Vous êtes sur la page 1sur 13

Explorer les fonctionnalités de sécurité de Stockage... https://docs.microsoft.com/fr-fr/learn/modules/secu...

R Précédente Unité 2 sur 8 S Suivant T

" 100 XP

Explorer les fonctionnalités de


sécurité de Stockage Azure
10 minutes

Contoso s’appuie en grande partie sur de grandes quantités de données dans


Stockage Azure. Ses nombreuses applications utilisent des objets blob, le stockage
de tables non structurées, Azure Data Lake et des partages de fichiers basés sur SMB
(Server Message Block).

Suite à une violation de la sécurité des données chez un de ses concurrents, Contoso
demande à son administrateur réseau de vérifier la sécurité des données de
l’organisation. En tant que consultant en données de Contoso, vous confirmez à
l’administrateur réseau que les comptes de stockage Azure ont l’avantage d’offrir un
haut niveau de sécurité aux données situées dans le cloud :

Protection des données au repos


Protection des données en transit
Prise en charge de l’accès entre domaines du navigateur
Contrôle des utilisateurs capables d’accéder aux données
Audit de l’accès au stockage

Chiffrement au repos
Toutes les données écrites dans Stockage Azure sont automatiquement chiffrées par
la fonctionnalité SSE (Storage Service Encryption) avec un chiffrement AES (Advanced
Encryption Standard) 256 bits. SSE chiffre automatiquement les données lors de leur
écriture dans Stockage Azure. Quand vous lisez des données depuis Stockage Azure,
le service déchiffre les données avant de les retourner. Ce processus n’implique
aucuns frais supplémentaires ni aucune dégradation des performances. Il n’est pas
possible de le désactiver.

Pour les machines virtuelles, Azure vous permet de chiffrer des disques durs virtuels
(VHD) avec Azure Disk Encryption. Ce chiffrement utilise des images BitLocker pour

1 sur 3 23/04/2020 à 21:37


Explorer les fonctionnalités de sécurité de Stockage... https://docs.microsoft.com/fr-fr/learn/modules/secu...

Windows et dm-crypt pour Linux.

Azure Key Vault stocke automatiquement les clés pour faciliter le contrôle et la
gestion des clés et secrets de chiffrement des disques. Par conséquent, même si une
personne obtient l’accès à l’image du disque dur virtuel et la télécharge, elle ne peut
pas accéder aux données situées sur le disque dur virtuel.

Chiffrement en transit
Maintenez vos données sécurisées en activant la sécurité au niveau du transport
entre Azure et le client. Utilisez toujours HTTPS pour sécuriser les communications
sur par Internet public. Quand vous appelez les API REST pour accéder aux objets
dans les comptes de stockage, vous pouvez appliquer l’utilisation du protocole
HTTPS en exigeant un transfert sécurisé pour le compte de stockage. Après avoir
activé le transfert sécurisé, les connexions qui utilisent le protocole HTTP sont
refusées. Cet indicateur exige également un transfert sécurisé sur SMB en imposant
SMB 3.0 pour tous les montages de partage de fichiers.

Prise en charge de CORS


Contoso stocke plusieurs types de ressources de site web dans Stockage Azure. Ces
types incluent les images et les vidéos. Pour sécuriser les applications de navigateur,
Contoso verrouille les requêtes GET dans des domaines spécifiques.

Stockage Azure prend en charge l’accès entre domaines par le biais du mécanisme
CORS (Cross-Origin Resource Sharing). CORS utilise des en-têtes HTTP pour
permettre à une application web sur un domaine d’accéder à des ressources à partir
d’un serveur se trouvant dans un autre domaine. En utilisant CORS, les applications
web garantissent qu’elles chargent uniquement du contenu autorisé à partir de
sources autorisées.

La prise en charge du mécanisme CORS est un indicateur facultatif que vous pouvez
activer sur les comptes de stockage. L’indicateur ajoute les en-têtes appropriés
quand vous utilisez des requêtes GET HTTP pour récupérer des ressources à partir du
compte de stockage.

Contrôle d’accès en fonction du rôle


2 sur 3 23/04/2020 à 21:37
Explorer les fonctionnalités de sécurité de Stockage... https://docs.microsoft.com/fr-fr/learn/modules/secu...

Pour accéder à des données dans un compte de stockage, le client effectue une
requête par HTTP ou HTTPS. Chaque requête sur une ressource sécurisée doit être
autorisée. Le service vérifie que le client dispose des autorisations nécessaires pour
accéder aux données. Vous pouvez choisir parmi plusieurs options d’accès. L’option
la plus souple est sans doute l’accès en fonction du rôle.

Stockage Azure prend en charge Azure Active Directory et le contrôle d’accès en


fonction du rôle (RBAC) pour les opérations de gestion des ressources et les
opérations de données. Aux principaux de sécurité, vous pouvez attribuer des rôles
RBAC limités au compte de stockage. Utilisez Active Directory pour autoriser les
opérations de gestion des ressources, comme la configuration. Active Directory est
pris en charge pour les opérations de données sur le stockage d’objets blob et le
stockage File d’attente.

À un principal de sécurité ou une identité managée pour des ressources Azure, vous
pouvez attribuer des rôles RBAC limités à un abonnement, un groupe de ressources,
un compte de stockage ou un conteneur ou une file d’attente.

Audit de l’accès
L’audit est une autre partie du contrôle d’accès. Vous pouvez auditer l’accès à
Stockage Azure en utilisant le service Storage Analytics intégré.

Storage Analytics journalise chaque opération en temps réel et vous pouvez


rechercher des requêtes spécifiques dans les journaux Storage Analytics. Filtrez selon
le mécanisme d’authentification, la réussite de l’opération ou la ressource accessible.

Unité suivante: Comprendre les clés de compte de stockage

Continuer T

3 sur 3 23/04/2020 à 21:37


Comprendre les clés de compte de stockage - Learn... https://docs.microsoft.com/fr-fr/learn/modules/secu...

R Précédente Unité 3 sur 8 S Suivant T

" 100 XP

Comprendre les clés de compte


de stockage
5 minutes

La plupart des données de Contoso sont générées ou consommées par des


applications personnalisées. Les applications sont écrites dans différents langages.

Les comptes de stockage Azure peuvent créer des applications autorisées dans
Active Directory pour contrôler l’accès aux données dans des objets blob et des files
d’attente. Cette approche de l’authentification est la meilleure solution pour les
applications qui utilisent le stockage d’objets blob ou le stockage File d’attente.

Pour les autres modèles de stockage, les clients peuvent utiliser une clé partagée ou
un secret partagé. Cette option d’authentification est l’une des plus faciles à utiliser
et elle prend en charge les objets blob, les fichiers, les files d’attente et les tables. Le
client incorpore la clé partagée dans l’en-tête Authorization HTTP de chaque
requête, puis le compte de stockage valide la clé.

Par exemple, une application peut émettre une requête GET sur une ressource
d’objet blob :

= Copier

GET http://myaccount.blob.core.windows.net/?restype=service&
comp=stats

Les en-têtes HTTP contrôlent la version de l’API REST, la date et la clé partagée
encodée :

= Copier

1 sur 3 23/04/2020 à 21:38


Comprendre les clés de compte de stockage - Learn... https://docs.microsoft.com/fr-fr/learn/modules/secu...

x-ms-version: 2018-03-28
Date: Wed, 23 Oct 2018 21:00:44 GMT
Authorization: SharedKey myac‐
count:CY1OP3O3jGFpYFbTCBimLn0Xov0vt0khH/E5Gy0fXvg=

Clés de compte de stockage


Dans les comptes de stockage Azure, les clés partagées sont appelées clés de
compte de stockage. Azure crée deux de ces clés (primaire et secondaire) pour
chaque compte de stockage que vous créez. Les clés donnent accès à tout le contenu
du compte.

Vous les trouverez dans la vue du compte de stockage, dans le portail Azure.
Sélectionnez tout simplement Paramètres > Clés d’accès.

Protection des clés partagées


Le compte de stockage n’a que deux clés ; celles-ci fournissent l’accès complet au
compte. Compte tenu du pouvoir de ces clés, utilisez-les uniquement en interne avec
des applications approuvées que vous contrôlez totalement.

Si les clés sont compromises, modifiez leurs valeurs dans le portail Azure. Voici

2 sur 3 23/04/2020 à 21:38


Comprendre les clés de compte de stockage - Learn... https://docs.microsoft.com/fr-fr/learn/modules/secu...

plusieurs raisons pouvant motiver la décision de regénérer vos clés de compte de


stockage :

Pour des raisons de sécurité, vous pouvez regénérer les clés régulièrement.
Si quelqu’un pirate une application pour obtenir la clé codée en dur ou
enregistrée dans un fichier de configuration, regénérez la clé. En effet, la clé
compromise peut donner au pirate informatique l’accès complet à votre
compte de stockage.
Si votre équipe utilise une application Explorateur de stockage qui conserve la
clé du compte de stockage, quand un des membres quitte l’équipe, regénérez
la clé. Sinon, l’application continue de fonctionner en permettant à l’ancien
membre de l’équipe d’accéder à votre compte de stockage.

Pour actualiser des clés :

1. Changez chaque application approuvée pour utiliser la clé secondaire.


2. Actualisez la clé primaire dans le portail Azure. Considérez cette dernière
comme la nouvelle valeur de la clé secondaire.

) Important

Une fois que vos clés sont actualisées, tout client qui essaie d’utiliser l’ancienne
valeur de clé est refusé. Veillez à identifier tous les clients qui utilisent la clé
partagée, puis à les mettre à jour pour qu’ils restent opérationnels.

Unité suivante: Comprendre les signatures d’accès partagé

Continuer T

3 sur 3 23/04/2020 à 21:38


Comprendre les signatures d’accès partagé - Learn ... https://docs.microsoft.com/fr-fr/learn/modules/secu...

R Précédente Unité 4 sur 8 S Suivant T

" 100 XP

Comprendre les signatures


d’accès partagé
5 minutes

Une bonne pratique consiste à ne pas partager les clés de compte de stockage avec
des applications tierces externes. Si ces applications ont besoin d’accéder à vos
données, vous devez sécuriser leurs connexions sans utiliser les clés de compte de
stockage.

Pour les clients non approuvés, utilisez une signature d’accès partagé (SAS). Une
signature d’accès partagé est une chaîne qui contient un jeton de sécurité pouvant
être attaché à un URI. Utilisez une signature d’accès partagé pour déléguer l’accès
aux objets de stockage et spécifier des contraintes, comme les autorisations et
l’intervalle de temps de l’accès.

Vous pouvez donner à un client un jeton de signature d’accès partagé, par exemple,
pour qu’il puisse charger des photos dans un système de fichiers du stockage
d’objets blob. Séparément, vous pouvez donner à une application web l’autorisation
de lire ces photos. Dans les deux cas, vous autorisez uniquement l’accès dont
l’application a besoin pour effectuer la tâche.

Types de signatures d’accès partagé


Vous pouvez utiliser une signature d’accès partagé au niveau du service pour
autoriser l’accès à des ressources spécifiques dans un compte de stockage. Vous
utilisez ce type de signature d’accès partagé, par exemple, pour permettre à une
application de récupérer la liste des fichiers d’un système de fichiers ou pour
télécharger un fichier.

Utilisez une signature d’accès partagé au niveau du compte pour autoriser l’accès à
tout ce que peut permettre une signature d’accès partagé au niveau du service, ainsi
qu’à des ressources et capacités supplémentaires. Par exemple, vous pouvez utiliser
une signature d’accès partagé au niveau du compte pour donner la possibilité de

1 sur 2 23/04/2020 à 21:39


Comprendre les signatures d’accès partagé - Learn ... https://docs.microsoft.com/fr-fr/learn/modules/secu...

créer des systèmes de fichiers.

Vous utilisez normalement une signature d’accès partagé pour un service où les
utilisateurs lisent et écrivent leurs données dans votre compte de stockage. Les
comptes qui stockent des données utilisateur ont deux conceptions typiques :

Les clients chargent et téléchargent les données par le biais d’un service proxy
front-end, qui se charge de l’authentification. Ce service proxy front-end a
l’avantage de permettre la validation des règles métier. Mais si le service doit
gérer de grandes quantités de données ou des transactions à grand volume, il
peut s’avérer compliqué ou coûteux de mettre à l’échelle ce service pour
répondre à la demande.

Un service léger authentifie le client selon les besoins. Ensuite, il génère une
signature d’accès partagé. Après avoir reçu la signature d’accès partagé, le
client peut accéder directement aux ressources du compte de stockage. La
signature d’accès partagé définit les autorisations et l’intervalle d’accès du
client. La signature d’accès partagé réduit le besoin de router toutes les
données par le biais du service proxy front-end.

Unité suivante: Contrôler l’accès réseau à votre compte de stockage

Continuer T

2 sur 2 23/04/2020 à 21:39


Contrôler l’accès réseau à votre compte de stockage ... https://docs.microsoft.com/fr-fr/learn/modules/secu...

R Précédente Unité 5 sur 8 S Suivant T

" 100 XP

Contrôler l’accès réseau à votre


compte de stockage
5 minutes

Par défaut, les comptes de stockage acceptent les connexions des clients sur
n’importe quel réseau. Pour limiter l’accès aux réseaux sélectionnés, vous devez
d’abord changer l’action par défaut. Vous pouvez restreindre l’accès à des
adresses IP, des plages ou des réseaux virtuels spécifiques.

) Important

Le changement des règles de réseau peut affecter la capacité de votre


application à se connecter à Stockage Azure. Si vous définissez la règle de
réseau par défaut sur refuser, vous devez bloquer tout accès aux données, sauf
si des règles de réseau spécifiques accordent l’accès. Avant de changer la règle
par défaut pour refuser l’accès, veillez à utiliser des règles de réseau pour
accorder l’accès à tous les réseaux autorisés.

Gérer les règles d’accès réseau par défaut


Gérez les règles d’accès réseau par défaut pour les comptes de stockage par le biais
du portail Azure, de PowerShell ou d’Azure CLI.

Pour modifier l’accès réseau par défaut dans le portail Azure :

1. Accédez au compte de stockage à sécuriser.


2. Sélectionnez Pare-feux et réseaux virtuels.
3. Pour limiter le trafic en provenance des réseaux sélectionnés, choisissez
Réseaux sélectionnés. Pour autoriser le trafic en provenance de tous les
réseaux, sélectionnez Tous les réseaux.
4. Sélectionnez Enregistrer pour enregistrer vos modifications.

1 sur 2 23/04/2020 à 21:39


Contrôler l’accès réseau à votre compte de stockage ... https://docs.microsoft.com/fr-fr/learn/modules/secu...

Unité suivante: Présentation d’Advanced Threat Protection pour Stockage


Azure

Continuer T

2 sur 2 23/04/2020 à 21:39


Présentation d’Advanced Threat Protection pour St... https://docs.microsoft.com/fr-fr/learn/modules/secu...

R Précédente Unité 6 sur 8 S Suivant T

" 100 XP

Présentation d’Advanced Threat


Protection pour Stockage Azure
5 minutes

La détection des menaces qui pèsent sur vos données est essentielle à leur sécurité.
Vous pouvez consulter une piste d’audit de toutes les activités d’un compte de
stockage. Mais celle-ci ne fait souvent que vous indiquer qu’une intrusion a déjà eu
lieu. Ce dont vous avez vraiment besoin, c’est d’être averti en cas d’activité suspecte.
C’est là qu’intervient la fonctionnalité Advanced Threat Protection de Stockage Azure.

Advanced Threat Protection, actuellement en préversion publique, détecte les


anomalies dans les activités du compte. Cette fonctionnalité vous avertit des
tentatives d’accès potentiellement dangereuses à votre compte. Vous n’êtes pas
obligé de devenir expert en sécurité ni de gérer des systèmes de supervision de la
sécurité pour tirer parti de cette couche de protection contre les menaces.

Actuellement, Advanced Threat Protection pour Stockage Azure est disponible pour
le service blob. Les alertes de sécurité sont intégrées à Azure Security Center. Elles
sont envoyées par e-mail aux administrateurs des abonnements.

Dans le portail Azure, vous pouvez activer la protection contre les menaces en
accédant à la page de configuration du compte de stockage Azure.

1. Dans la page Paramètres, sélectionnez Advanced Threat Protection.


2. Activez (ON) l’option Advanced Threat Protection.
3. Sélectionnez Enregistrer pour enregistrer la stratégie Advanced Threat
Protection.

1 sur 2 23/04/2020 à 21:41


Présentation d’Advanced Threat Protection pour St... https://docs.microsoft.com/fr-fr/learn/modules/secu...

Unité suivante: Explorer les fonctionnalités de sécurité d’Azure Data Lake


Storage

Continuer T

2 sur 2 23/04/2020 à 21:41


Explorer les fonctionnalités de sécurité d’Azure Dat... https://docs.microsoft.com/fr-fr/learn/modules/secu...

R Précédente Unité 7 sur 8 S Suivant T

" 100 XP

Explorer les fonctionnalités de


sécurité d’Azure Data Lake
Storage
5 minutes

Azure Data Lake Storage Gen2 fournit une solution Data Lake de première classe
pour permettre aux entreprises de rassembler leurs données. Celle-ci s’appuie sur le
stockage d’objets blob Azure, si bien qu’elle hérite de toutes les fonctionnalités de
sécurité que nous avons passées en revue dans ce module.

Avec le contrôle d’accès en fonction du rôle (RBAC), Azure Data Lake Storage Gen2
fournit des listes de contrôle d’accès (ACL) compatibles POSIX qui restreignent
l’accès aux seuls utilisateurs, groupes ou principaux du service autorisés. La solution
applique des restrictions d’une façon souple, précise et gérable. Azure Data Lake
Storage Gen2 s’authentifie par le biais de jetons du porteur Azure Active Directory
OAuth 2.0. Les schémas d’authentification sont ainsi flexibles, notamment la
fédération avec Azure AD Connect et l’authentification multifacteur qui offre une
protection plus forte que de simples mots de passe.

Qui plus est, ces schémas d’authentification sont intégrés dans les principaux services
d’analytique qui utilisent les données. Ces services incluent Azure Databricks,
HDInsight et SQL Data Warehouse. Des outils de gestion comme l’Explorateur de
stockage Azure sont également inclus. Une fois l’authentification terminée, les
autorisations sont appliquées avec la plus grande précision afin de garantir le niveau
d’autorisation approprié sur les ressources Big Data d’une entreprise.

Le chiffrement de bout en bout de Stockage Azure pour protéger la couche Données


et la couche Transport vient compléter le bouclier de sécurité d’un Data Lake
d’entreprise. Ce même ensemble de moteurs et d’outils d’analytique peut tirer parti
de ces couches de protection supplémentaires pour obtenir une protection complète
de vos pipelines d’analytique.

1 sur 2 23/04/2020 à 21:41

Vous aimerez peut-être aussi