 100 XP
Une bonne pratique consiste à ne pas partager les clés de compte de stockage avec
des applications tierces externes. Si ces applications ont besoin d’accéder à vos
données, vous devez sécuriser leurs connexions sans utiliser les clés de compte de
stockage.
Pour les clients non approuvés, utilisez une signature d’accès partagé (SAS). Une
signature d’accès partagé est une chaîne qui contient un jeton de sécurité pouvant
être attaché à un URI. Utilisez une signature d’accès partagé pour déléguer l’accès
aux objets de stockage et spécifier des contraintes, comme les autorisations et
l’intervalle de temps de l’accès.
Vous pouvez donner à un client un jeton de signature d’accès partagé, par exemple,
pour qu’il puisse charger des photos dans un système de fichiers du stockage
d’objets blob. Séparément, vous pouvez donner à une application web l’autorisation
de lire ces photos. Dans les deux cas, vous autorisez uniquement l’accès dont
l’application a besoin pour effectuer la tâche.
Utilisez une signature d’accès partagé au niveau du compte pour autoriser l’accès à
tout ce que peut permettre une signature d’accès partagé au niveau du service, ainsi
qu’à des ressources et capacités supplémentaires. Par exemple, vous pouvez utiliser
une signature d’accès partagé au niveau du compte pour donner la possibilité de
Vous utilisez normalement une signature d’accès partagé pour un service où les
utilisateurs lisent et écrivent leurs données dans votre compte de stockage. Les
comptes qui stockent des données utilisateur ont deux conceptions typiques :
Les clients chargent et téléchargent les données par le biais d’un service proxy
front-end, qui se charge de l’authentification. Ce service proxy front-end a
l’avantage de permettre la validation des règles métier. Mais si le service doit
gérer de grandes quantités de données ou des transactions à grand volume, il
peut s’avérer compliqué ou coûteux de mettre à l’échelle ce service pour
répondre à la demande.
Un service léger authentifie le client selon les besoins. Ensuite, il génère une
signature d’accès partagé. Après avoir reçu la signature d’accès partagé, le
client peut accéder directement aux ressources du compte de stockage. La
signature d’accès partagé définit les autorisations et l’intervalle d’accès du
client. La signature d’accès partagé réduit le besoin de router toutes les
données par le biais du service proxy front-end.
Continuer T
" 100 XP
Par défaut, les comptes de stockage acceptent les connexions des clients sur
n’importe quel réseau. Pour limiter l’accès aux réseaux sélectionnés, vous devez
d’abord changer l’action par défaut. Vous pouvez restreindre l’accès à des
adresses IP, des plages ou des réseaux virtuels spécifiques.
) Important
Continuer T
" 100 XP
La détection des menaces qui pèsent sur vos données est essentielle à leur sécurité.
Vous pouvez consulter une piste d’audit de toutes les activités d’un compte de
stockage. Mais celle-ci ne fait souvent que vous indiquer qu’une intrusion a déjà eu
lieu. Ce dont vous avez vraiment besoin, c’est d’être averti en cas d’activité suspecte.
C’est là qu’intervient la fonctionnalité Advanced Threat Protection de Stockage Azure.
Actuellement, Advanced Threat Protection pour Stockage Azure est disponible pour
le service blob. Les alertes de sécurité sont intégrées à Azure Security Center. Elles
sont envoyées par e-mail aux administrateurs des abonnements.
Dans le portail Azure, vous pouvez activer la protection contre les menaces en
accédant à la page de configuration du compte de stockage Azure.
Continuer T
" 100 XP
Azure Data Lake Storage Gen2 fournit une solution Data Lake de première classe
pour permettre aux entreprises de rassembler leurs données. Celle-ci s’appuie sur le
stockage d’objets blob Azure, si bien qu’elle hérite de toutes les fonctionnalités de
sécurité que nous avons passées en revue dans ce module.
Avec le contrôle d’accès en fonction du rôle (RBAC), Azure Data Lake Storage Gen2
fournit des listes de contrôle d’accès (ACL) compatibles POSIX qui restreignent
l’accès aux seuls utilisateurs, groupes ou principaux du service autorisés. La solution
applique des restrictions d’une façon souple, précise et gérable. Azure Data Lake
Storage Gen2 s’authentifie par le biais de jetons du porteur Azure Active Directory
OAuth 2.0. Les schémas d’authentification sont ainsi flexibles, notamment la
fédération avec Azure AD Connect et l’authentification multifacteur qui offre une
protection plus forte que de simples mots de passe.
Qui plus est, ces schémas d’authentification sont intégrés dans les principaux services
d’analytique qui utilisent les données. Ces services incluent Azure Databricks,
HDInsight et SQL Data Warehouse. Des outils de gestion comme l’Explorateur de
stockage Azure sont également inclus. Une fois l’authentification terminée, les
autorisations sont appliquées avec la plus grande précision afin de garantir le niveau
d’autorisation approprié sur les ressources Big Data d’une entreprise.