Recommandations de sécurité pour Stockage Blob
Cet article contient des recommandations de sécurité pour Stockage Blob. Mettez en œuvre ces recommandations pour répondre à vos obligations de sécurité comme décrit dans notre modèle de responsabilité partagée. Pour plus d’informations sur la manière dont Microsoft répond à ses responsabilités de fournisseur de services, consultez Responsabilité partagée dans le cloud.
Certaines des recommandations contenues dans cet article peuvent être surveillées automatiquement par Microsoft Defender pour le cloud, qui constitue la première ligne de défense pour protéger vos ressources dans Azure. Pour en savoir plus sur Microsoft Defender pour le cloud, consultez Qu’est-ce que Microsoft Defender pour le cloud ?
Microsoft Defender pour le cloud analyse périodiquement l’état de sécurité de vos ressources Azure afin d’identifier les vulnérabilités potentielles en matière de sécurité. Il fournit ensuite des recommandations sur la façon de les corriger. Pour plus d’informations sur les recommandations de Microsoft Defender pour le cloud, consultez Passer en revue les recommandations de sécurité.
Protection de données
| Recommandation | Commentaires | Defender pour le cloud |
|---|---|---|
| Utiliser le Modèle de déploiement Azure Resource Manager | Créez des comptes de stockage en utilisant le modèle de déploiement Azure Resource Manager pour les améliorations de sécurité importantes, notamment les fonctionnalités de contrôle d’accès en fonction du rôle Azure (Azure RBAC) et d’audit de premier plan, le déploiement et la gouvernance basés sur Resource Manager, l’accès aux identités managées, l’accès pour Azure Key Vault pour les secrets, et l’authentification et l’autorisation basées sur Microsoft Entra pour l’accès aux données et aux ressources de Stockage Azure. Si possible, migrez les comptes de stockage existants qui utilisent le Modèle de déploiement classique pour qu’ils utilisent Azure Resource Manager. Pour plus d’informations sur Azure Resource Manager, consultez Vue d’ensemble d’Azure Resource Manager. | - |
| Activer Microsoft Defender pour tous vos comptes de stockage | Microsoft Defender pour le stockage fournit une couche supplémentaire d’intelligence de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. Les alertes de sécurité sont déclenchées dans Microsoft Defender pour le cloud en cas d’anomalies dans l’activité ; elles sont également envoyées par e-mail aux administrateurs d’abonnement, avec des détails sur l’activité suspecte et des recommandations sur la façon d’examiner les menaces et d’y remédier. Pour plus d’informations, consultez Configurer Microsoft Defender pour le stockage. | Oui |
| Activer la suppression réversible des objets blob | La suppression réversible des objets blob vous permet de récupérer des données d’objet blob après qu’elles ont été supprimées. Pour plus d’informations sur la suppression réversible des objets blob, consultez Suppression réversible des objets blob Stockage Azure. | - |
| Activer la suppression réversible des conteneurs | La suppression réversible des conteneurs vous permet de récupérer un conteneur après qu’il a été supprimé. Pour plus d’informations sur la suppression réversible des conteneurs, consultez Suppression réversible des conteneurs. | - |
| Verrouiller le compte de stockage pour empêcher toute suppression ou modification de la configuration par accident ou par malveillance | Appliquez un verrou Azure Resource Manager sur votre compte de stockage pour protéger le compte contre toute suppression ou modification de configuration accidentelle ou malveillante. Le verrouillage d’un compte de stockage n’empêche pas la suppression des données contenues dans ce compte. Il empêche uniquement la suppression du compte à proprement parler. Pour plus d’informations, consultez Appliquer un verrou Azure Resource Manager sur un compte de stockage. | |
| Stocker les données critiques pour l’entreprise dans des objets blob immuables | Configurez des stratégies de conservation légales et basées sur la durée pour stocker des données d’objets blob dans un état WORM (Write Once, Read Many). Les objets blob stockés de façon immuable peuvent être lus, mais ils ne peuvent pas être modifiés ou supprimés pendant la durée de l’intervalle de conservation. Pour plus d’informations, consultez Stocker des données blob critiques pour l’entreprise avec un stockage immuable. | - |
| Exiger un transfert sécurisé (HTTPS) vers le compte de stockage | Quand vous avez besoin d’un transfert sécurisé pour un compte de stockage, toutes les demandes adressées au compte de stockage doivent être effectuées via le protocole HTTPS. Toutes les demandes effectuées via le protocole HTTP sont rejetées. Microsoft vous recommande de toujours exiger un transfert sécurisé pour tous vos comptes de stockage. Pour plus d’informations, voir Exiger un transfert sécurisé pour garantir des connexions sécurisées. | - |
| Limiter les jetons de signature d’accès partagé (SAS) aux seules connexions HTTPS | Le fait d’exiger HTTPS quand un client utilise un jeton SAS pour accéder à des données d’objet blob permet de réduire le risque d’écoute. Pour plus d’informations, consultez Accorder un accès limité aux ressources du Stockage Azure à l’aide des signatures d’accès partagé (SAS). | - |
| Interdire la réplication d’objets entre locataires | Par défaut, un utilisateur autorisé peut configurer une stratégie de réplication d’objets lorsque le compte source est dans un locataire Microsoft Entra et le compte de destination se trouve dans un locataire différent. Interdisez la réplication d’objets entre locataires pour exiger que les comptes source et de destination participant à une stratégie de réplication d’objet se trouvent dans le même locataire. Pour plus d’informations, consultez Empêcher la réplication d’objets entre locataires sur l’ensemble des locataires Microsoft Entra. | - |
Gestion de l’identité et de l’accès
| Recommandation | Commentaires | Defender pour le cloud |
|---|---|---|
| Utiliser Microsoft Entra ID pour autoriser l’accès aux données d’objet blob | Microsoft Entra ID offre une sécurité et une facilité d’utilisation supérieures sur les clés partagées pour autoriser les demandes auprès du stockage d’objets blob. Pour plus d’informations, consultez Autoriser l’accès aux données dans Stockage Azure. | - |
| Gardez à l’esprit le principe du moindre privilège lors de l’attribution d’autorisations à un principal de sécurité Microsoft Entra via Azure RBAC | Quand vous attribuez un rôle à un utilisateur, un groupe ou une application, accordez à ce principal de sécurité seulement les autorisations nécessaires pour effectuer ses tâches. La limitation de l’accès aux ressources permet d’éviter une mauvaise utilisation accidentelle et malveillante de vos données. | - |
| Utiliser une signature d’accès partagé de délégation d’utilisateur pour accorder aux clients un accès limité aux données d’objet blob | Une SAP de délégation d’utilisateur est sécurisée avec les informations d’identification Microsoft Entra ainsi que par les autorisations spécifiées pour la SAP. Une signature d’accès partagé de délégation d’utilisateur est analogue à une signature d’accès partagé de service en termes d’étendue et de fonction, mais elle offre des avantages en matière de sécurité par rapport à la signature d’accès partagé de service. Pour plus d’informations, consultez Accorder un accès limité aux ressources du Stockage Azure à l’aide des signatures d’accès partagé (SAS). | - |
| Sécuriser vos clés d’accès de compte avec Azure Key Vault | Microsoft recommande d’utiliser Microsoft Entra ID pour autoriser les demandes auprès de Stockage Azure. Cependant, si vous devez utiliser l’autorisation Clé partagée, sécurisez vos clés de compte avec Azure Key Vault. Vous pouvez récupérer les clés du coffre de clés au moment de l’exécution, au lieu de les enregistrer avec votre application. Pour plus d’informations sur Azure Key Vault, consultez Vue d’ensemble d’Azure Key Vault. | - |
| Regénérer régulièrement vos clés de compte | Effectuer une rotation des clés de compte régulièrement réduit le risque d’exposer vos données à des acteurs malveillants. | - |
| Désactiver l’autorisation Shared Key | Lorsque vous désactivez l’autorisation avec clé partagée pour un compte de stockage, le service Stockage Azure rejette toutes les demandes ultérieures adressées à ce compte, qui sont autorisées avec les clés d’accès au compte. Seules les demandes sécurisées autorisées avec Microsoft Entra ID aboutissent. Pour plus d’informations, consultez Empêcher l’autorisation avec clé partagée pour un compte de stockage Azure. | - |
| Gardez à l’esprit le principe du privilège minimum au moment d’attribuer des autorisations à une signature d’accès partagé | Lors de la création d’une signature d’accès partagé, spécifiez seulement les autorisations nécessaires au client pour remplir sa fonction. La limitation de l’accès aux ressources permet d’éviter une mauvaise utilisation accidentelle et malveillante de vos données. | - |
| Disposer d’un plan de révocation pour les signatures d’accès partagé que vous émettez pour les clients | Si une signature d’accès partagé est compromise, vous voudrez révoquer cette signature dès que possible. Pour révoquer une signature d’accès partagé de délégation d’utilisateur, révoquez la clé de délégation d’utilisateur pour invalider rapidement toutes les signatures associées à cette clé. Pour révoquer une signature d’accès partagé de service associée à une stratégie d’accès stockée, vous pouvez supprimer la stratégie d’accès stockée, renommer la stratégie ou changer son délai d’expiration pour le fixer à un Moment du passé. Pour plus d’informations, consultez Accorder un accès limité aux ressources du Stockage Azure à l’aide des signatures d’accès partagé (SAS). | - |
| Si une signature d’accès partagé de service n’est pas associée à une stratégie d’accès stockée, définissez le délai d’expiration sur une heure ou Moins. | Une signature d’accès partagé de service qui n’est pas associée à une stratégie d’accès stockée ne peut pas être révoquée. Pour cette raison, il est recommandé de limiter le délai d’expiration afin que la signature d’accès partagé soit valide pendant une heure au maximum. | - |
| Désactiver la gestion de l’accès en lecture anonyme aux conteneurs et aux objets blob | l’accès en lecture anonyme à un conteneur et à ses objets blob accorde à tous les clients un accès en lecture seule à ces ressources. Évitez d’activer l’accès en lecture anonyme, sauf si votre scénario l’exige. Pour savoir comment désactiver l’accès anonyme pour un compte de stockage, consultez Vue d’ensemble : résolution de l’accès en lecture anonyme pour les données blob. | - |
Mise en réseau
| Recommandation | Commentaires | Defender pour le cloud |
|---|---|---|
| Configurer la version minimale requise du protocole TLS (Transport Layer Security) pour un compte de stockage. | Exiger que les clients utilisent une version plus sécurisée de TLS pour effectuer des requêtes sur un compte de stockage Azure en configurant la version minimale de TLS pour ce compte. Pour plus d’informations, consultez Configure minimum required version of Transport Layer Security (TLS) for a storage account (Configurer la version minimale requise du protocole TLS pour un compte de stockage) | - |
| Activer l’option Transfert sécurisé requis sur tous vos comptes de stockage | Quand vous activez l’option Transfert sécurisé requis, toutes les demandes effectuées auprès du compte de stockage doivent se faire via des connexions sécurisées. Toutes les demandes effectuées sur HTTP échouent. Pour plus d’informations, consultez Exiger un transfert sécurisé dans Stockage Azure. | Oui |
| Activer des règles de pare-feu | Configurez des règles de pare-feu pour limiter l’accès à votre compte de stockage aux demandes provenant d’adresses IP ou de plages d’adresses IP spécifiées, ou d’une liste de sous-réseaux dans un réseau virtuel Azure (VNet). Pour plus d’informations sur la configuration des règles de pare-feu, consultez Configurer les pares-feu et réseaux virtuels dans le stockage Azure. | - |
| Autoriser les services Microsoft approuvés à accéder au compte de stockage | L’activation des règles de pare-feu pour votre compte de stockage bloque les demandes entrantes pour les données par défaut, sauf si les demandes proviennent d’un service qui fonctionne au sein d’un réseau virtuel (VNet) Azure ou à partir d’adresses IP publiques autorisées. Les demandes qui sont bloquées comprennent les demandes émanant d’autres services Azure, du portail Azure, des services de journalisation et de métriques, etc. Vous pouvez autoriser les demandes provenant d’autres services Azure en ajoutant une exception pour autoriser les services Microsoft approuvés à accéder au compte de stockage. Pour plus d’informations sur l’ajout d’une exception pour les services Microsoft approuvés, consultez Configurer les pares-feu et réseaux virtuels dans le stockage Azure. | - |
| Utiliser des points de terminaison privés | Un point de terminaison privé affecte une adresse IP privée de votre réseau virtuel Azure au compte de stockage. Il sécurise tout le trafic entre votre réseau virtuel et le compte de stockage via une liaison privée. Pour plus d’informations sur les points de terminaison privés, consultez Connexion privée à un compte de stockage à l’aide d’Azure Private Endpoint. | - |
| Utiliser des balises de service de réseau virtuel | Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent. Pour plus d’informations sur les balises de service prises en charge par Stockage Azure, consultez Vue d’ensemble des balises de service Azure. Pour un tutoriel qui montre comment utiliser les balises de service pour créer des règles de réseau sortant, consultez Restreindre l’accès aux ressources PaaS. | - |
| Limiter l’accès réseau à des réseaux spécifiques | La limitation de l’accès réseau aux réseaux hébergeant des clients nécessitant un accès réduit l’exposition de vos ressources aux attaques réseau. | Oui |
| Configurer la préférence de routage réseau | Vous pouvez configurer les préférences de routage réseau de votre compte de stockage Azure afin de spécifier la façon dont le trafic réseau est acheminé vers votre compte à partir de clients sur Internet à l’aide du routage réseau global Microsoft ou Internet. Pour plus d’informations, consultez Configurer une préférence de routage réseau pour le service Stockage Azure. | - |
Journalisation/Supervision
| Recommandation | Commentaires | Defender pour le cloud |
|---|---|---|
| Suivre les autorisations des demandes | Activez la journalisation pour Stockage Azure afin de suivre la façon dont les demandes adressées au service sont autorisées. Les journaux indiquent si une demande a été faite anonymement, en utilisant un jeton OAuth 2.0, avec une clé partagée ou avec une signature d’accès partagé. Pour plus d’informations, consultez Supervision du Stockage Blob Azure avec Azure Monitor ou Journalisation analytique du Stockage Azure avec la supervision classique. | - |
| Configurer des alertes dans Azure Monitor | Configurez des alertes de journaux pour évaluer les journaux de ressources à chaque fréquence définie et déclencher une alerte en fonction des résultats. Pour plus d’informations, consultez Alertes de journal dans Azure Monitor. | - |